Implementare il flusso di lavoro FedRAMP SSP

Il FedRAMP SSP Automation Robot aiuta a semplificare la generazione del System Security Plan (SSP) estraendo i dati strutturati da un progetto Diligent One ed esportandoli nel modello ufficiale FedRAMP SSP Word.

Scopri il flusso di lavoro FedRAMP SSP in questa sezione.

Che cos'è SSP?

Il System Security Plan (SSP) è il documento di conformità che i fornitori di servizi cloud (CSP) devono preparare e mantenere per ottenere l'autorizzazione FedRAMP. Il documento illustra il programma del fornitore, lo stato di autorizzazione, i limiti di sicurezza e i controlli dettagliati necessari per soddisfare gli standard federali. SSP comprende anche la proprietà del sistema, le responsabilità, l'architettura di rete, la separazione dei compiti e i sistemi sfruttati. Le sezioni principali presentano dettagli organizzativi e di sistema in tabelle standardizzate, mentre l'Appendice A documenta centinaia di controlli di sicurezza con specifiche di implementazione, ruoli e stato. Richiesti per l'autorizzazione iniziale, per le revisioni annuali e per le principali modifiche al sistema, i CSP devono aggiornare regolarmente la SSP e presentarla alle autorità di regolamentazione, fornendo ai valutatori prove da sottoporre ad audit dell'efficacia delle misure di sicurezza.

Il CSP crea e presenta la documentazione SSP durante il processo di approvazione dell'autorizzazione iniziale e il ciclo di revisione annuale.

Ruoli e prerequisiti per l'SSP

• Gli amministratori di sistema sono responsabili dell'installazione del kit di strumenti, della configurazione delle attività del robot e della gestione dei permessi.

• I proprietari dei progetti e i professionisti della sicurezza popolano i campi del progetto, aggiornano le prove di controllo e gestiscono gli allegati.

• Abbonamento al bundle del kit di strumenti IT Compliance - Federal Contracting Compliance.

• Accesso alle applicazioni di Diligent One Progetti, Risultati e Robot.

• Disponibilità dei controlli FedRAMP Rev. 5 e dei modelli compatibili.

Dove implementare SSP

Puoi implementare il flusso di lavoro SSP utilizzando le applicazioni Robot, Progetti, Risultati e Report di Diligent One.

• Robot automatizza l'estrazione dei dati dai progetti e popola i modelli SSP richiesti in formati leggibili dall'uomo (Word) e dal computer (OSCAL).

• Progetti funge da hub centralizzato per la raccolta, l'organizzazione e l'archiviazione di tutti i dati relativi all'SSP, compresi i dettagli del sistema e l'implementazione dei controlli.

• Risultati fornisce un inventario strutturato delle vulnerabilità. Puoi collegarli ai controlli e associarli alle prove di conformità in corso, soprattutto quando integri i report POAM e SSP.

• Report utilizza modelli standardizzati per generare SSP. Se necessario, puoi anche allegare prove a sostegno.

Passaggi

Creare un progetto FedRAMP

Il tipo di progetto Reporting FedRAMP di Diligent One è preconfigurato per soddisfare i requisiti FedRAMP ed è compatibile con i robot di automazione. Questo tipo di progetto include attributi e sezioni precostituite su misura per FedRAMP. Include:

• Dati SSP a livello di sistema (sezioni da 1 a 12)

• Dati sull'implementazione a livello di controllo (Appendice A)

Configurare la scheda System Security Plan

In un progetto FedRAMP appena creato, la scheda System Security Plan, detta anche scheda Informazioni sul System Security Plan, fornisce campi strutturati per inserire i dati della sezione SSP richiesti. In ogni sezione sono state aggiunte tabelle di esempio per favorire una formattazione coerente. Puoi acquisire dati strutturati che corrispondono direttamente alle sezioni da 1 a 12 del modello FedRAMP SSP.

Queste tabelle aiutano a garantire che i robot di automazione possano importare e mappare accuratamente i dati del progetto nel modello SSP. I campi e le tabelle obbligatori sono i seguenti:

Scheda Allegati SSP

FedRAMP impone ai fornitori di servizi cloud (CSP) di presentare diverse appendici e documenti supplementari insieme alla SSP principale. Questi materiali di supporto includono in genere:

• Diagrammi di architettura

• Illustrazioni dei confini di rete

• Documenti di policy

• Inventari dei componenti di sistema

• Altri artefatti tecnici o procedurali

La scheda Allegati SSP fornisce un modo strutturato per:

• Caricare questi documenti direttamente nel progetto.

• Fare riferimento a essi nell'esportazione SSP.

• Indicare se ogni allegato è incluso nella versione attuale dell'SSP.

Ogni voce della scheda comprende i seguenti campi:

• Nome/Titolo dell'allegato

• ID del System Security Plan

• Includi gli allegati nella versione corrente di SSP

• Tipo di allegato

• URL allegato n. 1

• URL allegato n. 2

Dopo aver inserito i dettagli richiesti, viene caricato il file allegato vero e proprio, ad esempio un documento PDF, Word o un'immagine. Questo approccio supporta l'accesso centralizzato e il controllo delle versioni all'interno del progetto.

