Guias de soluçõesImplementação do fluxo de trabalho do FedRAMP SSP
O Robô de Automação do SSP FedRAMP ajuda a agilizar a geração do Plano de Segurança do Sistema (SSP) ao extrair dados estruturados de um projeto Diligent One e exportá-los para o modelo oficial do SSP FedRAMP em Word.
Saiba mais sobre o fluxo de trabalho do FedRAMP SSP nesta seção.
O que é SSP?
O Plano de Segurança do Sistema (SSP) é o documento de conformidade que os provedores de serviços em nuvem (CSPs) devem preparar e manter para a autorização FedRAMP. Ele descreve o programa do provedor, o status da autorização, os limites de segurança e os controles detalhados necessários para atender aos padrões federais. O SSP também inclui a propriedade do sistema, responsabilidades, arquitetura de rede, segregação de funções e sistemas utilizados. Suas seções principais apresentam detalhes organizacionais e do sistema em tabelas padronizadas, enquanto o Apêndice A documenta centenas de controles de segurança, com detalhes de implementação, papéis e status. Exigido para autorização inicial, revisões anuais e mudanças significativas no sistema, os CSPs devem atualizar regularmente o SSP e enviá-lo aos órgãos reguladores, fornecendo aos avaliadores evidências auditáveis das medidas de segurança efetivas.
O CSP cria e envia a documentação do SSP durante o processo de aprovação da autorização inicial e no ciclo de revisão anual.
Funções e pré-requisitos para o SSP
Os administradores de sistema são responsáveis por instalar o kit de ferramentas, configurar tarefas dos robôs e gerenciar permissões.
Os proprietários de projetos e profissionais de segurança preenchem os campos do projeto, atualizam evidências de controle e gerenciam anexos.
Assinatura do pacote IT Compliance – Federal Contracting Compliance Toolkit.
Acesso aos aplicativos Projetos, Resultados e Robôs do Diligent One.
Disponibilidade dos controles FedRAMP Rev. 5 e modelos compatíveis.
Onde implementar o SSP
Você pode implementar o fluxo de trabalho do SSP usando o Robôs, projetos, resultados e aplicativos de relatórios no Diligent One.
O Robôs automatiza a extração de dados de projetos e preenche os modelos de SSP necessários nos formatos legíveis por humanos (Word) e legíveis por máquina (OSCAL).
Os Projetos servem como um hub centralizado para coletar, organizar e armazenar todos os dados relacionados ao SSP, incluindo detalhes do sistema e implementação dos controles.
Os Resultados fornecem um inventário estruturado de vulnerabilidades. Você pode vinculá-los a controles e associá-los a evidências de conformidade contínuas, especialmente ao integrar relatórios POAM e SSP.
Os Relatórios usam modelos padronizados para gerar SSP. Você também pode anexar provas de apoio, conforme necessário.
Etapas
Criar um projeto FedRAMP
O Tipo de Projeto de Relatórios FedRAMP no Diligent One é pré-configurado para atender aos requisitos FedRAMP e é compatível com os robôs de automação. Esse tipo de projeto inclui atributos e seções pré-construídos, específicos para o FedRAMP. Inclui:
Dados do SSP em nível de sistema (seções 1 a 12)
Dados de implementação por controle (Apêndice A)
Configurar a aba do Plano de Segurança do Sistema (SSP)
Em um projeto FedRAMP recém-criado, a aba do Plano de Segurança do Sistema, também chamada de guia de Informações do Plano de Segurança do Sistema, fornece campos estruturados para inserir os dados das seções exigidas do SSP. Tabelas de exemplo relevantes são adicionadas a cada seção para garantir formatação consistente. Você pode registrar dados estruturados que mapeiam diretamente para as seções 1 a 12 do modelo SSP FedRAMP.
Essas tabelas ajudam a garantir que os robôs de automação possam importar e mapear com precisão os dados do projeto no modelo SSP. Os campos e tabelas obrigatórios incluem o seguinte:
| Campo | Detalhes |
|---|---|
| Preparado por | Inclui informações do responsável pela preparação e da organização |
| Informações do sistema | Detalhes básicos do sistema |
| Proprietário do sistema | Detalhes do contato |
| Ponto de contacto ISSO | Contacto INFOSEC |
| Sistemas FedRAMP Utilizados e Sistemas Externos | Sistemas dentro e fora dos limites de autorização |
| Serviços, portas e protocolos | Detalhes técnicos |
| Separação de funções | Acesso e responsabilidades baseadas em funções |
| Anexos do SSP | Documentos de apêndice (por exemplo, diagramas de arquitetura) |
Separador de anexos do SSP
O FedRAMP exige que os provedores de serviços em nuvem (CSPs) enviem vários apêndices e documentos suplementares junto com o SSP principal. Estes materiais de apoio incluem tipicamente:
Diagramas de arquitetura
Ilustrações de limite de rede
Documentos de política
Inventários de componentes do sistema
Outros artefatos técnicos ou procedimentais
A guia Anexos do SSP fornece uma maneira estruturada de:
Carregar esses documentos diretamente no projeto.
Fazer referência a eles na exportação do SSP.
Indicar se cada anexo está incluído na versão atual do SSP.
