Professional Documents
Culture Documents
com/download
CSP 授权
手册
版 本 2.0
01/18/2022
info@fedramp.gov
fedramp.gov
CSP 授权手册
文件修订历史
日期 版本 页 面 (年 描述 作者
代)
07/01/ 20 18
1.0 所 出版了 CSP 授权手册第 1 卷 FedRAM P PM O
有
01/18/ 20 22 更新了第一卷的准确性,并将第
2.0 FedRAM P PM O
所 二卷添加到 CSP 授权手册中
有
fedramp.gov 第1
页
CSP 授权手册
目录
第一卷:开始使用 FEDRA MP 入 门 :FEDRAMP 适 合 你
吗 ?授 权 过程中的 合作伙伴 2
1.0 FedRAMP 项目管理办公室(PMO) 3
.
2.0 联合授权委员会(JAB)
3
3.0 联邦机构 .
4.0 第三方评估机构(3PAOs)决定您的授权策略 3
.
3
.
4
5.0 需求:广泛 vs 小众
5
6.0 现有或潜在的代理合作伙伴
5
7.0 部署模型
5
8.0 影响级别
6
FedRAMP 授权的类型
7
9.0 JAB 授权
9
10.0 代理授权重 要 注意事 9
项
13
11.0 IaaS 与 PaaS 与 SaaS
19
12.0 系统栈
19
13.0 努力水平
19
20
.
第二卷:开发一个授权包
介绍 23
23
授 权包里有什么开发授权包
1.0 角色和职责 24
2.0 系统安全规划(SSP) 24
3.0 安全评估计划(SAP) 25
4.0 安全评估报告(SAR) 36
5.0 行动计划和里程碑(POA&M) 37
38
fedramp.gov 第二
页
CSP 授权剧本
体积我:
入门 fedramp
fedramp.gov 第1
页
CSP 授权手册
入门:FedRAMP 适合你吗?
如果您有联邦政府正在使用的云服务产品(CSO),您应该考虑获得 FedRAMP 授权。根据美国行政管理和预算
办公室(OMB)的备忘录,保存联邦数据的云服务必须获得 FedRAMP 授权。
获得 FedRAMP 授权有两种方法:通过联合授权委员会(JAB)获得临时授权或通过机构获得授权。这两种授
权路径都需要根据《联邦信息安全管理法》(FISMA)要求和美国国家标准与技术研究院(NIST) 800-53 基
线进行安全评估,并且在本文档各自的章节中都有更详细的解释。
fedramp.gov 第二
页
CSP 授权手册
授权过程中的合作伙伴
FedRAMP 项目管理办公室(PMO)
2.0 联合授权委员会(JAB)
JAB 是 FedRAMP 的主要治理和决策主体。JAB 由国土安全部(DHS)、总务管理局(GSA)和国防部(DoD)的首
席信息官(cio)组成。JAB 定义并建立了 FedRAMP 基线安全控制和第三方评估组织(3PAOs)的认证标准。JAB
与 FedRAMP PMO 密切合作,以确保 FedRAMP 基线安全控制被纳入一致和可重复的过程,用于 cso 的安全
评估和授权。csp 做出商业决策为其 CSO 寻求 JAB P-ATO 时,可通过 FedRAMP Connect 优先考虑。在这个
优先排序过程中,JAB 的目标是授权它认为最有可能在政府范围内利用的云服务。这在 FedRAMP 的 JAB 优
先级标准中有更详细的介绍。对于实现 P-ATO 的 cso, JAB 还通过持续监测(共同)确保这些系统保持可接受的
风险状态。
3.0 联邦机构
csp 做出商业决定,直接与机构合作寻求运营授权(ATO),将在初始 FedRAMP 授权过
程中与机构合作。除 FedRAMP 要求外,各机构还定义其具体政策和程序,并负责审查
