RMF-Schritte 5, 6 und 7: Bewerten, autorisieren und überwachen

  • Freigeben Version: Xanadu
  • Aktualisiert 6. August 2024
  • 2 Minuten Lesedauer

    • Nachdem Sie Steuerungen implementiert haben, können Sie interne und externe Steuerungen bewerten, Aktionspläne und Meilensteine (POA&M) generieren sowie Change-Anforderungen und angreifbare Elemente verwalten.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der Bewertungsprozess wird im Allgemeinen von einem anderen Benutzer als dem Systembesitzer oder den Mitarbeitern durchgeführt, die die Steuerungen implementiert haben.
    Mit dem Status „Bewerten“ werden dem Formular „Autorisierungspaket“ die zugehörigen Listen Kontrollbewertungen und Risikozusammenfassung sowie POA&M, Change-Anforderungen, Security Incidentsund Angreifbare Elemente hinzugefügt.
    Hinweis:
    CAM Die Leistung von kann sich verlangsamen, wenn ein hohes Volumen an Change-Anforderungen und/oder Incident-Datensätzen mit einem einzelnen Autorisierungspaket zusammenhängt. Wenn lange Transaktionsantwortzeiten auftreten, sollten Sie die in KB0861865 beschriebenenVerfahren ausführen.

    Prozedur

    1. Wählen Sie für ein Autorisierungspaket im Status Implementieren die Option Bewerten aus.
      Übergang in den Status „Bewerten“.
      Hinweis:
      Eine Audit-Interaktion wird automatisch erstellt.
    2. Wählen Sie die zugehörige Liste Kontrollbewertungen aus, um die Audit-Interaktion anzuzeigen.
      Kontrollbewertungen
      Hinweis:
      Die Audit-Interaktion wird automatisch der SCA zugewiesen.
    3. Wählen Sie die Interaktionsnummer aus, um sie zu öffnen.

      Beachten Sie, dass auf der Registerkarte Entitäten die Autorisierungsgrenze für das Paket angezeigt wird.

      Registerkarten für Bewertung.
    4. Wählen Sie die Registerkarte Steuerungen aus, um alle von Ihrem Team implementierten Steuerungen anzuzeigen.
      Kontrollen
    5. Wählen Sie die Registerkarte Testpläne.
      Testpläne werden automatisch für die Steuerung erstellt. Weitere Informationen zu Testplänen finden Sie unter Generieren Sie Bewertungsverfahrenspläne für einen Testplan.
    6. Wählen Sie die Registerkarte Kontrolltests aus, um die Aufgaben zum Bewerten der Steuerungen anzuzeigen.
      Hinweis:
      Die Registerkarte Audit-Aufgaben in der Ansicht Standard wird in Registerkarte Kontrolltests in der Ansicht CAM umbenannt. Die Namen der zugehörigen Listenbezeichnungen variieren und sind spezifisch für die Ansicht Standard oder CAM. Sie können die Ansicht ändern, indem Sie das Symbol „ Zusätzliche Aktionen“ (Symbol des Menüs „Zusätzliche Aktionen“.) wählen.

      Registerkarte „Kontrolltests“.

      Weitere Informationen zu Testplänen finden Sie unter Bestimmt die Kontrolleffektivität eines Kontrolltests.

      1. Wählen Sie einen Kontrolltest aus.

        Zugehörige Liste für Bewertungsverfahren.

      2. Wählen Sie in der Liste Bewertungsverfahren einen Datensatz aus.
      3. Wählen Sie den Link Datei anhängen aus, um ein Nachweisdokument als Nachweis des Tests anzuhängen.
      4. Wählen Sie das Feld Notizen aus, um zusätzliche Bewertungsdetails einzugeben.

        Datensatzansicht des Bewertungsverfahrens.

    7. Wählen Sie in der Ansicht Standard eine Audit-Aufgabe aus, und führen Sie den Designtest und den Betriebstest durch, um die Effektivität des Steuerelements zu beurteilen.

      Details zu diesem Vorgang finden Sie unter Verwalten Sie Interaktionen.

      Hinweis:
      Alle Probleme, die während der Phase „Bewerten“ auftreten, werden auf der Registerkarte POA&M angezeigt. Außerdem werden unter diesen Registerkarten alle offenen Change-Anforderungen oder angreifbare Elemente angezeigt, die auf die Systemelemente im Paket abzielen.
    8. Der Systembesitzer muss alle POA&M-Probleme, Change-Anforderungen und angreifbaren Elemente überprüfen und dokumentieren, die eine potenzielle Bedrohung für Ihre Systeme darstellen.
    9. Wenn die Überprüfung abgeschlossen ist, wählen Sie Autorisierenaus.
      Hinweis:
      Im Status „Überwachen“ ist eine kontinuierliche Überwachung möglich, wenn Sie über Indikatoren verfügen. Wenn nicht, können Sie die Steuerungen manuell überprüfen. Weitere Informationen finden Sie unter Verwalten Sie Kontrollindikatoren.

      Sie können „Bericht(e) generieren“ auswählen, um ein SSP-Dokument (FedRAMP System Security Plan) für das Autorisierungspaket im PDF-Format zu generieren.

      Das Paket geht in den Status Autorisieren über. Wenn Sie zufrieden sind, dass alles in Ordnung ist, wählen Sie Genehmigung anfordernaus. Eine Genehmigungsanforderung wird an den autorisierten Mitarbeiter gesendet, der im Navigationsbereich auf Meine Genehmigungen zugreift und die Informationen im Paket überprüft. Wenn die Genehmigung empfangen wird, geht das Paket in den Status Überwachen über.