Implemetierung des FedRAMP-, SSP-, POAM- und OSCAL-Berichterstellung-Toolkits

Das FedRAMP-, SSP-, POAM- und OSCAL-Berichterstellung-Toolkit ist eine integrierte Lösung in der Diligent One Platform, mit der Cloud-Dienstanbieter für Bundesbehörden die Erstellung und Verwaltung wichtiger FedRAMP-Compliance-Dokumente automatisieren können. Dazu gehören der SSP (System Security Pla, Systemsicherheitsplan), der POAM (Plan of Action and Milestones, Geplante Aktionen und Meilensteine) und maschinenlesbare OSCAL-Ausgaben (Open Security Control Assessment Language). Diese Artefakte sind für die Wahrung der FedRAMP-Autorisierung von entscheidender Bedeutung und sind in der Regel zeitaufwendig in der Erstellung und Aktualisierung. Dieses Toolkit automatisiert Datenerfassungs-, Normalisierungs- und Exportprozesse, reduziert den manuellen Aufwand und verbessert die Genauigkeit.

Das Toolkit wurde zur Bewältigung des hohen Dokumentationsaufwands entwickelt und vereinfacht die Erstellung, Pflege und Aktualisierung der SSP- und POAM-Berichte. Der SSP beschreibt die Autorisierungsgrenzen des Anbieters, die Systemarchitektur und die Implementierung von Hunderten von Sicherheitskontrollen. Der POAM verfolgt Schwachstellen und Beilegungsmaßnahmen und muss aktualisiert und den nationalen Regulierungsbehörden regelmäßig übermittelt werden.

Was ist OSCAL?

OSCAL bietet standardisierte, maschinenlesbare Formate, die Unternehmen die Darstellung von Dokumentationen zur Cybersicherheit erleichtern, einschließlich Steuerkatalogen, Baselines, Systemsicherheitsplänen (SSPs) und Bewertungsergebnissen. OSCAL wurde vom National Institute of Standards and Technology (NIST) entwickelt und verwendet XML, JSON und YAML, um Automatisierung, Interoperabilität und Konsistenz bei der Dokumentation, dem Austausch und der Bewertung von Sicherheitskontrollen und Compliance-Artefakten zu gewährleisten.

Im Rahmen des FedRAMP-Autorisierungsprozesses müssen CSPs wichtige Dokumente wie SSP und POAM in herkömmlichen menschenlesbaren Formaten sowie OSCAL übermitteln. Durch den Einsatz von OSCAL automatisieren Unternehmen komplexe Berichterstellungs- und kontinuierliche Bewertungsprozesse, optimieren Compliance-Workflows und beschleunigen Prüfungszyklen. Systeme können OSCAL-Dokumente programmgesteuert validieren und verarbeiten, was den manuellen Aufwand reduziert und die Konsistenz bei Überprüfungen verbessert.

Komponenten des Toolkits

Nach der Installation enthält das Toolkit mehrere vorkonfigurierte Robots, Projekttypen, Ergebnisinventare und Fragebögen zur Unterstützung der automatisierten Berichterstellung und Datenverwaltung.

Robots

SSP-Automatisierungs-Robot

  • Erzeugt einen vollständigen Bericht zum Systemsicherheitsplan (SSP), indem strukturierte Daten aus Ihrem Diligent One FedRAMP-Projekt extrahiert und in die Word-Vorlage eingefügt werden.

  • Automatisiert die Dateneingabe sowohl für die wichtigsten SSP-Abschnitte (1 bis 12) als auch für Anhang A, in dem die Implementierung der Kontrolle beschrieben wird.

  • Unterstützt Exporte sowohl im Word- als auch im OSCAL-Format.

FedRAMP POAM-Automatisierungs-Robot

  • Robot für die Automatisierung von FedRAMP-Sicherheitsscans

    • Importiert Sicherheitsdaten direkt aus CSV-Exporten von Sicherheitsscannern wie Tenable, Rapid7 und Qualys.

    • Normalisiert die Daten in der POAM-Bestandsaufnahme in der Ergebnisse-App.

  • Robot für die FedRAMP SAR-Sicherheitsrisiko-Automatisierung

    Importiert Sicherheitsrisiken, die in jährlichen Sicherheitsbewertungsberichten (SARs) identifiziert wurden, und ordnet sie entsprechenden Sicherheitskontrollen zu.

  • POAM OSCAL-Robot

    Konvertiert den POAM-Bestand in das OSCAL-Format, um maschinenlesbare behördliche Einreichungen zu ermöglichen.

Andere Komponenten

  • Projekttyp Berichtssammlung

    Vorkonfiguriertes Projektformat in Diligent One zur Zentralisierung und Verwaltung aller FedRAMP-Implementierungsdetails und Compliance-Artefakte.

  • POAM-Ergebnis-Sammlung

    Zentralisierte Ergebnistabelle zur Eingabe, Normalisierung und Deduplizierung von Sicherheitsdaten, die alle erforderlichen FedRAMP-Berichte unterstützt.

  • POAM Builder-Fragebögen

    Inline-Formulare zur manuellen Eingabe von Anfälligkeitsdetails, die bei automatisierten Scans nicht verfügbar sind.