csp 开发的安全包。最终,机构的授权官员(AO)必须接受与使用云系统相关的风险
fedramp.gov 第3
页
CSP 授权手册
3.1 机 构 授权官员
机构的 AO 是一名高级联邦官员,他最终负责做出基于风险的决定,授予 CSP 提供 ATO。该决定在提供给
CSP 系统所有者和 FedRAMP PMO 的 ATO 信中正式确定。AOs 在整个组织中具有足够的可视性,以了解单个
CSO 对机构的安全环境和运营的影响和成本。
NOTE:最 初 的 机 构 ATO 不 是 政府 范围 的风 险接 受。 同样 ,最 初 的授 权机 构不 负责 代表 所有 联邦 机构 执行 共
同 监 督 。每个机构必须为自己使用 CSO 发布 ATO,并审查共同交付物,以确保安全态势足以满足机
构的持续使用。拥有多个代理客户的 csp 应建立持续监测的协作方法。
4.0 第三方评估组织(3PAOs)
作为独立的第三方,3PAOs 对云系统进行初始和定期评估,以确保它们满足
FedRAMP 要求。寻求 FedRAMP 授权的 csp 必须由独立第三方对其 cso 进行评估。对
于 JAB 授权流程,CSP 必须选择 FedRAMP 认可的 3PAO,该 3PAO 满足必要的质
量、独立性和 FedRAMP 知识要求,以执行所需的独立安全评估。对于 Agency
Authorization
fedramp.gov 第4
页
CSP 授权手册
确定您的授权策略
获得 FedRAMP 授权有两种方法,通过联合授权委员会(JAB)获得临时授权或通过机构获得授权。我们建议
您评估以下因素,以确定您的授权策略。在完成 FedRAMP 授权策略之前,PMO 建议 CSP 与我们的技术和
联邦政府中小企业进行咨询。CSP 可以通过填写 CSP 接收表格来注册一个接收电话。
5.0 需求:广泛 vs 利基
需求是 csp 决定从代理合作伙伴寻求 JAB P-ATO 或 ATO 的关键考虑因素。FedRAMP 通常将公民社会组
织评估为具有广泛或利基需求。广泛需求反映了对来自多个机构的产品的已证实的或潜在的需求,而 利
基需求 反映了
特定机构的效用或产品的适用性。在评估寻求何种授权时,CSP 应该能够确定其产品是否具有广泛或利基需
求,因为具有广泛需求的公民社会组织更适合 JAB P-ATO,而具有利基需求的公民社会组织更适合机构
ATO。
提供以下一项或多项:(1)当前联邦政府客户的清单;(2)相关联邦政府信息征询书(RFI)/建议征询书(RFP)/
请求
报价(RFQ)数据;(3)来自本地客户的验证,表明有兴趣将服务过渡到云;(4)来自联邦政府联络点表达潜在
兴趣的通信;或(5)当前州、地方、部落和地区客户的证明。
现有的或潜在的代理合作伙伴
获得 FedRAMP 机构授权的第一步是 CSP 与联邦机构建立伙伴关系。一些 csp 可能已经有一个或多个机构
对授权其云计算服务提供商感兴趣,因为他们要么已经在使用该系统,要么正在使用内部部署版本,并希
望过渡到云版本。其他 csp 可能有对其服务感兴趣的潜在客户,或者可能正在响应包含 FedRAMP 要求的提
案请求(rfp)。在过程的早期讨论 FedRAMP 是至关重要的。PMO 可以与 csp 合作,与机构讨论解决有关授
权过程的问题或担忧。
fedramp.gov 第5
页
CSP 授权手册
关 于合作关系的常见代理问题
以下是常见问题的答案,可以在 fedramp.gov 的 FAQ 页面的“联邦机构”选项卡中找到。作为 CSP,在我们
的网站上查看这些和其他常见问题是有益的,可以帮助您在代理客户出现这些问题时做好准备。
成 为 最初的代理合作伙伴意味着什么?
作 为 初始授权机构是否需要付出额外的努力?
作 为初始授权机构,我们是否负责代表其他杠杆机构执行持续监测(ConMon)监 督 ?
