Guide alla soluzioneImplementare il kit di strumenti di reporting FedRAMP, SSP, POAM e OSCAL
Il kit di strumenti di creazione di rapporti FedRAMP SSP, POAM e OSCAL è una soluzione integrata nella piattaforma Diligent One che aiuta i fornitori di servizi cloud federali ad automatizzare la creazione e la gestione dei principali documenti di conformità FedRAMP. Ciò include System Security Plan (SSP), Plan of Action and Milestones (POAM) e i risultati leggibili da computer dell'Open Security Control Assessment Language (OSCAL). Questi artefatti sono fondamentali per mantenere l'autorizzazione FedRAMP e tradizionalmente richiedono molto tempo per essere prodotti e aggiornati. Il kit di strumenti automatizza i processi di raccolta, normalizzazione ed esportazione dei dati, riducendo il lavoro manuale e migliorando l'accuratezza.
Progettato per far fronte al pesante carico di lavoro della documentazione, il kit di strumenti semplifica il modo in cui i fornitori preparano, mantengono e aggiornano i loro rapporti SSP e POAM. SSP delinea il perimetro di autorizzazione del fornitore, l'architettura del sistema e l'implementazione di centinaia di controlli di sicurezza. POAM tiene traccia delle vulnerabilità e degli sforzi per porvi rimedio e deve essere aggiornato e presentato regolarmente alle autorità di regolamentazione federali.
Che cos'è OSCAL?
OSCAL fornisce formati standardizzati e leggibili da computer che aiutano le organizzazioni a rappresentare la documentazione sulla sicurezza informatica, compresi i cataloghi dei controlli, le linee di base, i piani di sicurezza del sistema (SSP) e i risultati delle valutazioni. Sviluppato dal National Institute of Standards and Technology (NIST), OSCAL utilizza XML, JSON e YAML per supportare l'automazione, l'interoperabilità e la coerenza nella documentazione, nello scambio e nella valutazione dei controlli di sicurezza e degli artefatti di conformità.
Il processo di autorizzazione FedRAMP prevede che i CSP presentino i documenti chiave, come SSP e POAM, in formati tradizionali leggibili dall'uomo e in OSCAL. Utilizzando OSCAL, le organizzazioni automatizzano i complessi processi di creazione di rapporti e valutazione continua, snelliscono i flussi di lavoro di conformità e accelerano i cicli di revisione. I sistemi possono convalidare ed elaborare i documenti OSCAL in modo programmatico, riducendo lo sforzo manuale e migliorando la coerenza tra le revisioni.
Componenti del kit di strumenti
Al momento dell'installazione, il kit di strumenti include diversi robot preconfigurati, tipi di progetto, inventari dei risultati e questionari per supportare la generazione automatica di rapporti e la gestione dei dati.
Robots
Robot di automazione SSP
Genera un rapporto completo sul System Security Plan (SSP) estraendo i dati strutturati dal progetto Diligent One FedRAMP e inserendoli nel modello Word.
Automatizza il popolamento dei dati sia per le sezioni SSP principali (da 1 a 12) sia per l'Appendice A, che descrive in dettaglio l'implementazione dei controlli.
Supporta esportazioni sia in formato leggibile dall'uomo (Word) sia in formato leggibile da computer (OSCAL).
Robot di automazione POAM FedRAMP
Robot di automazione della scansione di sicurezza FedRAMP
Importa i dati sulle vulnerabilità direttamente dalle esportazioni CSV degli scanner di sicurezza, come Tenable, Rapid7 e Qualys.
Normalizza i dati nell'inventario POAM all'interno dell'applicazione Risultati.
Robot di automazione delle vulnerabilità SAR FedRAMP
Importa le vulnerabilità identificate nei rapporti annuali di valutazione della sicurezza (SAR) e le mappa con i relativi controlli di sicurezza.
Robot POAM OSCAL
Converte l'inventario POAM nel formato OSCAL per supportare la presentazione di documenti normativi leggibili da computer.
Altri componenti
Tipo di progetto Raccolta di rapporti
Formato di progetto preconfigurato in Diligent One progettato per centralizzare e gestire tutti i dettagli dell'implementazione FedRAMP e gli artefatti di conformità.
Raccolta dei risultati POAM
Tabella dei risultati centralizzata per inserire, normalizzare e deduplicare i dati sulle vulnerabilità, a supporto di tutti i rapporti FedRAMP richiesti.
Questionari per sviluppatori POAM
Moduli in linea per inserire manualmente i dettagli delle vulnerabilità che non sono disponibili nelle scansioni automatiche.
