Guias de soluçõesImplementação do FedRAMP, SSP, POAM e o kit de ferramentas de relatórios OSCAL
O kit de ferramentas de relatórios FedRAMP SSP, POAM e OSCAL é uma solução integrada dentro da plataforma Diligent One que auxilia os provedores de serviços em nuvem federais a automatizar a criação e o gerenciamento de documentos essenciais de conformidade FedRAMP. Estes incluem o Plano de Segurança do Sistema (SSP), o Plano de Ação e Marcos (POAM) e os resultados em OSCAL (Open Security Control Assessment Language) legíveis por máquina. Esses artefatos são cruciais para manter a autorização FedRAMP e, tradicionalmente, demoram muito para serem produzidos e atualizados. Este kit de ferramentas automatiza os processos de coleta, normalização e exportação de dados, reduzindo o esforço manual e aumentando a precisão.
Projetado para enfrentar a grande carga de trabalho com documentação, o kit de ferramentas simplifica a forma como os provedores preparam, mantêm e atualizam seus relatórios SSP e POAM. O SSP descreve o limite de autorização do provedor, a arquitetura do sistema e a implementação de centenas de controles de segurança. O POAM rastreia as vulnerabilidades e os esforços de remediação e deve ser atualizado e enviado regularmente aos órgãos reguladores federais.
O que é OSCAL?
O OSCAL fornece formatos padronizados e legíveis por máquina que ajudam as organizações a representar a documentação de cibersegurança, incluindo catálogos de controles, linhas de base, planos de segurança do sistema (SSPs) e resultados de avaliação. Desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST), o OSCAL utiliza XML, JSON e YAML para suportar automação, interoperabilidade e consistência na documentação, troca e avaliação de controles de segurança e artefatos de conformidade.
O processo de autorização FedRAMP exige que os CSPs enviem documentos-chave, como o SSP e o POAM, em formatos tradicionais legíveis por humanos e em OSCAL. Ao utilizar o OSCAL, as organizações automatizam processos complexos de relatórios e avaliações contínuas, otimizam os fluxos de trabalho de conformidade e aceleram os ciclos de revisão. Os sistemas podem validar e processar documentos OSCAL programaticamente, o que reduz o esforço manual e melhora a consistência entre as revisões.
Componentes do kit de ferramentas
Após a instalação, o kit de ferramentas inclui vários robôs pré-configurados, tipos de projeto, inventários de resultados e questionários para dar suporte à geração automática de relatórios e à gestão de dados.
Robôs
Robô de Automação SSP
Gera um relatório completo do Plano de Segurança do Sistema (SSP) ao extrair dados estruturados do seu projeto FedRAMP no Diligent One e mesclá-los no modelo do Word.
Automatiza a preenchimento de dados tanto nas seções principais do SSP (1 a 12) quanto no Apêndice A, que detalha a implementação dos controles.
Suporta exportações nos formatos legíveis por humanos (Word) e legíveis por máquina (OSCAL).
Robô de Automação do POAM FedRAMP
Robô de Automação de Scan de Segurança FedRAMP
Importa dados de vulnerabilidades diretamente de exportações CSV de scanners de segurança, como Tenable, Rapid7 e Qualys.
Normaliza os dados no inventário do POAM dentro do aplicativo Resultados.
Robô de Automação de Vulnerabilidades do SAR FedRAMP
Importa as vulnerabilidades identificadas nos Relatórios Anuais de Avaliação de Segurança (SARs) e as mapeia para os controles de segurança relevantes.
Robô POAM OSCAL
Converte o inventário do POAM para o formato OSCAL, suportando envios regulatórios legíveis por máquina.
Outros componentes
Tipo de Projeto de Coleta de Relatórios
Formato de projeto pré-configurado no Diligent One, projetado para centralizar e gerenciar todos os detalhes de implementação FedRAMP e artefatos de conformidade.
Coleta de Resultados do POAM
Tabela de resultados centralizada para inserir, normalizar e deduplicar dados de vulnerabilidades, dando suporte a todos os relatórios exigidos pelo FedRAMP.
Questionários do Construtor do POAM
Formulários embutidos para inserção manual de detalhes de vulnerabilidades que não estão disponíveis em scans automatizados.
