Mise en œuvre du flux de travail SSP FedRAMP

Le robot d’automatisation SSP FedRAMP permet de rationaliser la génération du plan de sécurité du système (SSP) en extrayant les données structurées d’un projet Diligent One et en les exportant vers le modèle Word SSP FedRAMP officiel.

Découvrez le flux de travail SSP FedRAMP dans cette section.

Qu’est-ce que le SSP ?

Le plan de sécurité du système (SSP, System Security Plan) est le document de conformité que les fournisseurs de services cloud (CSP) doivent préparer et tenir à jour pour obtenir l’autorisation FedRAMP. Il décrit le programme du fournisseur, le statut d’autorisation, les limites de sécurité et les contrôles détaillés requis pour respecter les normes fédérales. Le SSP inclut également la propriété du système, les responsabilités, l’architecture réseau, la séparation des tâches et les systèmes utilisés. Ses principales sections présentent les détails organisationnels et système dans des tables standardisées, tandis que l’annexe A documente des centaines de contrôles de sécurité avec des spécificités de mise en œuvre, des rôles et des statuts. Requis pour l’autorisation initiale, les examens annuels et les modifications majeures du système, les CSP doivent régulièrement mettre à jour le SSP et le soumettre aux régulateurs, fournissant ainsi aux évaluateurs des preuves à auditer de l’efficacité des mesures de sécurité.

Le CSP crée et soumet la documentation SSP pendant le processus d’autorisation initiale et le cycle d’examen annuel.

Rôles et prérequis pour le SSP

  • Les administrateurs système sont chargés d’installer le kit de ressources, de configurer les tâches de robot et de gérer les autorisations.

  • Les propriétaires de projet et les professionnels de la sécurité remplissent les champs du projet, mettent à jour les preuves de contrôle et gèrent les pièces jointes.

  • Abonnement au paquet du kit de ressources Compliance – Federal Contracting Compliance Toolkit.

  • Accès aux applications Projets, Résultats et Robots de Diligent One.

  • Disponibilité des contrôles FedRAMP Rev. 5 et des modèles compatibles.

Où puis-je mettre en œuvre le SSP ?

Vous pouvez mettre en œuvre le flux de travail SSP à l’aide des applications Robots, Projets, Résultats et Rapports dans Diligent One

  • L’application Robots automatise l’extraction des données depuis Projets et remplit les modèles SSP requis dans des formats lisibles par machine (Word) et par la machine (OSCAL).

  • L’application Projets sert de plateforme centralisée pour la collecte, l’organisation et le stockage de toutes les données liées au SSP, y compris les détails du système et la mise en œuvre des contrôles.

  • L’application Résultats fournit un inventaire structuré des vulnérabilités. Vous pouvez les relier aux contrôles et les associer à des preuves de conformité continues, en particulier lors de l’intégration des rapports POAM et SSP.

  • L’application Rapports utilise des modèles normalisés pour générer le SSP. Vous pouvez également joindre des éléments justificatifs si nécessaire.

Étapes

Créer un projet FedRAMP

Le type de projet de reporting FedRAMP dans Diligent One est préconfiguré pour répondre aux exigences FedRAMP et est compatible avec les robots d’automatisation. Ce type de projet comprend des attributs et des sections prédéfinis adaptés à FedRAMP. Il inclut :

  • Données SSP au niveau du système (sections 1 à 12)

  • Données de mise en œuvre au niveau des contrôles (Annexe A)

Configurer l’onglet Plan de sécurité du système

Dans un projet FedRAMP nouvellement créé, l’onglet Plan de sécurité du système, également appelé onglet Informations sur le plan de sécurité du système, fournit des champs structurés pour saisir les données requises dans la section SSP. Des exemples de tables pertinents sont ajoutés à chaque section afin de garantir une mise en forme cohérente. Vous pouvez saisir des données structurées qui correspondent directement aux sections 1 à 12 du modèle SSP FedRAMP.

Ces tables permettent de garantir que les robots d’automatisation peuvent importer et mapper avec précision les données du projet dans le modèle SSP. Les champs et tables requis sont les suivants :

ChampDétails
Préparé parComprend les informations sur le préparateur et l’organisation
Informations sur le systèmeDétails de base sur le système
Propriétaire du systèmeCoordonnées
Point de contact ISSOContact InfoSec
Systèmes FedRAMP et systèmes externes utilisésSystèmes à l’intérieur et à l’extérieur des limites d’autorisation
Services, ports et protocolesInformations techniques
Séparation des tâchesAccès et responsabilités basés sur les rôles
Pièces jointes SSPDocuments annexes (par exemple, schémas d’architecture)

Onglet Pièces jointes SSP

FedRAMP impose aux fournisseurs de services cloud (CSP) de soumettre plusieurs annexes et documents supplémentaires avec le SSP principal. Ces documents justificatifs comprennent généralement les éléments suivants :

  • Diagrammes d’architecture

  • Illustrations des limites du réseau

  • Documents de politique

  • Inventaires des composants du système

  • Autres artefacts techniques ou procéduraux

L’onglet Pièces jointes SSP offre un moyen structuré :

  • de charger ces documents directement dans le projet ;

  • de les référencer dans l’exportation du SSP ;

  • d’indiquer si chaque pièce jointe est incluse dans la version actuelle du SSP.

Chaque entrée de l’onglet comprend les champs suivants :

  • Nom/titre de la pièce jointe

  • ID du plan de sécurité du système

  • Inclure les pièces jointes dans la version actuelle du SSP

  • Type de pièce jointe

  • URL de la pièce jointe n° 1

  • URL de la pièce jointe n° 2

Après avoir saisi les informations requises, le fichier joint, tel qu’un PDF, un document Word ou une image, est chargé. Cette approche permet un accès centralisé et un contrôle des versions au sein du projet.

