yazar hakkında
Kayne McGladrey, CISSP, Hyperproof alanında CISO ve IEEE’nin kıdemli üyesidir Başlamak için mevcut FedRAMP yetkilendirme aşamanızı tanımlayın
Daha fazla bilgi edinFedRAMP Rev
Kontrol seçim süreci: FedRAMP, kontrol seçim süreci için ayrıntılı çalışma sayfaları ve bilgiler sağlar
Değerlendirmenizin Kapsamını BelirleyinDeğerlendirmenizin kapsamı, bir değerlendiricinin test etmesini gerektiren belirli FedRAMP NIST SP 800-53 Rev Testler, Bölüm 6, FedRAMP Rev
Rev Bu, iki programın birbiriyle daha iyi uyum sağlayacağı anlamına geliyor
30 Mayıs 2023 tarihinde Federal Risk ve Yetki Yönetimi Programı (FedRAMP) Ortak Yetkilendirme Kurulu onaylanmış yeni Revizyon 5 (Rev
Elektronik tablo biçiminde gelen şablon dört çalışma sayfası içerir: Rev Ana şablon olan “FedRAMP Rev 4 ve Rev Her aşamada, genel bir zaman çizelgesi de dahil olmak üzere sonraki adımlara ilişkin ayrıntılı talimatlar bulunur; daha fazla bilgi için “Geçiş Kılavuzu”na bakın 5 değerlendirmesi için aynı süreç ve prosedürleri uygulayacaktır 5 Geçiş Kılavuzu“
FedRAMP’ta Neler Değişiyor?FedRAMP temel güvenlik kontrolleri, belgeleri ve şablonları, NIST SP 800-53, Rev 4’te yer almayan kılavuzların” yanı sıra “kontrol toplamlarındaki değişiklikleri” de içermektedir
Ancak program yönetimi (PM) kontrolleri kurumun sorumluluğunda olmaya devam etmektedir ve güncellenen temellere yansıtılmamaktadır 5’teki değişiklikleri yansıtacak şekilde güncellendi 5’e geçiş yapmak için, Eylem Planı ve Kilometre Taşları (POA&M) adı verilen, geçiş planınızı gösteren bir program geliştirmeniz gerekir 5 Kontrol Listesi, Koşullu Kontroller, CSP’ye Özel Kontroller ve Devralınan Kontroller 5’e geçişlerine hazırlanmak için bilmeleri gereken üst düzey bilgileri kapsar Yeni temeller Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) “Özel Yayın (SP) 800-53 Rev 5’te FedRAMP proje yönetim ofisi (PMO) tarafından sağlanan SSP’ye yönelik yeni, güncellenmiş şablonlar ve ekler yer almaktadır
POA&M’yi tamamlayınPOA&M’nizi tamamlamak için “FedRAMP Eylem Planı ve Kilometre Taşları (POA&M) Şablon Tamamlama Kılavuzu Değerlendirmenin kapsamı kuruluşa göre farklılık gösterecektir 5) temelleri
Bu değişikliklerin yanı sıra FedRAMP, “yeni gizlilik hususlarının entegrasyonu, dikkate değer kontrol aileleri ve Rev “Geçiş Kılavuzu”nda listelenen başlıca dönüm noktası etkinlikleri şunlardır:
- CSP: Yeni Rev 5 Sistem Güvenlik Planını (SSP) ve ekleri (aşağıda listelenen diğer belgelerle birlikte şu adreste bulunabilir) tamamlayın: FedRAMP Belgeleri ve Şablonları sayfa)
Güvenlik Değerlendirmesini Tamamlayın
FedRAMP Rev Rev 5” Ve “SP 800-53B Bilgi Sistemleri ve Organizasyonları için Kontrol Temelleri“
Bu makale, bulut hizmeti sağlayıcılarının (CSP’lerin) FedRAMP Rev
Rev BT doğrulama ve uyumluluk firması Schellman’a göre
siber-1
FedRAMP ayrıca birçok kontrolü için kılavuzlar ekledi 5 Test Senaryosu şablonlarının yanı sıra “Sürekli İzleme Stratejisi Kılavuzu“
Güvenlik değerlendirmenizi tamamlamak için şunları yapmalısınız: SAP’nizde test etmeye yönelik süreçlerinizi, prosedürlerinizi ve metodolojilerinizi tanımlamanız; testlerde kullanılan süreçleri, prosedürleri ve metodolojileri gerektiği gibi tanımlayın ve testlerin sonuçlarını SAR’ınızda belgeleyin; ve değerlendiricinizin SAR’ın bir parçası olarak ilgili FedRAMP Güvenlik Değerlendirme Test Durumlarını hazırlayıp göndermesini sağlayın Yeni bir kontrol ailesi var: Tedarik Zinciri Risk Yönetimi Bu çalışma sayfaları ve bunların nasıl kullanılacağı hakkında daha fazla bilgiyi “Geçiş Kılavuzu”nda bulabilirsiniz 5’e Nasıl Geçiş Yapabilir?
Geçiş zaman çizelgeniz kuruluşunuza bağlı olarak değişecektir