Étapes 5, 6 et 7 du RMF : évaluer, autoriser et surveiller

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Une fois les contrôles implémentés, vous pouvez évaluer les contrôles internes et externes, générer des plans d’action et des jalons (POA&M) et gérer les demandes de changement et les éléments vulnérables.

    Avant de commencer

    Rôle requis :
    • sn_irm_cont_auth.propriétaire_système
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Pourquoi et quand exécuter cette tâche

    Le processus d’évaluation est généralement effectué par un utilisateur autre que le propriétaire du système ou le personnel qui a implémenté les contrôles.
    L’état Évaluer ajoute les listes connexes Évaluations de contrôle et Résumé des risques , ainsi que les onglets POA&M, Demandes de changement, Incidents de sécurité et Éléments vulnérables au formulaire Package d’autorisation.
    Remarque :
    CAM Les performances peuvent ralentir lorsqu’un volume élevé de demandes de changement, d’enregistrements d’incidents ou les deux est lié à un seul package d’autorisation. Si les délais de réponse des transactions sont longs, envisagez d’effectuer les procédures détaillées dans KB0861865.

    Procédure

    1. Pour un package d’autorisation à l’état Implémenter, sélectionnez Évaluer.
      Transition vers l’état d’évaluation
      Remarque :
      Un engagement d’audit est automatiquement créé.

      Pour renvoyer le package à l’état Implémenter, sélectionnez Retour à l’étape précédente. L’état de l’engagement devient Fermé incomplet. En sélectionnant Évaluer, un engagement est créé.

    2. Sélectionnez la liste connexe Évaluations de contrôle pour afficher l’engagement d’audit.
      Évaluations de contrôle
      Remarque :
      L’engagement d’audit est automatiquement affecté au SCA.
    3. Sélectionnez le numéro d’engagement pour l’ouvrir.

      Notez que l’onglet Entités affiche la limite d’autorisation pour le package.

      Onglets pour l’évaluation.
    4. Sélectionnez l’onglet Contrôles pour afficher tous les contrôles que votre équipe a implémentés.
      Contrôles
    5. Sélectionnez l’onglet Plans de tests .
      Les plans de test sont automatiquement créés pour le contrôle. Pour plus d’informations sur les plans de test, reportez-vous à la section Générer des plans de procédure d’évaluation pour un plan de test.
    6. Sélectionnez l’onglet Tests de contrôle pour afficher les tâches d’évaluation des contrôles.
      Remarque :
      L’onglet Tâches d’audit de la vue par défaut est renommé onglet Tests de contrôle dans la CAM vue. Les noms des étiquettes de liste connexe varient et sont spécifiques à la vue Par CAM défaut. Vous pouvez modifier la vue en sélectionnant l’icône Actions supplémentaires ( icône de menu Actions supplémentaires.).

      Onglet Tests de contrôle.

      Pour plus d’informations sur les plans de test, reportez-vous à la section Déterminer l’efficacité d’un test de contrôle.

      1. Sélectionnez un test de contrôle.

        Liste connexe des procédures d’évaluation.

      2. Dans la liste Procédures d’évaluation , sélectionnez un enregistrement.
      3. Sélectionnez le lien Joindre un fichier pour joindre un document de preuve comme preuve du test.
      4. Sélectionnez le champ Notes pour entrer des détails d’évaluation supplémentaires.

        Vue d’enregistrement de procédure d’évaluation.

    7. Dans la vue Par défaut, sélectionnez une tâche d’audit et effectuez le test de conception et le test de fonctionnement pour juger de l’efficacité du contrôle.

      Pour obtenir des détails sur ce processus, consultez Gérer les engagements.

      Remarque :
      Tous les problèmes qui surviennent pendant la phase d’évaluation apparaissent dans l’onglet POA&M . En outre, toutes les demandes de changement ou éléments vulnérables ouverts ciblant les éléments système dans le package apparaissent sous ces onglets.
    8. Le propriétaire du système doit examiner et documenter tous les problèmes POA&M, les demandes de changement et les éléments vulnérables qui pourraient menacer vos systèmes.
    9. Lorsque la révision est terminée, sélectionnez Autoriser.
      Remarque :
      Dans l’état Surveillance, la surveillance continue est réalisable si vous disposez d’indicateurs. Si ce n’est pas le cas, vous pouvez examiner manuellement les contrôles. Pour plus d'informations, consultez Gérer les indicateurs de contrôle.

      Vous pouvez sélectionner Générer un ou plusieurs rapports pour générer un document de plan de sécurité du système FedRAMP (SSP) pour le package d’autorisation au format PDF.

      Le package passe à l’état Autorisé . Lorsque vous êtes satisfait que tout est en ordre, sélectionnez Demander l’approbation. Une demande d’approbation est envoyée à l’agent autorisé, qui accède à Mes approbations à partir du volet de navigation et examine les informations contenues dans le package. Lorsque l’approbation est reçue, le package passe à l’état de surveillance .