Importer des contrôles

Le flux de travail du projet de reporting FedRAMP dans Diligent One garantit que les contrôles de sécurité FedRAMP Rev. 5 appropriés sont inclus et correctement référencés pour l’automatisation. Ces contrôles doivent déjà exister dans Cadre ou Carte de conformité de l’organisation avant la mise en place du projet. Dans un projet de reporting FedRAMP, les contrôles peuvent être importés ou définis, avec un mappage et une mise en forme précise requise pour répondre aux spécifications FedRAMP et prendre en charge l’automatisation.

La base de référence utilisée dans le projet de reporting FedRAMP est sélectionnée en fonction de la catégorisation du système, les détails provenant du kit de ressources de contrôle de sécurité FedRAMP Rev. 5. Une fois la base de référence appropriée, telle que Modéré ou Élevé, identifiée, les familles de contrôles pertinentes sont ajoutées au projet afin de permettre un mappage et une automatisation précis.

Ajouter les détails de contrôle

Les paramètres de contrôle et les étapes de mise en œuvre sont requis pour chaque contrôle afin de permettre aux robots de reporting FedRAMP de générer un rapport SSP complet. La préparation du projet pour produire un SSP lisible par l’homme et au format OSCAL implique de s’assurer que ces champs sont correctement remplis et structurés conformément aux attentes de FedRAMP :

  • Paramètres de contrôleDans l’onglet Contrôle, les tables de paramètres préformatés avec les noms de paramètres corrects pour ce contrôle sont ajoutés.

  • Table de mise en œuvre du contrôle (Revue générale)Dans l’onglet Revue générale, ajoutez une table des étapes de mise en œuvre indiquant la solution et la manière dont elle est mise en œuvre. Chaque contrôle peut avoir un nombre ou des noms d’étapes différents.

    Note

    Certains contrôles ne comprennent qu’une seule étape de mise en œuvre, tandis que d’autres peuvent ne nécessiter aucun paramètre. Pour les contrôles sans paramètres, l’étape correspondante n’est pas applicable et peut être omise sans affecter la génération du rapport.

  • Attributs de contrôle supplémentairesChaque commande comprend les éléments suivants :

    • ID du contrôle

    • Rôle responsable

    • Paramètres de contrôle

    • Étapes de mise en œuvre

    • Statut de la mise en œuvre

    • Origine du contrôle et détails hérités

    • Remarques

    Note

    Ne modifiez pas les noms des paramètres ou des étapes : des noms standardisés sont requis pour une exportation réussie. Les erreurs ou les incohérences seront signalées dans les journaux du robot.

Charger les modèles SSP FedRAMP vers le robot

Pour automatiser et explorer le plan de sécurité du système FedRAMP à l’aide du kit de ressources d’automatisation du reporting Diligent One, vous devez d’abord charger les modèles suivants vers l’onglet Données de travail du robot d’automatisation du plan de sécurité du système dans la plateforme Diligent One :

  • Modèle SSP FedRAMP couvrant les sections 1 à 12

  • Modèle de l’annexe A couvrant tous les contrôles de sécurité.

Note

Les deux modèles doivent être au format .docx et leurs noms de fichier doivent correspondre exactement à ceux de la section des paramètres du robot d’automatisation SSP. Le robot utilise ces noms pour remplir correctement le modèle SSP. Ceci est particulièrement important dans l’annexe A, où chaque contrôle peut comporter plusieurs paramètres et étapes de mise en œuvre.

Le robot analyse le modèle pour trouver des champs spécifiques et les faire correspondre aux entrées correspondantes dans le projet. Si les noms ne correspondent pas (par exemple, Paramètre A dans le modèle contre Param A dans le projet), le robot ne parvient pas à établir la connexion. Ce scénario entraîne :

  • des données manquantes dans la sortie ;

  • des messages d’erreur dans le document généré ;

  • des entrées de journal de trace indiquant les champs non correspondants.

Configurer et exécuter le robot SSP

Dans la section Tâches > Automatisation SSP du robot, les paramètres comprennent les éléments suivants :

  • L’ID du projet à partir duquel les données sont extraites.

  • Les noms de fichiers des modèles SSP et Annexe A chargés.

  • Le jeton API, qui lance le processus d’automatisation SSP.

Après la configuration, le robot importe les données du projet et remplit le modèle sélectionné, générant deux fichiers de sortie prêts à être soumis. Vous pouvez charger ces fichiers de sortie à partir des détails d’exécution de la tâche du robot d’automatisation SSP.

Si des données requises sont manquantes, des messages d’erreur apparaissent dans le document de sortie et les journaux de trace, ce qui permet d’identifier les sections incomplètes ou mal formatées. Ces commentaires permettent d’adopter une approche de type liste de contrôle pour remplir tous les champs nécessaires à une génération réussie du rapport.

Configurer et exécuter le robot OSCAL

Le robot OSCAL, qui fait partie du kit de ressources de reporting FedRAMP, exporte les données SSP au format OSCAL (Open Security Controls Assessment Language) lisible par machine, conformément aux normes définies par le NIST et FedRAMP.

Pour commencer, vous pouvez accéder à l’application Robots, sélectionner le robot d’exportation OSCAL SSP et charger les modèles SSP dans l’onglet Données de travail. Dans l’écran des paramètres du robot, vous saisissez les informations suivantes :

  • ID projetL’identifiant de votre projet FedRAMP terminé.

  • Jeton API Diligent OneLe jeton HCL utilisé pour l’authentification.

Une fois la configuration terminée, le robot OSCAL agrège toutes les données et pièces jointes pertinentes du projet afin de générer le fichier SSP OSCAL lisible par machine.