Avaliar, autorizar, monitorar e gerar relatórios

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Depois de concluir o processo de implementação, você pode avaliar controles internos e externos, gerar planos de ação e marcos (POA&M) e gerenciar solicitações de mudança e itens vulneráveis.

    Antes de Iniciar

    Função necessária:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_ funcionário
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Por Que e Quando Desempenhar Esta Tarefa

    O processo de avaliação geralmente é realizado por um usuário que não é o proprietário do sistema ou a equipe que implementou os controles.
    O estado Avaliar adiciona as listas relacionadas Avaliações de controle e Resumo de risco, bem como as guias POA&M, Solicitações de mudança, Incidentes de segurançae Itens vulneráveis ao formulário Pacote de autorização.
    Nota:
    Problemas de desempenho foram observados na aplicação Continuous Authorization & Monitoring quando um alto volume de solicitações de mudança, registros de incidentes ou ambos está relacionado a um único pacote de autorização. Se você tiver longos tempos de resposta da transação, considere executar as soluções alternativas detalhadas em KB0861865.

    Procedimento

    1. Para um pacote de autorização no estado Implementar, selecione Avaliar.
      Transição para o estado Avaliar
      Nota:
      Um compromisso de auditoria é criado automaticamente.

      Para enviar o pacote de volta para o estado Implementar, selecione Voltar para a etapa anterior. O estado do compromisso se torna Encerrado incompleto. Ao selecionar o botão Avaliar, um compromisso é criado.

    2. Selecione a lista relacionada Avaliações de controle para exibir o compromisso de auditoria.
      Avaliações de Controle
      Nota:
      O compromisso de auditoria é atribuído automaticamente ao SCA.
    3. Selecione o número do compromisso para abri-lo.

      Observe que a guia Entidades está exibindo o limite de autorização do pacote.

      Guias para avaliação.
    4. Selecione a guia Controles para exibir todos os controles que sua equipe implementou.
      Controles
    5. Selecione a guia Planos de teste.
      Os planos de teste são criados automaticamente para o controle. Para obter mais informações sobre planos de teste, consulte Gerar planos de procedimento de avaliação para um plano de testes.
    6. Selecione a guia Testes de controle para exibir as tarefas de avaliação dos controles.
      Nota:
      A guiaTarefas de auditoria na exibição Padrão foi renomeada como guia Testes de controle na exibição CAM. Os nomes dos rótulos da lista relacionada variam e são específicos da exibição selecionada, que é a exibição padrão ou a exibição CAM. Você pode mudar a exibição selecionando o ícone Ações adicionais (ícone de menu Ações adicionais.), selecione CAM na lista Exibir.

      Para obter mais informações sobre planos de teste, consulte Determinar a eficácia do controle de um teste de controle.

    7. Na exibição Padrão, selecione uma tarefa de auditoria e execute o Teste de Design e o Teste de Operação para avaliar a eficácia do controle.

      Para obter detalhes sobre este processo, consulte Gerenciar compromissos.

      Nota:
      Todos os problemas que surgem durante a fase de avaliação aparecem na guia POA&M. Além disso, todas as solicitações de mudança ou itens vulneráveis abertos que tenham como destino os elementos do sistema no pacote aparecem nessas guias.
    8. O proprietário do sistema deve revisar e documentar quaisquer problemas de POA&M, solicitações de mudança e itens vulneráveis que possam ameaçar seus sistemas.
    9. Quando a revisão estiver concluída, selecione Autorizar.
      Nota:
      No estado Monitor, o monitoramento contínuo é possível se você tiver indicadores. Caso contrário, você poderá revisar os controles manualmente. Para obter mais informações, consulte Gerenciar indicadores de controle.

      Você pode selecionar o botão Gerar relatório(s) para gerar um documento SSP (System Security Plan, plano de segurança do sistema) FedRAMP para o pacote de autorização em formato PDF.

      O pacote faz a transição para o estado Autorizar. Quando estiver certo de que tudo está em ordem, selecione Solicitar Aprovação. Uma solicitação de aprovação é enviada ao funcionário autorizado, que acessará Minhas aprovações no painel de navegação e revisará as informações no pacote. Quando a aprovação é recebida, o pacote faz a transição para o estado Monitorar.