Étapes 5, 6 et 7 du RMF : évaluer, autoriser et surveiller

  • Rversion finale: Xanadu
  • Mis à jour 6 août 2024
  • 2 minutes de lecture

    • Une fois que vous avez implémenté les contrôles, vous pouvez évaluer les contrôles internes et externes, générer des plans d’action et des jalons (POA&M) et gérer les demandes de changement et les éléments vulnérables.

    Avant de commencer

    Rôle requis :
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Pourquoi et quand exécuter cette tâche

    Le processus d’évaluation est généralement effectué par un utilisateur autre que le propriétaire du système ou le personnel qui a implémenté les contrôles.
    L’état Évaluation ajoute les listes connexes Évaluations de contrôle et Résumé des risques, ainsi que les ongletsPOA&M, Demandes de changement, Incidents de sécurité et Éléments vulnérables au formulaire Package d’autorisation.
    Remarque :
    CAM Les performances peuvent ralentir lorsqu’un volume élevé d’enregistrements de demandes de changement, d’incidents, ou les deux, est associé à un seul package d’autorisation. Si les délais de réponse des transactions sont longs, envisagez d’effectuer les procédures détaillées dans KB0861865.

    Procédure

    1. Pour un package d’autorisation à l’état Implémenter, sélectionnez Évaluer.
      Transition vers l’état Évaluation
      Remarque :
      Un engagement d’audit est automatiquement créé.
    2. Sélectionnez la liste connexe Évaluations de contrôle pour afficher l’engagement d’audit.
      Évaluations de contrôle
      Remarque :
      L’engagement d’audit est automatiquement affecté au SCA.
    3. Sélectionnez le numéro d’engagement pour l’ouvrir.

      Notez que l’onglet Entities (Entités ) affiche la limite d’autorisation du package.

      Onglets pour l’évaluation.
    4. Sélectionnez l’onglet Contrôles pour afficher tous les contrôles que votre équipe a implémentés.
      Contrôles
    5. Sélectionnez l’onglet Plans de test .
      Des plans de tests sont automatiquement créés pour le contrôle. Pour en savoir plus sur les plans de test, reportez-vous à Générer des plans de procédure d’évaluation pour un plan de tests.
    6. Sélectionnez l’onglet Tests de contrôle pour afficher les tâches d’évaluation des contrôles.
      Remarque :
      L’onglet Tâches d’audit de la vue par défaut est renommé onglet Tests de contrôle de la CAM vue. Les noms des étiquettes de liste connexe varient et sont spécifiques à la vue ou CAM à la vue Par défaut. Vous pouvez modifier la vue en sélectionnant l’icône Actions supplémentaires (icône de menu Actions supplémentaires).

      Onglet Tests de contrôle.

      Pour en savoir plus sur les plans de test, reportez-vous à Déterminer l’efficacité du contrôle d’un test de contrôle.

      1. Sélectionnez un test de contrôle.

        Liste connexe des procédures d’évaluation.

      2. Dans la liste Procédures d’évaluation , sélectionnez un enregistrement.
      3. Sélectionnez le lien Joindre un fichier pour joindre un document de preuve comme preuve du test.
      4. Sélectionnez le champ Notes pour entrer des détails supplémentaires sur l’évaluation.

        Vue d’enregistrement de procédure d’évaluation.

    7. Dans la vue Par défaut, sélectionnez une tâche d’audit et effectuez le test de conception et le test de fonctionnement pour juger de l’efficacité du contrôle.

      Pour obtenir des détails sur ce processus, consultez Gérer les engagements.

      Remarque :
      Tous les problèmes qui surviennent pendant la phase d’évaluation apparaissent dans l’onglet POA&M . En outre, toutes les demandes de changement ou éléments vulnérables ouverts ciblant les éléments système du package apparaissent sous ces onglets.
    8. Le propriétaire du système doit examiner et documenter tous les problèmes POA&M, les demandes de changement et les éléments vulnérables qui menacent potentiellement vos systèmes.
    9. Lorsque la révision est terminée, sélectionnez Autoriser.
      Remarque :
      À l’état Surveiller, la surveillance continue est possible si vous disposez d’indicateurs. Si ce n’est pas le cas, vous pouvez examiner manuellement les contrôles. Pour plus d'informations, consultez Gérer les indicateurs de contrôle.

      Vous pouvez sélectionner Générer un ou plusieurs rapports pour générer un document du plan de sécurité du système FedRAMP (SSP) pour le package d’autorisation au format PDF.

      Le package passe à l’état Autoriser . Lorsque vous êtes satisfait que tout est en ordre, sélectionnez Demander l’approbation. Une demande d’approbation est envoyée à l’agent autorisé, qui accède à Mes approbations à partir du volet de navigation et examine les informations contenues dans le package. Lorsque l’approbation est reçue, le package passe à l’état Surveillance .