Importare i controlli

Il flusso di lavoro del Progetto di reporting FedRAMP in Diligent One assicura che i controlli di sicurezza FedRAMP Rev. 5 corretti siano inclusi e correttamente referenziati per l'automazione. Questi controlli devono essere già presenti nella Mappa di conformità o nel framework di riferimento dell'organizzazione prima dell'impostazione del progetto. In un progetto di reporting FedRAMP, i controlli possono essere importati o definiti, con una mappatura e una formattazione accurate, necessarie per soddisfare le specifiche FedRAMP e supportare l'automazione.

La linea di base utilizzata nel Progetto di reporting FedRAMP è selezionata in base alla classificazione del sistema, con dettagli tratti dal kit di strumenti FedRAMP Rev. 5 Security Controls. Dopo aver identificato il riferimento appropriato, come Moderato o Alto, vengono aggiunte al progetto le famiglie di controllo pertinenti per supportare una mappatura e un'automazione accurate.

Aggiungere i dettagli del controllo

I parametri di controllo e le fasi di implementazione sono necessari per ogni controllo per consentire ai robot di reporting FedRAMP di generare un report SSP completo. Preparare il progetto per produrre SSP leggibile e in formato OSCAL significa assicurarsi che questi campi siano inseriti correttamente e strutturati secondo le aspettative FedRAMP:

• Parametri di controlloNella scheda Controllo, vengono aggiunte le tabelle dei parametri preformattate con i nomi dei parametri corretti per tale controllo.

  

• Tabella di implementazione del controllo (guida dettagliata)Nella scheda Guida dettagliata, aggiungi una tabella delle fasi di implementazione che indichi qual è la soluzione e come viene implementata. Ogni controllo può avere un nome o un numero di fasi diverso.

  Nota

  Alcuni controlli includono solo una fase di implementazione, mentre altri possono non richiedere alcun parametro. Per i controlli senza parametri, il passaggio corrispondente non è applicabile e può essere omesso senza influenzare la generazione del report.



• Attributi di controllo aggiuntiviOgni controllo include:

  • ID di controllo

  • Ruolo responsabile

  • Parametri di controllo

  • Fasi di implementazione

  • Stato di implementazione

  • Origine del controllo e dettagli ereditati

  • Osservazioni

  Nota

  Non modificare i nomi dei parametri o dei passaggi; i nomi standardizzati sono necessari per la buona riuscita dell'esportazione. Gli errori o le non corrispondenze saranno segnalati nei log del robot.

Caricare i modelli FedRAMP SSP sul robot

Per automatizzare ed esplorare il System Security Plan di FedRAMP utilizzando il kit di strumenti Diligent One Reporting Automation, devi prima caricare i seguenti modelli nella scheda Dati di lavoro del Robot di automazione del System Security Plan nella piattaforma Diligent One:

• Modello FedRAMP SSP che copre le sezioni da 1 a 12

• Modello dell'Appendice A che copre tutti i controlli di sicurezza

Il robot analizza il modello per trovare campi specifici e abbinarli alle voci corrispondenti del progetto. Se i nomi non corrispondono (ad esempio, Parametro A nel modello rispetto a Param A nel progetto), il robot non riesce a stabilire la connessione. Questo scenario si traduce in:

• Dati mancanti nell'output.

• Messaggi di errore nel documento generato.

• Voci del registro di tracciamento che indicano campi non corrispondenti.

Configurare ed eseguire il robot SSP

Nella sezione Attività > Automazione SSP del robot, i parametri includono:

• L'ID del progetto da cui vengono estratti i dati.

• I nomi dei file dei modelli SSP e Appendice A caricati.

• Token API, che avvia il processo di automazione SSP.

Dopo la configurazione, il robot importa i dati del progetto e popola il modello selezionato, generando due file di output pronti per essere inviati. Puoi scaricare questi file di output da Dettagli di esecuzione dell'attività del Robot di automazione SSP.

Se mancano i dati richiesti, i messaggi di errore appaiono nel documento di output e nei log di tracciamento, aiutando a identificare le sezioni incomplete o formattate in modo errato. Questo feedback supporta un approccio in stile lista di controllo per completare tutti i campi necessari alla generazione del report.

Configurare ed eseguire il robot OSCAL

Il Robot OSCAL, che fa parte del kit di strumenti Reporting FedRAMP, esporta i dati SSP nel formato leggibile dal computer Open Security Controls Assessment Language (OSCAL), secondo gli standard definiti da NIST e FedRAMP.

Per iniziare, puoi accedere all'applicazione Robot, selezionare il Robot di esportazione SSP OSCAL e caricare i modelli SSP nella scheda Dati di lavoro. Nella schermata dei parametri del robot, inserisci i seguenti dettagli:

• ID del progettoL'identificativo del tuo progetto FedRAMP completato.

• Token API di Diligent OneIl token HCL utilizzato per l'autenticazione.

Dopo aver completato la configurazione, Robot OSCAL aggrega tutti i dati e gli allegati del progetto per generare il file OSCAL SSP leggibile dal computer.