Mise en œuvre de FedRAMP, SSP, POAM et du kit de ressources de reporting OSCAL

Le kit de ressources de reporting SSP, POAM et OSCAL FedRAMP est une solution intégrée à la plateforme Diligent One qui aide les fournisseurs de services cloud fédéraux à automatiser la création et la gestion des documents clés de conformité FedRAMP. Il s’agit notamment du plan de sécurité du système (SSP), du plan d’action et des étapes clés (POAM) et des résultats lisibles par machine du langage OSCAL (Open Security Control Assessment Language). Ces artefacts sont essentiels pour maintenir l’autorisation FedRAMP. Leur production et leur mise à jour prennent généralement beaucoup de temps. Ce kit de ressources automatise les processus de collecte, de normalisation et d’exportation de données, réduisant ainsi les efforts manuels et améliorant la précision.

Conçu pour répondre à la lourde charge de travail liée à la documentation, le kit de ressources simplifie la manière dont les fournisseurs préparent, maintiennent et mettent à jour leurs rapports SSP et POAM. Le SSP fournit un aperçu des limites de l’autorisation du fournisseur, de l’architecture du système et de la mise en œuvre de centaines de contrôles de sécurité. Le POAM suit les vulnérabilités et les efforts de remédiation. Il doit être mis à jour et soumis régulièrement aux régulateurs fédéraux.

Qu’est-ce que l’OSCAL ?

L’OSCAL fournit des formats standardisés et lisibles par machine qui aident les organisations à représenter la documentation relative à la cybersécurité, notamment les catalogues de contrôles, les références, les plans de sécurité des systèmes (SSP) et les résultats des évaluations. Développé par le National Institute of Standards and Technology (NIST), OSCAL utilise les formats XML, JSON et YAML pour prendre en charge l’automatisation, l’interopérabilité et la cohérence dans la documentation, l’échange et l’évaluation des contrôles de sécurité et des artefacts de conformité.

Le processus d’autorisation FedRAMP exige des CSP qu’ils soumettent des documents clés, tels que le SSP et le POAM, dans des formats traditionnels lisibles par l’utilisateur et OSCAL. Grâce à OSCAL, les organisations automatisent les processus complexes de génération de rapports et d’évaluation continue, rationalisent les flux de travail de conformité et accélèrent les cycles de révision. Les systèmes peuvent valider et traiter les documents OSCAL de manière programmatique, ce qui réduit les efforts manuels et améliore la cohérence entre les révisions.

Composants du kit de ressources

Une fois installé, le kit de ressources comprend plusieurs robots préconfigurés, types de projets, inventaires de résultats et questionnaires pour prendre en charge la génération automatisée de rapports et la gestion des données.

Robots

Robot d’automatisation SSP

  • Génère un rapport complet sur le plan de sécurité du système (SSP) en extrayant des données structurées de votre projet FedRAMP Diligent One et en les fusionnant dans le modèle Word.

  • Automatise le remplissage des données pour les sections principales du SSP (1 à 12) et l’Annexe A, qui détaille la mise en œuvre des contrôles.

  • Prend en charge les exportations dans des formats lisibles par machine (Word) et par la machine (OSCAL).

Robot d’automatisation POAM FedRAMP

  • Robot d’automatisation des analyses de sécurité FedRAMP.

    • Importe les données de vulnérabilité directement à partir des exportations CSV des scanners de sécurité, tels que Tenable, Rapid7 et Qualys.

    • Normalise les données dans l’inventaire POAM au sein de l’application Résultats.

  • Robot d’automatisation des vulnérabilités SAR FedRAMP

    Importe les vulnérabilités identifiées dans les rapports d’évaluation de sécurité annuels (SAR) et les mappe aux contrôles de sécurité pertinents.

  • Robot OSCAL POAM

    Convertit l’inventaire POAM au format OSCAL pour prendre en charge les soumissions réglementaires lisibles par machine.

Autres composants

  • Type de projet de collecte de rapports

    Format de projet préconfiguré dans Diligent One conçu pour centraliser et gérer tous les détails de mise en œuvre et les artefacts de conformité FedRAMP.

  • Collection de Résultats POAM

    Table de résultats centralisée pour la saisie, la normalisation et la déduplication des données de vulnérabilité, prenant en charge tous les rapports FedRAMP requis.

  • Questionnaires sur le générateur POAM

    Formulaires en ligne pour la saisie manuelle des détails de vulnérabilité qui ne sont pas disponibles à partir des analyses automatisées.