FedRAMP SSP-Workflow implementieren

Der FedRAMP SSP-Automatisierungs-Robot unterstützt die Optimierung der Erstellung des Systemsicherheitsplans (System Security Plan; SSP), indem er strukturierte Daten aus einem Diligent One-Projekt extrahiert und in die offizielle FedRAMP SSP-Word-Vorlage exportiert.

In diesem Abschnitt erfahren Sie mehr über den FedRAMP SSP-Workflow.

Was ist SSP?

Der Systemsicherheitsplan (System Security Plan, SSP) ist das Compliance-Dokument, das Cloud-Dienstleister (Cloud Service Providers, CSPs) für die FedRAMP-Autorisierung erstellen und pflegen müssen. Er beschreibt das Programm des Anbieters, den Autorisierungsstatus, die Sicherheitsgrenzen und die detaillierten Kontrollen, die zur Erfüllung der Bundesstandards erforderlich sind. Der SSP umfasst auch die Systemverantwortung, die Zuständigkeiten, die Netzwerkarchitektur, die Aufgabentrennung und die genutzten Systeme. In den Hauptabschnitten werden organisatorische und systembezogene Details in standardisierten Tabellen dargestellt, während Anhang A Hunderte von Sicherheitskontrollen mit Implementierungsspezifikationen, Rollen und Status dokumentiert. Für die Erstautorisierung, jährliche Überprüfungen und größere Systemänderungen müssen die CSPs den SSP regelmäßig aktualisieren und den Aufsichtsbehörden vorlegen, um den Prüfern überprüfbare Nachweise für wirksame Sicherheitsvorkehrungen zu liefern.

Der CSP erstellt und reicht die SSP-Dokumentation während des Erstautorisierungsgenehmigungsprozesses und des jährlichen Überprüfungszyklus ein.

Rollen und Voraussetzungen für SSP

  • Systemadministratoren sind für die Installation des Toolkits, die Konfiguration von Robot-Aufgaben und die Verwaltung von Berechtigungen verantwortlich.

  • Projektverantwortliche und Sicherheitsexperten füllen Projektfelder aus, aktualisieren Kontrollnachweise und verwalten Anhänge.

  • Abonnement des IT-Compliance-Pakets „Federal Contracting Compliance Toolkit“.

  • Zugriff auf die Apps „Diligent One-Projekte“, „Ergebnisse“ und „Robots“.

  • Verfügbarkeit von FedRAMP Rev. 5-Kontrollen und kompatiblen Vorlagen.

Wo SSP implementiert wird

Sie können den SSP-Workflow mithilfe der Apps „Robots“, „Projekte“, „Ergebnisse“ und „Berichte“ in Diligent One implementieren.

  • Robots automatisieren die Extraktion von Daten aus Projekten und füllen die erforderlichen SSP-Vorlagen in menschenlesbaren (Word) und maschinenlesbaren (OSCAL) Formaten aus.

  • Projekte dienen als zentraler Knotenpunkt für die Erfassung, Organisation und Speicherung aller SSP-bezogenen Daten, einschließlich Systemdetails und Kontrollimplementierung.

  • Ergebnisse liefern eine strukturierte Bestandsaufnahme der Schwachstellen. Sie können diese mit Kontrollen verknüpfen und sie mit laufenden Compliance-Nachweisen in Verbindung bringen, insbesondere bei der Integration von POAM- und SSP-Berichten.

  • Berichte verwenden standardisierte Vorlagen zur Erstellung von SSP. Bei Bedarf können Sie auch unterstützende Nachweise beifügen.

Schritte

FedRAMP-Projekt erstellen

Der FedRAMP-Berichtstyp in Diligent One ist vorkonfiguriert, um die FedRAMP-Anforderungen zu erfüllen, und ist mit Automatisierungs-Robots kompatibel. Dieser Projekttyp enthält vorgefertigte Attribute und Abschnitte, die auf FedRAMP zugeschnitten sind. Es umfasst:

  • SSP-Daten auf Systemebene (Abschnitte 1 bis 12)

  • Implementierungsdaten auf Kontrollebene (Anhang A)

Registerkarte „Systemsicherheitsplan“ einrichten

In einem neu erstellten FedRAMP-Projekt enthält die Registerkarte Systemsicherheitsplan auch als Registerkarte Systemsicherheitsplan-Informationen bezeichnet, strukturierte Felder für die Eingabe erforderlicher SSP-Abschnittsdaten. Jedem Abschnitt werden relevante Beispieltabellen hinzugefügt, um eine einheitliche Formatierung zu gewährleisten. Sie können strukturierte Daten erfassen, die den Abschnitten 1 bis 12 der FedRAMP SSP-Vorlage direkt zugeordnet sind.

