Bewerten, autorisieren, überwachen und Berichte generieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Nachdem Sie den Implementierungsprozess abgeschlossen haben, können Sie interne und externe Kontrollen bewerten, Aktionspläne und Meilensteine (POA&M) generieren und Change-Anforderungen und angreifbare Elemente verwalten.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der Prozess „Bewerten“ wird im Allgemeinen von einem anderen Benutzer als dem Systembesitzer oder dem Personal durchgeführt, das die Steuerungen implementiert hat.
    Der Status Bewerten fügt dem Autorisierungspaketformular die zugehörigen Listen Kontrollbewertungen und Risikozusammenfassung sowie POA&M, Change-Anforderungen, Security Incidentsund Angreifbare Elemente hinzu.
    Hinweis:
    Leistungsprobleme wurden in der Anwendung „Kontinuierliche Autorisierung und Überwachung“ beobachtet, wenn ein hohes Volumen an Change-Anforderungen, Incident-Datensätzen oder beides mit einem einzelnen Autorisierungspaket zusammenhängt. Wenn lange Transaktionsantwortzeiten auftreten, sollten Sie die in KB0861865beschriebenen Problemumgehungen durchführen.

    Prozedur

    1. Wählen Sie für ein Autorisierungspaket im Status Implementieren die Option Bewerten aus.
      Übergang in den Status „Bewerten“.
      Hinweis:
      Eine Audit-Interaktion wird automatisch erstellt.

      Um das Paket zurück in den Status Implementieren zu senden, wählen Sie Zurück zum vorherigen Schrittaus. Der Status der Interaktion wird „Geschlossen – unvollständig“. Durch Klicken auf die Schaltfläche Bewerten wird eine Interaktion erstellt.

    2. Wählen Sie die zugehörige Liste „Kontrollbewertungen“ aus, um die Audit-Interaktion anzuzeigen.
      Kontrollbewertungen
      Hinweis:
      Die Auditinteraktion wird automatisch der SCA zugewiesen.
    3. Wählen Sie die Interaktionsnummer aus, um sie zu öffnen.

      Beachten Sie, dass auf der Registerkarte Entitäten die Autorisierungsgrenze für das Paket angezeigt wird.

      Registerkarten für die Bewertung.
    4. Wählen Sie die Registerkarte Steuerungen aus, um alle von Ihrem Team implementierten Steuerungen anzuzeigen.
      Steuerungen
    5. Wechseln Sie zur Registerkarte Testpläne.
      Testpläne werden automatisch für die Kontrolle erstellt. Weitere Informationen zu Testplänen finden Sie unter Generieren von Bewertungsverfahrensplänen für einen Testplan.
    6. Wechseln Sie zur Registerkarte Kontrolltests, um die Aufgaben zur Bewertung der Kontrollen anzuzeigen.
      Hinweis:
      Die Registerkarte „Auditaufgaben “ in der Standardansicht wurde in der CAM-Ansicht in Kontrolltests umbenannt. Die Namen der zugehörigen Listenbezeichnungen variieren und sind spezifisch für die von Ihnen ausgewählte Ansicht (entweder Standardansicht oder CAM-Ansicht). Sie können die Ansicht ändern, indem Sie das Symbol „ Zusätzliche Aktionen“ (Menüsymbol„Zusätzliche Aktionen“ ) auswählen und in der Liste Ansicht die Option CAM auswählen.

      Weitere Informationen zu Testplänen finden Sie unter Bestimmen Sie die Kontrolleffektivität eines Kontrolltests.

    7. Wählen Sie in der Ansicht „Standard“ eine Auditaufgabe aus, und führen Sie den Designtest und den Betriebstest durch, um die Effektivität der Kontrolle zu beurteilen.

      Details zu diesem Vorgang finden Sie unter Verwalten von Interaktionen.

      Hinweis:
      Alle Probleme, die während der Bewertungsphase auftreten, werden auf der Registerkarte POA&M angezeigt. Darüber hinaus werden auf diesen Registerkarten alle offenen Change-Anforderungen oder angreifbaren Elemente angezeigt, die auf die Systemelemente im Paket abzielen.
    8. Der Systembesitzer muss alle POA&M-Probleme, Change-Anforderungen und angreifbaren Elemente überprüfen und dokumentieren, die Ihre Systeme potenziell gefährden.
    9. Wenn die Überprüfung abgeschlossen ist, wählen Sie Autorisierenaus.
      Hinweis:
      Im Status „Überwachen“ ist eine kontinuierliche Überwachung möglich, wenn Indikatoren vorhanden sind. Wenn nicht, können Sie die Steuerungen manuell überprüfen. Weitere Informationen finden Sie unter Verwalten von Steuerungsindikatoren.

      Sie können auf die Schaltfläche Bericht(e) generieren klicken, um ein FedRAMP-SSP-Dokument (System Security Plan) für das Autorisierungspaket im PDF-Format zu generieren.

      Das Paket wechselt in den Status Autorisieren. Wenn Sie zufrieden sind, dass alles in Ordnung ist, wählen Sie Genehmigung anfordernaus. Eine Genehmigungsanforderung wird an den Autorisierungsbeauftragten gesendet, der über den Navigationsbereich auf Meine Genehmigungen zugreift und die Informationen im Paket überprüft. Wenn die Genehmigung eingeht, wechselt das Paket in den Status „Überwachen “.