Implementación del flujo de trabajo del SSP del FedRAMP

El robot de automatización del SSP (plan de seguridad del sistema) del FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones) ayuda a optimizar la generación del SSP, ya que extrae datos estructurados de un proyecto de Diligent One y los exporta a la plantilla oficial de Word del SSP del FedRAMP.

En esta sección, obtendrá más información sobre el flujo de trabajo del SSP del FedRAMP.

¿Qué es SSP?

El SSP es el documento de cumplimiento que los CSP (proveedores de servicios en la nube) deben preparar y mantener para la autorización del FedRAMP. Describe el programa del proveedor, el estado de la autorización, los límites de seguridad y los controles detallados requeridos para cumplir con los estándares federales. Además, el SSP incluye la propiedad del sistema, las responsabilidades, la arquitectura de red, la separación de las tareas y los sistemas utilizados. Las secciones principales contienen detalles organizativos y del sistema en tablas estandarizadas, mientras que el Apéndice A documenta cientos de controles de seguridad con información sobre su implementación, los roles y el estado. Como parte de la autorización inicial, las revisiones anuales y los cambios importantes del sistema, los CSP deben actualizar el SSP con regularidad y enviarlo a los reguladores, además de proporcionar a los evaluadores evidencia verificable de la eficacia de las medidas de seguridad.

El CSP elabora y envía la documentación del SSP durante el proceso de aprobación de la autorización inicial y el ciclo de revisión anual.

Roles y prerrequisitos para el SSP

  • Los administradores del sistema son responsables de instalar el juego de herramientas, configurar las tareas del robot y gestionar los permisos.

  • Los propietarios del proyecto y los profesionales de seguridad completan los campos del proyecto, actualizan la evidencia de los controles y gestionan los archivos adjuntos.

  • Suscripción al paquete IT Compliance – Federal Contracting Compliance Toolkit.

  • Acceso a las aplicaciones de Proyectos, Resultados y Robots de Diligent One.

  • Disponibilidad de controles FedRAMP Rev. 5 y plantillas compatibles.

¿Dónde implemento el SSP?

Puede implementar el flujo de trabajo del SSP con las aplicaciones de Robots, Proyectos, Resultados y Reportes en Diligent One.

  • Los robots automatizan la extracción de datos de los proyectos y completan las plantillas del SSP necesarias en formatos legibles por humanos (Word) y por máquinas (OSCAL).

  • Los proyectos sirven como un centro centralizado para recopilar, organizar y almacenar todos los datos relacionados con el SSP, incluidas la información del sistema y la implementación de los controles.

  • Los resultados proporcionan un inventario estructurado de vulnerabilidades. Puede vincularlos a los controles y asociarlos con evidencia de cumplimiento continuo, sobre todo al integrar reportes de POAM y SSP.

  • Los reportes utilizan plantillas estandarizadas para generar el SSP. También puede adjuntar evidencia de apoyo según sea necesario.

Pasos

Crear un proyecto de FedRAMP

El tipo de proyecto de generación de reportes de FedRAMP en Diligent One está preconfigurado para cumplir con los requisitos del FedRAMP y es compatible con los robots de automatización. Este tipo de proyecto incluye atributos y secciones predefinidos, los cuales están adaptados para el FedRAMP. Incluye:

  • Datos del SSP a nivel de sistema (secciones 1 a 12)

  • Datos de implementación a nivel de controles (apéndice A)

Configurar la ficha Plan de seguridad del sistema

En un proyecto del FedRAMP recién creado, la ficha Plan de seguridad del sistema, también conocida como la ficha Información del plan de seguridad del sistema, proporciona campos estructurados para ingresar los datos de la sección del SSP requeridos. Las tablas de ejemplo relevantes se agregan a cada sección para admitir un formato consistente. Puede recopilar datos estructurados que se asignan directamente a las secciones 1 a 12 de la plantilla del SSP del FedRAMP.

Estas tablas ayudan a garantizar que los robots de automatización puedan importar y asignar con precisión los datos del proyecto a la plantilla del SSP. Entre los campos y tablas requeridos se incluye lo siguiente:

CampoDetalles
Preparado porIncluye información del preparador y de la organización
Información del sistemaDetalles básicos del sistema
Propietario del sistemaDetalles del contacto
Persona de contacto ISSOContacto de seguridad de la información
Sistemas del FedRAMP y sistemas externos utilizadosSistemas dentro y fuera de los límites de la autorización
Servicios, puertos y protocolosDetalles técnicos
Separación de las tareasAcceso basado en roles y responsabilidades
Archivos adjuntos del SSPDocumentos del apéndice (por ejemplo, diagramas de arquitectura)

Ficha Archivos adjuntos del SSP

El FedRAMP ordena a los CSP que envíen varios apéndices y documentos complementarios junto con el SSP principal. Por lo general, este material complementario incluye lo siguiente:

  • Diagramas de arquitectura

  • Ilustraciones de límites de red

  • Documentos de política

  • Inventarios de componentes del sistema

  • Otros artefactos técnicos o de procedimiento

La ficha Archivos adjuntos del SSP brinda una forma estructurada de:

  • cargar estos documentos directamente al proyecto.

  • hacer referencia a ellos en la exportación del SSP.

  • indicar si cada adjunto está incluido en la versión actual del SSP.

Cada entrada de la ficha incluye los siguientes campos:

  • Nombre/título del archivo adjunto

  • Identificador del plan de seguridad del sistema

  • Incluir archivos adjuntos en la versión actual de SSP

  • Tipo de archivo adjunto

  • URL del archivo adjunto #1

  • URL del archivo adjunto #2

Después de ingresar los detalles requeridos, se cargará el archivo adjunto real, como un documento PDF, Word o imagen. Este enfoque admite el acceso centralizado y el control de versiones dentro del proyecto.