Diese Tabellen helfen sicherzustellen, dass Automatisierungs-Robots Projektdaten präzise importieren und in die SSP-Vorlage zuordnen können. Zu den Pflichtfeldern und Tabellen gehören Folgende:

FeldDetails
Erstellt vonEnthält Informationen zum Ersteller und zur Organisation
SysteminformationenGrundlegende Systemdetails
SystemeigentümerKontaktdaten
ISSO-AnsprechpartnerInfoSec-Kontakt
Genutzte FedRAMP-Systeme und externe SystemeSysteme innerhalb und außerhalb der Autorisierungsgrenzen
Services, Ports und ProtokolleTechnische Einzelheiten
AufgabentrennungRollenbasierter Zugriff und Zuständigkeiten
SSP-AnhängeAnhangdokumente (z. B. Architekturdiagramme)

Registerkarte „SSP-Anhang“

FedRAMP verpflichtet Cloud-Dienstleister (CSPs) dazu, neben dem Haupt-SSP mehrere Anhänge und ergänzende Dokumente einzureichen. Diese Begleitmaterialien umfassen in der Regel:

  • Architekturdiagramme

  • Darstellungen der Netzwerkgrenzen

  • Richtliniendokumente

  • Bestandsverzeichnisse der Systemkomponenten

  • Sonstige technische oder verfahrenstechnische Artefakte

Die Registerkarte SSP-Anhänge bietet eine strukturierte Möglichkeit, um:

  • diese Dokumente direkt in das Projekt hochzuladen

  • sie im SSP-Export zu referenzieren

  • anzugeben, ob jeder Anhang in der aktuellen Version des SSP enthalten ist

Jeder Eintrag auf der Registerkarte enthält die folgenden Felder:

  • Name/Titel des Anhangs

  • Systemsicherheitsplan-ID

  • Anhänge in die aktuelle SSP-Version aufnehmen

  • Anhangstyp

  • URL von Anhang 1

  • URL von Anhang 2

Nach Eingabe der erforderlichen Details wird die eigentliche Anhangsdatei, z. B. eine PDF, ein Word-Dokument oder ein Bild, hochgeladen. Dieser Ansatz unterstützt den zentralisierten Zugriff und die Versionskontrolle innerhalb des Projekts.

Kontrollen importieren

Der Workflow „FedRAMP-Berichterstattungsprojekt“ in Diligent One stellt sicher, dass die richtigen FedRAMP Rev. 5-Sicherheitskontrollen enthalten sind und für die Automatisierung ordnungsgemäß referenziert werden. Diese Kontrollen müssen bereits vor der Projekteinrichtung in der Compliance-Karte oder dem Compliance-Framework der Organisation vorhanden sein. In einem FedRAMP-Berichtsprojekt können die Kontrollen importiert oder definiert werden, wobei eine genaue Zuordnung und Formatierung erforderlich ist, um die FedRAMP-Spezifikationen zu erfüllen und die Automatisierung zu unterstützen.

Die im FedRAMP-Berichterstattungsprojekt verwendete Baseline wird auf der Grundlage der Systemkategorisierung ausgewählt, wobei die Details aus dem FedRAMP Rev. 5 Security Controls Toolkit stammen. Nachdem die entsprechende Baseline, wie Mittel oder Hoch, identifiziert wurde, werden die relevanten Kontrollfamilien zum Projekt hinzugefügt, um eine genaue Zuordnung und Automatisierung zu unterstützen.

Kontrolldetails hinzufügen

Für jede Kontrolle sind Kontrollparameter und Implementierungsschritte erforderlich, damit die FedRAMP-Bericht-Robots einen vollständigen SSP-Bericht erstellen können. Bei der Vorbereitung des Projekts zur Erstellung eines für Menschen lesbaren SSP im OSCAL-Format muss sichergestellt werden, dass diese Felder korrekt ausgefüllt und gemäß den FedRAMP-Anforderungen strukturiert sind:

  • KontrollparameterAuf der Registerkarte „Kontrolle“ werden die vorformatierten Parametertabellen mit den korrekten Parameternamen für diese Kontrolle hinzugefügt.

  • Tabelle zur Kontrollimplementierung (Exemplarische Vorgehensweise)Fügen Sie auf der Registerkarte „Exemplarische Vorgehensweise“ eine Tabelle mit Implementierungsschritten hinzu, in der angegeben ist, um welche Lösung es sich handelt und wie sie implementiert wird. Jede Kontrolle kann eine unterschiedliche Anzahl oder unterschiedliche Namen von Schritten haben.

