FedRAMP SSP-workflow implementeren

De FedRAMP SSP-automatiseringsrobot helpt bij het stroomlijnen van het genereren van het System Security Plan (SSP) door gestructureerde gegevens uit een Diligent One-project te extraheren en te exporteren naar de officiële FedRAMP SSP Word-sjabloon.

Meer informatie over de FedRAMP SSP-workflow vindt u in dit gedeelte.

Wat is SSP?

Het System Security Plan (SSP) is het nalevingsdocument dat cloudserviceproviders (CSP's) moeten voorbereiden en onderhouden voor FedRAMP-autorisatie. Hierin worden het programma van de provider, de autorisatiestatus, de beveiligingsgrenzen en de gedetailleerde controles beschreven die nodig zijn om te voldoen aan federale normen. Het SSP omvat ook het eigendom van het systeem, verantwoordelijkheden, netwerkarchitectuur, scheiding van taken en gebruikte systemen. In de hoofdgedeelten worden organisatorische en systeemdetails in gestandaardiseerde tabellen weergegeven, terwijl Bijlage A honderden beveiligingscontroles met implementatiedetails, rollen en status documenteert. Als vereiste voor initiële autorisatie, jaarlijkse beoordelingen en grote systeemwijzigingen moeten de CSP's het SSP regelmatig bijwerken en aan de regelgevers voorleggen, zodat beoordelaars kunnen aantonen dat zij effectieve beveiligingsmaatregelen hebben genomen.

De CSP maakt en verzendt SSP-documentatie tijdens het goedkeuringsproces voor de eerste autorisatie en de jaarlijkse beoordelingscyclus.

Rollen en vereisten voor SSP

• Systeembeheerders zijn verantwoordelijk voor het installeren van de toolkit, het configureren van robottaken en het beheren van machtigingen.

• Projecteigenaren en beveiligingsprofessionals vullen projectvelden in, werken controlegegevens bij en beheren bijlagen.

• Abonnement op de bundel IT Compliance – Federal Contracting Compliance Toolkit.

• Toegang tot de apps Diligent One Projecten, Resultaten en Robots.

• Beschikbaarheid van FedRAMP Rev. 5-Controles en compatibele sjablonen.

Waar implementeer ik SSP

U kunt de SSP-workflow implementeren met de apps Robots, Projecten, Resultaten en Rapporten in Diligent One.

• Robots automatiseren het extraheren van gegevens uit Projecten en vullen de vereiste SSP-sjablonen in door mensen leesbare (Word) en machine leesbare (OSCAL) indelingen.

• Projecten dienen als een centrale hub voor het verzamelen, organiseren en opslaan van alle SSP-gerelateerde gegevens, inclusief systeemdetails en controle-implementatie.

• Resultaten bieden een gestructureerde inventaris van kwetsbaarheden. U kunt deze koppelen aan controles en aan doorlopende nalevingsgegevens, met name bij het integreren van POAM- en SSP-rapporten.

• Rapporten maken gebruik van gestandaardiseerde sjablonen om SSP te genereren. U kunt indien nodig ook ondersteunend bewijs bijvoegen.

Stappen

FedRAMP-project maken

Het FedRAMP Reporting-projecttype in Diligent One is vooraf geconfigureerd om te voldoen aan FedRAMP-vereisten en is compatibel met automatiseringsrobots. Dit projecttype bevat vooraf gebouwde attributen en secties die zijn afgestemd op FedRAMP. Het bevat:

• SSP-gegevens op systeemniveau (sectie 1 tot en met 12)

• Uitvoeringsgegevens op controleniveau (Bijlage A)

Het tabblad Systeembeveiligingsplan instellen

In een nieuw FedRAMP-project bevat het tabblad Systeembeveiligingsplan, ook wel het tabblad Informatie over systeembeveiligingsplan genoemd, gestructureerde velden voor het invoeren van de vereiste SSP-sectiegegevens. Aan elke sectie worden relevante voorbeeldtabellen toegevoegd om consistente opmaak te ondersteunen. U kunt gestructureerde gegevens vastleggen die rechtstreeks zijn gekoppeld aan secties 1 tot en met 12 van de FedRAMP SSP-sjabloon.

Deze tabellen helpen ervoor te zorgen dat automatiseringsrobots projectgegevens nauwkeurig kunnen importeren en toewijzen in de SSP-sjabloon. Verplichte velden en tabellen zijn onder andere:

Tabblad SSP-bijlage

FedRAMP verplicht cloudserviceproviders (CSP's) om verschillende bijlagen en aanvullende documenten in te dienen samen met de belangrijkste SSP. Deze ondersteunende materialen omvatten meestal:

• Architectuurdiagrammen

• Illustraties van netwerkgrenzen

• Beleidsdocumenten

• Inventarisatie van systeemcomponenten

• Andere technische of procedurele artefacten

Het tabblad SSP-bijlagen biedt een gestructureerde manier om:

• Deze documenten rechtstreeks naar het project te uploaden.

• Ernaar te verwijzen in de SSP-export.

• Aan te geven of elke bijlage is opgenomen in de huidige versie van het SSP.

Elk item op het tabblad bevat de volgende velden:

• Naam/titel van de bijlage

• Systeembeveiligingsplan-ID

• Bijlagen opnemen in de huidige versie van SSP

• Type bijlage

• URL van bijlage 1

• URL van bijlage 2

Nadat u de vereiste gegevens hebt ingevoerd, wordt het bijgevoegde bestand, zoals een PDF-, Word-document of afbeelding, geüpload. Deze aanpak ondersteunt centrale toegang en versiebeheer binnen het project.

