Implementatie van FedRAMP-, SSP-, POAM- en OSCAL-rapportagetoolkit

De FedRAMP SSP-, POAM- en OSCAL-rapportagetoolkit is een geïntegreerde oplossing binnen het Diligent One-platform waarmee federale cloudserviceproviders het maken en beheren van belangrijke FedRAMP-documenten kunnen automatiseren. Deze omvatten het System Security Plan (SSP), het Plan of Action and Milestones (POAM) en door een machine leesbare OSCAL-uitvoeren (Open Security Control Assessment Language). Deze documenten zijn essentieel voor het behoud van FedRAMP-autorisatie en het produceren en bijwerken ervan kost doorgaans veel tijd. Deze toolkit automatiseert het verzamelen, normaliseren en exporteren van gegevens, waardoor de handmatige inspanning wordt verminderd en de nauwkeurigheid wordt verbeterd.

De toolkit is ontworpen om de zware documentatielast aan te pakken en vereenvoudigt de manier waarop providers hun SSP- en POAM-rapporten voorbereiden, onderhouden en bijwerken. Het SSP geeft een overzicht van de autorisatiegrens van de provider, de systeemarchitectuur en de implementatie van honderden beveiligingscontroles. Het POAM houdt kwetsbaarheden en herstelwerkzaamheden bij en moet regelmatig worden bijgewerkt en ingediend bij federale toezichthouders.

Wat is OSCAL?

OSCAL biedt gestandaardiseerde, machineleesbare indelingen waarmee organisaties documentatie over cyberbeveiliging kunnen weergeven, waaronder controlecatalogi, basislijnen, systeembeveiligingsplannen (SSP's) en evaluatieresultaten. OSCAL is ontwikkeld door het National Institute of Standards and Technology (NIST) en gebruikt XML, JSON en YAML om automatisering, interoperabiliteit en consistentie te ondersteunen bij het documenteren, uitwisselen en evalueren van beveiligingscontroles en nalevingsdocumenten.

Het FedRAMP-autorisatieproces vereist dat CSP's belangrijke documenten, zoals het SSP en POAM, indienen in traditionele, door mensen leesbare indelingen en OSCAL. Met OSCAL automatiseren organisaties complexe rapportage- en continue evaluatieprocessen, stroomlijnen ze nalevingsworkflows en versnellen ze de beoordelingscycli. Systemen kunnen OSCAL-documenten programmatisch valideren en verwerken, waardoor de handmatige inspanning wordt verminderd en de consistentie tussen beoordelingen wordt verbeterd.

Toolkit-onderdelen

Na installatie bevat de toolkit verschillende vooraf geconfigureerde robots, projecttypen, inventarisaties van resultaten en vragenlijsten ter ondersteuning van het automatisch genereren van rapporten en gegevensbeheer.

Robots

SSP Automation Robot

  • Genereert een volledig SSP-rapport (System Security Plan) door gestructureerde gegevens uit uw Diligent One FedRAMP-project te extraheren en samen te voegen in de Word-sjabloon.

  • Automatiseert de gegevenspopulatie voor zowel de belangrijkste SSP-secties (1 tot en met 12) als bijlage A, waarin de implementatie van de controle wordt beschreven.

  • Ondersteunt export in zowel Word-indeling (door mensen leesbaar) als OSCAL-indeling (door machines leesbaar).

FedRAMP POAM Automation Robot

  • FedRAMP Security Scan Automation robot

    • Importeert kwetsbaarheidgegevens rechtstreeks uit CSV-exportbestanden van beveiligingsscanners, zoals Tenable, Rapid7 en Qualys.

    • Normaliseert de gegevens in de POAM-inventaris in de app Resultaten.

  • FedRAMP SAR Vulnerabilities Automation robot

    Importeert kwetsbaarheden die zijn vastgesteld in jaarlijkse veiligheidsbeoordelingsrapporten (SAR's) en wijst deze toe aan relevante beveiligingscontroles.

  • POAM OSCAL robot

    Converteert de POAM-inventaris naar de OSCAL-indeling om door machines leesbare kennisgevingen van regelgeving te ondersteunen.

Andere onderdelen

  • Projecttype rapportageverzameling

    Voorgeconfigureerde projectindeling in Diligent One, ontworpen om alle FedRAMP-implementatiedetails en nalevingsdocumenten te centraliseren en te beheren.

  • POAM-resultatenverzameling

    Gecentraliseerde resultatentabel voor het invoeren, normaliseren en dedupliceren van kwetsbare gegevens, met ondersteuning voor alle vereiste FedRAMP-rapporten.

  • Vragenlijsten van POAM Builder

    Inline formulieren voor het handmatig invoeren van beveiligingsgegevens die niet beschikbaar zijn via geautomatiseerde scans.