    Hinweis

    Einige Kontrollen umfassen nur einen Implementierungsschritt, während andere möglicherweise keine Parameter erfordern. Bei Kontrollen ohne Parameter ist der entsprechende Schritt nicht anwendbar und kann ohne Auswirkungen auf die Berichterstellung weggelassen werden.

  • Zusätzliche KontrollattributeJede Kontrolle umfasst:

    • Kontroll-ID

    • Verantwortliche Rolle

    • Kontrollparameter

    • Implementierungsschritte

    • Implementierungsstatus

    • Kontrollursprung und vererbte Details

    • Bemerkungen

    Hinweis

    Bearbeiten Sie keine Parameter- oder Schrittnamen. Für einen erfolgreichen Export sind standardisierte Namen erforderlich. Fehler oder Unstimmigkeiten werden in den Robots-Protokollen markiert.

FedRAMP SSP-Vorlagen in den Robot hochladen

Um den FedRAMP-Systemsicherheitsplan mit dem Diligent One Reporting Automation Toolkit zu automatisieren und zu untersuchen, müssen Sie zunächst die folgenden Vorlagen in die Registerkarte „Arbeitsdaten“ des Systemsicherheitsplan-Automatisierungs-Robots in der Diligent One-Plattform hochladen:

  • FedRAMP SSP-Vorlage, die die Abschnitte 1 bis 12 abdeckt

  • Vorlage für Anhang A, die alle Sicherheitskontrollen abdeckt

Hinweis

Beide Vorlagen müssen im DOCX-Format vorliegen, und ihre Dateinamen müssen genau mit denen im Abschnitt „Parameter“ des SSP-Automatisierungs-Robots übereinstimmen. Der Robot verwendet diese Namen, um die SSP-Vorlage korrekt auszufüllen. Dies ist besonders wichtig in Anhang A, wo jede Kontrolle mehrere Parameter und Implementierungsschritte haben kann.

Der Robot analysiert die Vorlage, um bestimmte Felder zu finden und sie mit den entsprechenden Einträgen im Projekt abzugleichen. Wenn die Namen nicht übereinstimmen (z. B. „Parameter A“ in der Vorlage gegenüber „Param A“ im Projekt), kann der Robot keine Verbindung herstellen. Dieses Szenario führt zu folgenden Ergebnissen:

  • Fehlende Daten in der Ausgabe

  • Fehlermeldungen im generierten Dokument

  • Trace-Protokolleinträge, die nicht übereinstimmende Felder anzeigen

SSP-Robot einrichten und ausführen

Im Abschnitt Aufgaben > SSP-Automatisierung des Robots sind folgende Parameter verfügbar:

  • Die Projekt-ID, aus der die Daten abgerufen werden.

  • Die Dateinamen der hochgeladenen SSP- und Anhang-A-Vorlagen.

  • API-Token, das den SSP-Automatisierungsprozess initiiert.

Nach der Konfiguration importiert der Robot Projektdaten und füllt die ausgewählte Vorlage aus. Dabei werden zwei Ausgabedateien generiert, die zur Weiterleitung bereit sind. Sie können diese Ausgabedateien aus den Details zur Aufgabenausführung des SSP-Automatisierungsrobots herunterladen.

Wenn erforderliche Daten fehlen, werden Fehlermeldungen im Ausgabedokument und in den Trace-Protokollen angezeigt, um unvollständige oder falsch formatierte Abschnitte zu identifizieren. Dieses Feedback unterstützt einen checklistenartigen Ansatz zum Ausfüllen aller erforderlichen Felder für eine erfolgreiche Berichterstellung.

OSCAL-Robot einrichten und ausführen

Der OSCAL-Robot, Teil des FedRAMP Reporting Toolkits, exportiert SSP-Daten in ein maschinenlesbares OSCAL-Format (Open Security Controls Assessment Language), das den von NIST und FedRAMP definierten Standards entspricht.

Zunächst können Sie auf die Robots-App zugreifen, den SSP OSCAL-Export-Robot auswählen und die SSP-Vorlagen in die Registerkarte Arbeitsdaten hochladen. Geben Sie im Parameterbildschirm des Robots die folgenden Details ein:

  • Projekt-IDDie ID für Ihr abgeschlossenes FedRAMP-Projekt.

  • Diligent One-API-TokenDas HCL-Token, das für die Authentifizierung verwendet wird.

Nachdem Sie die Konfiguration abgeschlossen haben, aggregiert der OSCAL-Robot alle relevanten Projektdaten und Anhänge, um die maschinenlesbare OSCAL SSP-Datei zu generieren.