Güvenlik değerlendirmenizi tamamlamak için şunları yapmalısınız: SAP’nizde test etmeye yönelik süreçlerinizi, prosedürlerinizi ve metodolojilerinizi tanımlamanız; testlerde kullanılan süreçleri, prosedürleri ve metodolojileri gerektiği gibi tanımlayın ve testlerin sonuçlarını SAR’ınızda belgeleyin; ve değerlendiricinizin SAR’ın bir parçası olarak ilgili FedRAMP Güvenlik Değerlendirme Test Durumlarını hazırlayıp göndermesini sağlayın BT doğrulama ve uyumluluk firması Schellman’a göre
POA&M’nizi tamamlamak için “FedRAMP Eylem Planı ve Kilometre Taşları (POA&M) Şablon Tamamlama Kılavuzu FedRAMP ayrıca ek destek arayanlar için Rev ” SAR’ınızda listelenen tüm kalan riskler, tanımlı bir iyileştirme planına ihtiyaç duyacaktır Yeni bir kontrol ailesi var: Tedarik Zinciri Risk Yönetimi 4 ve Rev FedRAMP Temelleri Rev
Kontrol seçim süreci: FedRAMP, kontrol seçim süreci için ayrıntılı çalışma sayfaları ve bilgiler sağlar
siber-1
FedRAMP ayrıca birçok kontrolü için kılavuzlar ekledi
yazar hakkında
Kayne McGladrey, CISSP, Hyperproof alanında CISO ve IEEE’nin kıdemli üyesidir 5 Değerlendirme Kontrolleri Seçim Şablonu”, Yüksek, Orta ve Düşük olarak kategorize edilmiştir – tıpkı FedRAMP etki düzeyleri 5 arasında oldukça az fark olsa da, değerlendiriciler FedRAMP Rev
Elektronik tablo biçiminde gelen şablon dört çalışma sayfası içerir: Rev
30 Mayıs 2023 tarihinde Federal Risk ve Yetki Yönetimi Programı (FedRAMP) Ortak Yetkilendirme Kurulu onaylanmış yeni Revizyon 5 (Rev Değerlendirmenin kapsamı kuruluşa göre farklılık gösterecektir 5 güncellemeleri ve geçiş sürecine özel eğitim ve öğretim forumları da sağlar
Rev Testler, Bölüm 6, FedRAMP Rev Temeller aynı zamanda daha yüksek düzeyde bir konfigürasyon yönetimi titizliği ve ajans gereksinimleri için gizlilik ve özelleştirmeye daha fazla odaklanmayı gerektirir
Ancak program yönetimi (PM) kontrolleri kurumun sorumluluğunda olmaya devam etmektedir ve güncellenen temellere yansıtılmamaktadır 4 ila Rev POA&M’de, hizmet olarak platformunuzla ilişkili üçüncü taraf değerlendirme kuruluşu (3PAO) tarafından tanımlanan bilinen riskleri de eklemeniz gerekir ( PaaS) ve hizmet olarak altyapı (IaaS) sistemleri
Daha fazla bilgi edinFedRAMP Rev
Bu değişikliklerin yanı sıra FedRAMP, “yeni gizlilik hususlarının entegrasyonu, dikkate değer kontrol aileleri ve Rev 5 Sistem Güvenlik Planını (SSP) ve ekleri (aşağıda listelenen diğer belgelerle birlikte şu adreste bulunabilir) tamamlayın: FedRAMP Belgeleri ve Şablonları sayfa)
CSP’ler FedRAMP Rev Bir Program GeliştirinRev 5 değerlendirmesi için aynı süreç ve prosedürleri uygulayacaktır Ana şablon olan “FedRAMP Rev 5 Kontrol Listesi, Koşullu Kontroller, CSP’ye Özel Kontroller ve Devralınan Kontroller Siber güvenlik açıklarının bireylere, şirketlere ve ülkeye yönelik politika, sosyal ve ekonomik etkilerine odaklanıyor “Geçiş Kılavuzu”nda listelenen başlıca dönüm noktası etkinlikleri şunlardır:
- CSP: Yeni Rev 5’te FedRAMP proje yönetim ofisi (PMO) tarafından sağlanan SSP’ye yönelik yeni, güncellenmiş şablonlar ve ekler yer almaktadır 5 Test Senaryoları’nda (FedRAMP şablonları sayfasında mevcuttur) bulunabilecek FedRAMP Rev 5 geçiş kılavuzunda özetlenen üç aşama vardır: planlama, başlatma ve sürekli izleme 5’e Nasıl Geçiş Yapabilir?
Geçiş zaman çizelgeniz kuruluşunuza bağlı olarak değişecektir
Güvenlik Değerlendirmesini TamamlayınFedRAMP Rev 5’e geçişlerine hazırlanmak için bilmeleri gereken üst düzey bilgileri kapsar 5) temelleri “Geçiş Kılavuzu”na göre tüm yeni veya değiştirilmiş gereksinimler test edilmelidir ve CSP’ye özgü uygulamalara ve sürekli izleme faaliyetlerine bağlı olarak başka kontrol testleri de gerekli olabilir Her aşamada, genel bir zaman çizelgesi de dahil olmak üzere sonraki adımlara ilişkin ayrıntılı talimatlar bulunur; daha fazla bilgi için “Geçiş Kılavuzu”na bakın Yeni temeller Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) “Özel Yayın (SP) 800-53 Rev Bu çalışma sayfaları ve bunların nasıl kullanılacağı hakkında daha fazla bilgiyi “Geçiş Kılavuzu”nda bulabilirsiniz
Değerlendirmenizin Kapsamını BelirleyinDeğerlendirmenizin kapsamı, bir değerlendiricinin test etmesini gerektiren belirli FedRAMP NIST SP 800-53 Rev 5” Ve “SP 800-53B Bilgi Sistemleri ve Organizasyonları için Kontrol Temelleri“
Bu makale, bulut hizmeti sağlayıcılarının (CSP’lerin) FedRAMP Rev
- Değerlendirici: Güvenlik Değerlendirme Planı (SAP) şablonunu doldurun Güncellenen şablonlara dayalı yeni bir yetkilendirme paketini doldurmanız gerekir 5’teki değişiklikleri yansıtacak şekilde güncellendi 5 ile mücadele etmek çok zor olabilir, ancak kontrollerinizin tam bir deposuna sahip olmanıza, çerçeveye göre ilerlemenizi takip etmenize ve otomatik kanıt toplamayı kullanarak değerlendirmeleri kolaylaştırmanıza yardımcı olacak yönetişim, risk ve uyumluluk (GRC) araçları mevcuttur Başlamak için mevcut FedRAMP yetkilendirme aşamanızı tanımlayın
- Değerlendirici: Test yürütün 5 Geçiş Kılavuzu“
FedRAMP’ta Neler Değişiyor?
FedRAMP temel güvenlik kontrolleri, belgeleri ve şablonları, NIST SP 800-53, Rev Rev Siber güvenlik alanında yirmi yıldan fazla deneyime sahiptir ve CISO ve danışma kurulu üyesi olarak görev yapmıştır