7.0 部署模型
csp 应该确定他们的 CSO 是政府专用社区、公共云还是私有云,或者作为混合云存在。FedRAMP 在定义云
部署模型时遵循 NIST SP 800-145 定义。
定义
依靠政府的社区 云只存储政府数据。客户可以是联邦、州、地方、部落、领土、联邦资助的研究中心
(ffrdc)、代表政府工作的承包商或实验室实体。
公共 公共云部署既支持政府客户,也支持非政府客户。这与传统的云计算服务模式是一致的,
但它潜在地给联邦政府带来了更多的风险。
混合 云基础设施(私有、社区或公共)的组合。每个云都是一个独特的实体,但与其他云绑定以向
动力 组织提供服务(例如,云爆发以实现云之间的负载平衡)。
fedramp.gov 第6
页
CSP 授权手册
8.0 影响级别
联邦信息处理标准(Federal Information Processing Standard, FIPS) 199 提供了对信息和信息系统进行分类的
标准,csp 使用该标准来确保其服务满足处理、存储和传输联邦数据的最低安全要求。安全类别是基于某
些事件可能对组织完成其指定任务、保护其资产、履行其法律责任、维持其日常功能和保护个人的能力产
生的潜在影响。
8.1.影 响水平
定义
高影响等级 高影响数据通常在执法和应急服务系统、金融系统、卫生系统和任何其他系统中,这些系统
的保密性、完整性或可用性的丧失可能对组织运营、组织资产或个人产生严重或灾难性的不
利影响。FedRAM P 引入了高基线,以解释联邦政府在云计算环境中最敏感的非机密数据,包
括涉及保护生命和防止财务破产的数据。
fedramp.gov 第7
页
CSP 授权手册
最终,系统的安全影响级别由机构客户决定,因为每个授权官员(AO)将具有不同的风险承受水平,每个
机构的使命也不同,这可能会影响他们对数据进行分类的方式。因此,csp 必须与其代理客户协调,以确
保与他们的影响等级分类达成一致。
8.2.安 全目标
定义 例子
保密
存储的信息应得到充分保护,防
完整性
止被修改。
资料来源:FIPS PUB
199
fedramp.gov 8页
CSP 授权剧本
FedRAMP 授权类型
下一节概述了 csp 可用的两种类型的 FedRAMP 授权:JAB 授权和代理授权。
9.0 JAB 授权
图 1:JAB 授权流程图
9.1.第 一 阶 段:准 备
FedRAMP Connect
JAB 在创建一个广泛的供应商市场方面投入了大量资金,但根据目前的资源和资金,每年只能授权有限数量
的 CSO。为了确保用于授权联邦政府 CSO 的资源的明确投资回报,FedRAMP PMO、CIO 理事会和 JAB 通过
一个称为 FedRAMP Connect 的过程评估 CSO。在此过程中,CSO 开发业务案例,并根据优先级标准评估和
确定与 JAB 合作的优先级。
fedramp.gov 9页
CSP 授权手册
FedRAMP 就 绪
为了启动 JAB, csp 必须为其 CSO 实现 FedRAMP 就绪指定。为了达到 FedRAMP 就绪指定,CSP 必须与
FedRAMP 认可的第三方评估组织(3PAO)合作,完成其服务产品的就绪评估。准备情况评估报告(RAR)记录了
CSP 的能力,并向 JAB 提供了 CSO 安全态势的快照。
全 面安全评估
fedramp.gov 第 10
页
CSP 授权手册
9.2.第 二 阶 段:授 权
fedramp.gov 11 页
CSP 授权手册
9.3.阶 段 3:持 续 监测
定期审查和批准持续监测和安全工件。监控、暂停和撤销系统的 P-ATO
●批准或拒绝重大变更和偏差请求
审查事件信息,确保妥善处理和解决
除了上面描述的持续监测活动,CSP 必须利用
fedramp.gov 第 12
页
