Etapas 5, 6 e 7 do RMF - Avaliar, autorizar e monitorar

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Depois de implementar os controles, você pode avaliar os controles internos e externos, gerar Planos de ação e marcos (POA&M) e gerenciar solicitações de mudança e itens vulneráveis.

    Antes de Iniciar

    Função necessária:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.admin

    Por Que e Quando Desempenhar Esta Tarefa

    O processo de avaliação geralmente é realizado por um usuário que não é o proprietário do sistema ou a equipe que implementou os controles.
    O estado Avaliar adiciona as listas relacionadas Avaliações de controle e Resumo de risco, bem como as guias POA&M, Solicitações de mudança, Incidentes de segurançae Itens vulneráveis ao formulário Pacote de autorização.
    Nota:
    CAM O desempenho pode diminuir quando um alto volume de solicitações de mudança, registros de incidentes ou ambos está relacionado a um único pacote de autorização. Se você tiver tempos de resposta de transação longos, considere executar os procedimentos detalhados em KB0861865.

    Procedimento

    1. Para um pacote de autorização no estado Implementar, selecione Avaliar.
      Transição para o estado Avaliar
      Nota:
      Um compromisso de auditoria é criado automaticamente.

      Para enviar o pacote de volta para o estado Implementar, selecione Voltar para a etapa anterior. O estado do compromisso se torna Encerrado incompleto. Ao selecionar Avaliar, um compromisso é criado.

    2. Selecione a lista relacionada Avaliações de controle para exibir o compromisso de auditoria.
      Avaliações de Controle
      Nota:
      O compromisso de auditoria é atribuído automaticamente ao SCA.
    3. Selecione o número do compromisso para abri-lo.

      Observe que a guia Entidades está exibindo o limite de autorização do pacote.

      Guias para avaliação.
    4. Selecione a guia Controles para exibir todos os controles que sua equipe implementou.
      Controles
    5. Selecione a guia Planos de teste.
      Os planos de teste são criados automaticamente para o controle. Para obter mais informações sobre planos de testes, consulte Gerar planos de procedimentos de avaliação para um plano de testes.
    6. Selecione a guia Testes de controle para exibir as tarefas de avaliação dos controles.
      Nota:
      A guia Tarefas de auditoria na exibição Padrão foi renomeada como guia Testes de controle na exibição CAM. Os nomes dos rótulos da lista relacionada variam e são específicos para a exibição Padrão ou a exibição CAM. Você pode mudar a exibição selecionando o ícone Ações adicionais ( Ícone do menu Ações adicionais.).

      Guia Testes de controle.

      Para obter mais informações sobre planos de testes, consulte Determinar a eficácia de controle de um teste de controle.

      1. Selecione um teste de controle.

        Lista relacionada de procedimentos de avaliação.

      2. Na lista Procedimentos de avaliação, selecione um registro.
      3. Selecione o link Anexar arquivo para anexar um documento de evidência como prova do teste.
      4. Selecione o campo Anotações para inserir detalhes adicionais da avaliação.

        Exibição do registro do procedimento de avaliação.

    7. Na exibição Padrão, selecione uma tarefa de auditoria e execute o Teste de Design e o Teste de Operação para avaliar a eficácia do controle.

      Para obter detalhes sobre este processo, consulte Gerenciar compromissos.

      Nota:
      Todos os problemas que surgem durante a fase Avaliação aparecem na guia POA&M. Além disso, todas as solicitações de mudança ou itens vulneráveis em aberto que tenham como alvo os elementos do sistema no pacote aparecem nessas guias.
    8. O proprietário do sistema deve revisar e documentar quaisquer problemas de POA&M, solicitações de mudança e itens vulneráveis que possam ameaçar seus sistemas.
    9. Quando a revisão estiver concluída, selecione Autorizar.
      Nota:
      No estado Monitor, o monitoramento contínuo é alcançável se você tiver indicadores. Caso contrário, você poderá revisar os controles manualmente. Para obter mais informações, consulte Gerenciar indicadores de controle.

      Você pode selecionar Gerar relatório(s) para gerar um documento SSP (System Security Plan, plano de segurança do sistema) FedRAMP para o pacote de autorização no formato PDF.

      O pacote faz a transição para o estado Autorizar. Quando estiver satisfeito com a ordem, selecione Solicitar aprovação. Uma solicitação de aprovação é enviada ao funcionário autorizado, que acessará Minhas aprovações no painel de navegação e revisará as informações no pacote. Quando a aprovação é recebida, o pacote faz a transição para o estado Monitor.