Controles importeren

De FedRAMP Reporting Project-workflow in Diligent One zorgt ervoor dat de juiste FedRAMP Rev. 5 beveiligingscontroles zijn opgenomen en dat er correct naar wordt verwezen voor automatisering. Deze controles moeten al aanwezig zijn in de Nalevingskaart of het Raamwerk van de organisatie voordat het project wordt opgezet. In een FedRAMP Reporting Project kunnen de controles worden geïmporteerd of gedefinieerd, met nauwkeurige toewijzing en opmaak die nodig zijn om te voldoen aan FedRAMP-specificaties en om automatisering te ondersteunen.

De basislijn die in het FedRAMP Reporting Project wordt gebruikt, wordt geselecteerd op basis van systeemcategorisatie, met details afkomstig uit de FedRAMP Rev. 5 Security Controls Toolkit. Nadat de juiste basislijn, zoals Gemiddeld of Hoog, is vastgesteld, worden de relevante controlefamilies aan het project toegevoegd om nauwkeurige toewijzing en automatisering te ondersteunen.

Controledetails toevoegen

Voor elke controle zijn controleparameters en implementatiestappen vereist om ervoor te zorgen dat FedRAMP-robots een volledig SSP-rapport kunnen genereren. Het project voorbereiden om een door mensen leesbaar SSP in OSCAL-indeling te produceren, houdt in dat deze velden correct worden ingevoerd en gestructureerd volgens de verwachtingen van FedRAMP:

• ControleparametersOp het tabblad Controle worden de vooraf opgemaakte parametertabellen met de juiste parameternamen voor die controle toegevoegd.

  

• Tabel voor implementatie van controle (Stapsgewijze beschrijving)Voeg op het tabblad Stapsgewijze beschrijving een tabel met implementatiestappen toe waarin wordt aangegeven wat de oplossing is en hoe deze wordt geïmplementeerd. Elke controle kan verschillende nummers of namen van stappen hebben.

  Opmerking

  Sommige controles bevatten slechts één implementatiestap, terwijl andere geen parameters vereisen. Voor controles zonder parameters is de bijbehorende stap niet van toepassing en kan deze worden weggelaten zonder dat dit invloed heeft op het genereren van rapporten.



• Aanvullende controle-attributenElke controle omvat:

  • Controle-ID

  • Verantwoordelijke rol

  • Controleparameters

  • Implementatiestappen

  • Implementatiestatus

  • Controle-oorsprong en overgenomen gegevens

  • Opmerkingen

  Opmerking

  Wijzig geen parameter- of stapnamen; gestandaardiseerde namen zijn vereist voor succesvolle export. Fouten of mismatches worden gemarkeerd in robotlogboeken.

FedRAMP SSP-sjablonen uploaden naar robot

Om het FedRAMP-systeembeveiligingsplan te automatiseren en te verkennen met de Diligent One Reporting Automation Toolkit, moet u eerst de volgende sjablonen uploaden naar het tabblad Werkgegevens van de automatiseringsrobot voor Systeembeveiligingsplan in het Diligent One-platform:

• FedRAMP SSP-sjabloon voor sectie 1 tot en met 12

• Bijlage A-sjabloon die alle beveiligingscontroles omvat

De robot parseert de sjabloon om specifieke velden te vinden en deze te koppelen aan overeenkomstige items in het project. Als namen niet overeenkomen (bijvoorbeeld Parameter A in de sjabloon versus Param A in het project), kan de robot geen verbinding maken. Dit scenario resulteert in:

• Ontbrekende gegevens in de uitvoer.

• Foutberichten in het gegenereerde document.

• Items in het traceerlogboek die niet-overeenkomende velden aangeven.

SSP-robot instellen en uitvoeren

In de sectie Taken > SSP-automatisering van de robot zijn de volgende parameters beschikbaar:

• De project-ID waaruit de gegevens worden opgehaald.

• De bestandsnamen van de geüploade SSP- en Bijlage A-sjablonen.

• API-token, waarmee het SSP-automatiseringsproces wordt gestart.

Na de configuratie importeert de robot projectgegevens en vult de geselecteerde sjabloon, waardoor twee uitvoerbestanden worden gegenereerd die gereed zijn voor verzending. U kunt deze uitvoerbestanden downloaden van Details van taakuitvoering van de SSP-automatiseringsrobot.

Als de vereiste gegevens ontbreken, verschijnen er foutmeldingen in het uitvoerdocument en de traceerlogboeken, zodat onvolledige of onjuist opgemaakte secties kunnen worden geïdentificeerd. Deze feedback ondersteunt een checklist-achtige aanpak voor het invullen van alle benodigde velden voor het succesvol genereren van rapporten.

De OSCAL-robot instellen en uitvoeren

De OSCAL-robot, onderdeel van de FedRAMP Reporting Toolkit, exporteert SSP-gegevens naar een machineleesbare OSCAL-indeling (Open Security Controls Assessment Language), volgens de normen die zijn gedefinieerd door NIST en FedRAMP.

Om te beginnen opent u tot de Robots-app, selecteert u de SSP OSCAL-exportrobot en uploadt u de SSP-sjablonen naar het tabblad Werkgegevens. Op het parameterscherm van de robot voert u de volgende gegevens in:

• Project-IDDe id voor uw voltooide FedRAMP-project.

• Diligent One API-tokenHet HCL-token dat wordt gebruikt voor verificatie.

Nadat u de configuratie hebt voltooid, voegt de OSCAL-robot alle relevante projectgegevens en bijlagen samen om het machineleesbare OSCAL SSP-bestand te genereren.