Importar controles

El flujo de trabajo del proyecto de generación de reportes del FedRAMP en Diligent One garantiza que los controles de seguridad correctos de FedRAMP Rev. 5 estén incluidos y que estén referenciados de manera adecuada para la automatización. Estos controles ya deben existir dentro del mapa de cumplimiento o marco de la organización antes de que el proyecto se configure. En un proyecto de generación de informes del FedRAMP, los controles se pueden importar o definir con una asignación y formato precisos necesarios para cumplir con las especificaciones del FedRAMP y admitir la automatización.

La línea de base utilizada en el proyecto de generación de reportes del FedRAMP se selecciona a partir de la categorización del sistema, con detalles provenientes del juego de herramientas de control de seguridad de FedRAMP Rev. 5. Después de identificar el nivel de base adecuado, como Moderado o Alto, se agregan al proyecto las familias de control relevantes para admitir un mapeo y una automatización precisos.

Agregar información de los controles

Se requieren los parámetros del control y los pasos de implementación para cada control, de modo que los robots de generación de reportes del FedRAMP puedan generar un reporte completo del SSP. La preparación del proyecto para producir un SSP legible por humanos y en formato OSCAL implica garantizar que estos campos se ingresen de forma correcta y se estructuren según las expectativas del FedRAMP:

  • Parámetros de controlEn la ficha Control, se agregan las tablas de parámetros formateadas previamente con nombres de parámetros correctos para ese control.

  • Tabla de implementación de controles (guía paso a paso)En la ficha Tutorial, agregue una tabla de pasos de implementación que indique cuál es la solución y cómo se implementa. Cada control puede incluir diferentes números o nombres de pasos.

    Nota

    Algunos controles incluyen solo un paso de implementación, mientras que otros pueden no requerir ningún parámetro. En el caso de los controles que no tienen parámetros, el paso correspondiente no aplica y puede omitirse sin que afecte la generación de informes.

  • Atributos de control adicionalesCada control incluye:

    • Identificador del control

    • Rol responsable

    • Parámetros de control

    • Pasos de implementación

    • Estado de implementación

    • Origen del control y detalles heredados

    • Observaciones

    Nota

    No modifique los parámetros ni los nombres de pasos; se requieren nombres estandarizados para exportar con éxito. Los errores o discrepancias serán señalados en los registros del robot.

Cargar plantillas del SSP del FedRAMP al robot

Para automatizar y explorar el SSP del FedRAMP con el juego de herramientas de automatización de la generación de reportes de Diligent One, primero debe cargar las siguientes plantillas en la ficha Datos de trabajo del robot de automatización del SSP en la plataforma Diligent One:

  • Plantilla del SSP del FedRAMP que abarca las secciones 1 a 12.

  • Plantilla del apéndice A que abarca todos los controles de seguridad.

Nota

Ambas plantillas deben estar en formato .docx, y sus nombres de archivo deben coincidir exactamente en la sección Parámetros del robot de automatización del SSP. El robot utiliza estos nombres para completar correctamente la plantilla del SSP. Esto es fundamental, sobre todo, en el apéndice A, donde cada control puede incluir varios parámetros y pasos de implementación.

El robot analiza la plantilla para encontrar campos específicos y hacerlos coincidir con las entradas correspondientes del proyecto. Si los nombres no coinciden (por ejemplo, el nombre es "Parámetro A" en la plantilla, mientras que, en el proyecto, es "Param A"), el robot no podrá realizar la conexión. Este escenario deriva en lo siguiente:

  • Datos que faltan en la salida.

  • Mensajes de error en el documento generado.

  • Entradas en el registro de rastreo que muestran campos que no coinciden.

Configurar y ejecutar el robot del SSP

En la sección Tareas > Automatización del SSP del robot, los parámetros incluyen:

  • El identificador del proyecto desde el que se extraen los datos.

  • Los nombres de archivo de las plantillas cargadas del SSP y del apéndice A.

  • El token de la API, que inicia el proceso de automatización del SSP.

Después de la configuración, el robot importa los datos del proyecto, completa la plantilla seleccionada y genera dos archivos de salida listos para ser enviados. Puede descargar estos archivos de salida desde Detalles de las ejecuciones de las tareas del robot de automatización del SSP.

Si faltan los datos necesarios, aparecen mensajes de error en el documento de salida y en los registros de rastreo, lo que ayuda a identificar secciones incompletas o con formato incorrecto. Esta retroalimentación respalda un enfoque similar a una lista de verificación para completar todos los campos necesarios y garantizar la generación de reportes exitosa.

Configurar y ejecutar el robot OSCAL

El robot OSCAL, parte del juego de herramientas de generación de reportes del FedRAMP, exporta los datos del SSP en formato OSCAL (lenguaje abierto de evaluación de controles de seguridad) legible por máquina y cumple con los estándares definidos por NIST y FedRAMP.

Para empezar, puede acceder a la aplicación Robots, seleccionar el robot de exportación OSCAL del SSP y cargar las plantillas del SSP en la ficha Datos de trabajo. En la pantalla de parámetros del robot, ingrese la siguiente información:

  • Identificador del proyectoEl identificador de su proyecto del FedRAMP completado

  • El token de la API de Diligent OneEl token de HCL utilizado para la autenticación

Después de completar la configuración, el robot OSCAL agrega todos los datos y archivos adjuntos relevantes del proyecto para generar el archivo OSCAL del SSP legible por máquina.