RMF-Schritte 5, 6 und 7: Bewerten, autorisieren und überwachen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie Steuerungen implementiert haben, können Sie interne und externe Steuerungen bewerten, Aktionspläne und Meilensteine (PoA&M) generieren und Change-Anforderungen und angreifbare Elemente verwalten.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der Bewertungsprozess wird im Allgemeinen von einem anderen Anwender als dem Systembesitzer oder dem Personal durchgeführt, das die Steuerungen implementiert hat.
    Der Status „Bewerten“ wird hinzugefügt Kontrollbewertungen Und Risikozusammenfassung Zugehörige Listen sowie POA&M , Change-Anforderungen , Security Incidents , Und Angreifbare Elemente Registerkarten zum Formular „Autorisierungspaket“.
    Hinweis:
    CAM Die Leistung kann sich verlangsamen, wenn ein hohes Volumen von Change-Anforderungen, Incident-Datensätzen oder beidem mit einem einzelnen Autorisierungspaket zusammenhängt. Wenn bei Ihnen lange Transaktionsantwortzeiten auftreten, erwägen Sie die Durchführung der in beschriebenen Verfahren KB0861865 .

    Prozedur

    1. Wählen Sie für ein Autorisierungspaket im Status „Implementieren“ aus Bewerten .
      Übergang in den Status „Bewerten“
      Hinweis:
      Eine Auditinteraktion wird automatisch erstellt.
    2. Wählen Sie aus Kontrollbewertungen Zugehörige Liste zum Anzeigen der Audit-Interaktion.
      Kontrollbewertungen
      Hinweis:
      Die Auditinteraktion wird dem SCA automatisch zugewiesen.
    3. Wählen Sie die Interaktionsnummer aus, um sie zu öffnen.

      Beachten Sie, dass Entitäten Auf der Registerkarte wird die Autorisierungsgrenze für das Paket angezeigt.

      Registerkarten für die Bewertung.
    4. Wählen Sie aus Steuerungen Registerkarte, um alle Steuerungen anzuzeigen, die Ihr Team implementiert hat.
      Kontrollen
    5. Wählen Sie aus Testpläne Registerkarte.
      Testpläne werden automatisch für die Steuerung erstellt. Weitere Informationen zu Testplänen finden Sie unter Generieren Sie Bewertungsverfahrenspläne für einen Testplan.
    6. Wählen Sie aus Kontrolltests Registerkarte zum Anzeigen der Aufgaben für die Bewertung der Steuerungen.
      Hinweis:
      Die Audit-Aufgaben Registerkarte in der Standardansicht wird umbenannt in Kontrolltests Registerkarte in CAMAnsicht. Die Namen der zugehörigen Listenbezeichnungen variieren und sind spezifisch für die Standardansicht oder CAMAnsicht. Sie können die Ansicht ändern, indem Sie das Symbol „zusätzliche Aktionen“ auswählen ( Symbol für Menü „zusätzliche Aktionen“.).

      Registerkarte „Kontrolltests“.

      Weitere Informationen zu Testplänen finden Sie unter Bestimmen Sie die Kontrolleffektivität eines Kontrolltests.

      1. Wählen Sie einen Kontrolltest aus.

        Zugehörige Liste der Bewertungsverfahren.

      2. Von Bewertungsverfahren Liste, wählen Sie einen Datensatz aus.
      3. Wählen Sie aus Datei Anhängen Link zum Anhängen eines Nachweisdokuments als Nachweis des Tests.
      4. Wählen Sie aus Notizen Feld zum Eingeben zusätzlicher Bewertungsdetails.

        Datensatzansicht des Bewertungsverfahrens.

    7. Wählen Sie in der Standardansicht aus Eine Audit-Aufgabe und führen Sie den Entwurfstest und den Betriebstest durch, um die Effektivität der Kontrolle zu beurteilen.

      Details zu diesem Prozess finden Sie unter Verwalten Sie Interaktionen.

      Hinweis:
      Alle Probleme, die während der Bewertungsphase auftreten, werden in angezeigt POA&M Registerkarte. Darüber hinaus werden alle offenen Change-Anforderungen oder angreifbaren Elemente, die auf die Systemelemente im Paket abzielen, unter diesen Registerkarten angezeigt.
    8. Der Systembesitzer muss alle PoA&M-Probleme, Change-Anforderungen und angreifbaren Elemente überprüfen und dokumentieren, die Ihre Systeme potenziell bedrohen.
    9. Wenn die Überprüfung abgeschlossen ist, wählen Sie aus Autorisieren .
      Hinweis:
      Im Status „Überwachen“ ist eine kontinuierliche Überwachung möglich, wenn Sie über Indikatoren verfügen. Wenn nicht, können Sie die Steuerungen manuell überprüfen. Weitere Informationen finden Sie unter Verwalten Sie Kontrollindikatoren.

      Sie können auswählen Bericht(e) generieren Dient zum Generieren eines SSP-Dokuments (FedRAMP-Systemsicherheitsplan) für das Autorisierungspaket im PDF-Format.

      Das Paket wechselt zu Autorisieren status. Wenn Sie zufrieden sind, dass alle in Ordnung sind, wählen Sie aus Genehmigung Anfordern . Eine Genehmigungsanforderung wird an den autorisierenden Beamten gesendet, der Zugriff hat Meine Genehmigungen Aus dem Navigationsbereich, und überprüfen Sie die Informationen im Paket. Wenn die Genehmigung empfangen wird, wechselt das Paket zu Überwachen status.