CSP 授权手册
10.0 代理授权
图 2:代理授权流程
10.1.第 一 阶段:准 备
FedRAMP 就 绪
fedramp.gov 13 页
CSP 授权手册
预授权
伙伴关系建立
授 权计划
一旦建立伙伴关系,CSP 应:
准 时 制线性方法
同 时 提供的所有可交付成果
fedramp.gov 14 页
CSP 授权手册
启 动会议
这个阶段的最后一步是准备和进行启动会议。启动会议的目的是通过介绍关键团队成员,审查云服务产品,
并确保每个人都在整体流程和里程碑时间表上保持一致,从而正式启动代理授权流程。虽然 FedRAMP
PMO 协调和促进启动会议,但启动最终意味着为 CSP 和代理伙伴关系服务。
在启动会议结束时,所有利益相关者将有一个共同的理解:
●整体授权流程、里程碑、可交付成果、角色和职责、时间表
●CSO 的目的和功能、授权边界、数据流、已知的安全漏洞和补救计划、机构特定要求、客户负责的控
制以及可能需要机构风险接受的领域
●该机构审查授权包并达成基于风险的授权决策的流程
•PM O 从政府范围内重用的角度审查授权包的过程•成功的最佳实践和技巧
进 程内的指定
fedramp.gov 第 15
页
CSP 授权手册
虽然您的机构联络点(POC)可能是项目方的某个人,但与机构的安全方以及最终的授权官员联系是至关重
要的,授权官员需要在 CSP 获得在处理指定之前向 FedRAMP 发送在处理请求。如果您的项目所有者不知
道在他们的代理机构中该找谁,PMO 可以提供帮助。
10.2.第 二 阶段:授 权
全 面安全评估
在这个阶段,3PAO 测试 CSP 的系统。SSP 应充分开发,CSP 应与其 3PAO 合作开发 SAP。如果 CSP 与代理
商合作使用上表所述的准时制线性方法,建议代理商在 3PAO 启动测试之前批准 SAP。在测试过程中,至关
重要的是不能对系统进行任何更改,并且从开发的角度来看,它是冻结的。一旦测试完成,3PAO 将制定一
份合成 SAR,详细说明他们的发现,并包括 FedRAMP 授权的建议。然后,CSP 将根据 SAR 结果制定
POA&M,并包括 3PAO 的输入,其中概述了解决测试结果的计划。
在 SAR 汇报结束时,所有持份者会就以下事项达成共识:
3PAO 的评估方法、方法和时间表
●测试范围,包括授权边界和数据流的验证●评估结果和剩余风险
CSP 的剩余风险补救计划和时间表
●需要机构批准的偏差请求(风险调整,误报)
●运行所需的风险,需要机构风险接受(例如,CSO 运行所必需的服务或组件,但排除在测试范围之外)
●机构审查授权包并达成基于风险的授权决策的流程
•PMO 从政府范围内重用的角度审查授权包的过程
●最佳实践和成功秘诀
fedramp.gov 16 页
CSP 授权手册
代理授权流程
一旦评估和相关的可交付成果完成,机构就会对其进行审查,要么批准,要么要求进行额外的测试。
然后进行最终审查,如果机构接受与使用该系统相关的风险,他们将提供由授权官员签署的操作授权
(ATO)函。
●CSP 的高基线包存储库
4 包被放置在 PM O 评审小组的队列中,并按照收到的顺序进行评审
●包评审通常需要从评审开始的 10 个工作日,假设没有可能减慢评审速度的重大质量问题
PM O 评审小组将评审报告草稿发送给所有利益相关者(CSP , 3PAO,机构)
5
报告草稿记录了 PMO 评审期间发现的问题,以及任何需要澄清的地方
●报告草稿至少在会议前一周寄出
7 . PM O 进行差距审查
●与 F edRAM P 领导层沟通剩余差距或建议授权●一旦获得批准,市场名称将更改为
FedRAM P 授权
fedramp.gov 第 17
页
CSP 授权手册
10.3.阶 段 3:持 续 监测
fedramp.gov 18 页