Cada entrada na guia inclui os seguintes campos:
Nome/título do anexo
ID do plano de segurança do sistema
Incluir anexos na versão atual do SSP
Tipo de anexo
URL do Anexo 1
URL do Anexo 2
Depois de inserir os detalhes necessários, o arquivo de anexo real, como um PDF, documento do Word ou imagem, é carregado. Essa abordagem suporta o acesso centralizado e o controle de versões dentro do projeto.
Importar controles
O fluxo de trabalho do Projeto de Relatórios FedRAMP no Diligent One garante que os controles de segurança FedRAMP Rev. 5 corretos sejam incluídos e referenciados corretamente para automação. Esses controles devem já existir no Mapa de Conformidade ou Framework da organização antes da configuração do projeto. Em um Projeto de Relatórios FedRAMP, os controles podem ser importados ou definidos, sendo necessário mapeamento e formatação precisos para atender às especificações FedRAMP e dar suporte à automação.
A linha de base usada no Projeto de Relatórios FedRAMP é selecionada com base na categorização do sistema, com detalhes obtidos do Kit de Controles de Segurança FedRAMP Rev. 5. Após a identificação da linha de base adequada, como Moderada ou Alta, as famílias de controles relevantes são adicionadas ao projeto para suportar mapeamento preciso e automação.
Adicionar detalhes de controle
Parâmetros de controle e etapas de implementação são exigidos para cada controle, permitindo que os robôs de relatórios FedRAMP gerem um relatório SSP completo. Preparar o projeto para produzir um SSP legível por humanos e em formato OSCAL envolve garantir que esses campos estejam corretamente preenchidos e estruturados de acordo com as expectativas do FedRAMP:
Parâmetros de controleNa guia Controle, são adicionadas as tabelas de parâmetros pré-formatadas com os nomes de parâmetros corretos para esse controle.
Tabela de implementação de controle (Orientação)Na guia Orientação, adicione uma tabela de etapas de implementação observando o que é a solução e como é implementada. Cada controle pode ter diferentes números ou nomes de etapas.
Observação
Alguns controles incluem apenas uma etapa de implementação, enquanto outros podem não exigir parâmetros. Para controles sem parâmetros, a etapa correspondente não é aplicável e pode ser omitida sem afetar a geração de relatórios.
Atributos adicionais de controleCada controle inclui:
ID de Controle
Função responsável
Parâmetros de controle
Etapas da implementação
Status da implementação
Origem do controle e detalhes herdados
Observações
Observação
Não editar nomes de parâmetros ou etapas; nomes padronizados são necessários para exportação bem-sucedida. Erros ou divergências serão sinalizados nos logs do robô.
Carregar modelos FedRAMP SSP para o robô
Para automatizar e explorar o Plano de Segurança do Sistema FedRAMP usando o Diligent One Reporting Automation Toolkit, você deve primeiro carregar os seguintes modelos na aba Working Data do Robôs de Automação do SSP na plataforma Diligent One:
Modelo do SSP FedRAMP que abrange as seções 1 a 12
Modelo do Apêndice A que abrange todos os controles de segurança
Observação
Ambos os modelos devem estar no formato .docx, e seus nomes de arquivo devem corresponder exatamente aos especificados na seção de parâmetros do Robô de Automação do SSP. O robô utiliza esses nomes para preencher corretamente o modelo do SSP. Isso é especialmente crítico no Apêndice A, onde cada controle pode ter múltiplos parâmetros e etapas de implementação.
O robô analisa o modelo para localizar campos específicos e associá-los às entradas correspondentes no projeto. Se os nomes não coincidirem (por exemplo, Parâmetro A no modelo versus Param A no projeto), o robô não conseguirá estabelecer a conexão. Este cenário resulta em:
Dados ausentes na saída.
Mensagens de erro no documento gerado.
Entradas de log de rastreamento indicando campos não correspondentes.
Configurar e executar o robô SSP
Na seção Tarefas > Automação SSP do robô, os parâmetros incluem:
O ID do projeto a partir do qual os dados são extraídos.
Os nomes dos arquivos dos modelos de SSP e Apêndice A enviados.
O token da API, que inicia o processo de automação do SSP.
Após a configuração, o robô importa os dados do projeto e preenche o modelo selecionado, gerando dois arquivos de saída que estão prontos para envio. Você pode baixar esses arquivos de saída nos Detalhes da execução da tarefa do robô de Automação do SSP.
Se os dados obrigatórios estiverem ausentes, mensagens de erro aparecerão no documento de saída e nos logs de rastreamento, ajudando a identificar seções incompletas ou formatadas incorretamente. Esse feedback apoia uma abordagem no estilo de checklist para o preenchimento de todos os campos necessários, garantindo a geração bem-sucedida do relatório.
Configurar e executar o robô OSCAL
O Robô OSCAL, parte do FedRAMP Reporting Toolkit, exporta dados do SSP para o formato legível por máquina Open Security Controls Assessment Language (OSCAL), seguindo os padrões definidos pelo NIST e pelo FedRAMP.
Para começar, você pode acessar o aplicativo Robôs, selecionar o SSP OSCAL Export Robot e enviar os modelos de SSP para a guia Working data. No tela de parâmetros do robô, insira os seguintes detalhes:
ID do ProjetoO identificador do seu projeto FedRAMP concluído.
Token de API da Diligent OneO token HCL usado para autenticação.
Após concluir a configuração, o Robô OSCAL agrega todos os dados e anexos relevantes do projeto para gerar o arquivo OSCAL SSP legível por máquina.