CSP 授权手册
重要的注意事项
下面是在开发授权策略时需要考虑的一些方面。我们建议您了解这些方面,并准备在您与 FedRAMP PMO
的就诊电话中谈论它们。
定义
软件即服务 提供给消费者的功能是使用在云基础设施上运行的提供商的应用程序。这些应用程序可以通
(SaaS) 过瘦客户端接口(如 w eb 浏览器(如基于 w eb 的电子邮件))或程序接口从各种客户端设备访
问。消费者不管理或控制底层的云基础设施,包括网络、服务器、操作系统、存储,甚至单
个应用程序的功能,可能除了有限的用户特定的应用程序配置设置。
平台即服务 提供给消费者的功能是将消费者创建或获得的应用程序部署到云基础设施上,这些应用程序
(PaaS) 使用提供商支持的编程语言、库、服务和工具创建。消费者不管理或控制底层云基础设施,
包括网络、服务器、操作系统或存储,但可以控制已部署的应用程序和可能的应用程序托管
环境的配置设置。
基础设施即服务 提供给消费者的能力是提供处理、存储、网络和其他基础计算资源,消费者可以在其中部署
(IaaS) 和运行任意软件,其中可以包括操作系统和应用程序。消费者不管理或控制底层云基础设
施,但可以控制操作系统、存储和部署的应用程序,并可能有限地控制所选的网络组件(例
如,主机防火墙)。
12.0 系统栈
“系统堆栈”一般是指包含在云服务产品中的数据中心的服务层。CSO 必须
根据适当的 FedRAMP 基线进行授权,这意味着必须对每个组件(IaaS、PaaS、
SaaS)进行授权。
13.0 努力水平
与授权 CSO 相关的工作量(LOE)和成本将根据系统的复杂性、团队的总体承诺和专业知识而变化。此外,总
体 LOE 和成本将取决于 CSP 是采用机构 ATO 还是 JAB P-ATO,因为每个机构根据其特定的安全要求遵循略
有不同的授权流程。
LOE 可以分为以下几类:
定义
支持
fedramp.gov 第 20
页
CSP 授权手册
13.1.CSP 授 权 团队
定义
项目管理
具有在联邦或大型私人组织中作为信息技术(IT)系统实施一部分的团队和任务管理
经验,包括先前的 FedRAM P 或 FISM A 授权经验。成功的项目经理通常具有敏捷、
DevOps 或精益管理方法的工作知识。此外,他们能够自如地协调项目涉众,并且
对 IT 系统的实现具有端到端的可见性。
客 户 关系 管 通常,销售或业务开发助理熟悉或负责导致联邦采购系统的业务关系。成功的客户
理 关系经理在整个实施过程中促进利益相关者之间的沟通,特别是在授权工作开始时
CSP 和代理资源的初始伙伴关系期间。
了解有关服务产品系统架构和设计的专业知识,包括对系统适用安全控制的适应
系统架构与工程 性的可见性。在授权工作中,有效的技术人员通常证明具有联邦 IT 系统的能力,
并且对 FISM A 和 FedRAM P 定义的联邦安全需求有透彻的理解。
技术写作 通过对系统架构和设计以及适用的安全控制如何影响和与系统交互的透彻理解而
获得的有效的写作能力。此外,有效的技术作者展示了控制如何与服务提供,代
理和系统堆栈内的任何底层系统(例如,IaaS 继承)相关的工作知识。
通信 FedRAM P PM O 认为沟通是任何项目团队的核心能力,可以反映在专门的全职等效
(FTE)中,也可以体现在 CSP 团队的总技能集中。在联邦环境中,通信是 CSP 、代
理、3PAO 和 PM O 资源在整个系统生命周期中持续协调的组成部分。
fedramp.gov 21 页
CSP 授权手册
卷二:
制定授权
包
fedramp.gov 22 页
CSP 授权手册
介绍
CSP 手 册 第 二 卷 :开 发 授 权包 是 FedRAMP CSP 手册系列的第二卷。第一卷描述了云服务提供商(CSP)如何开
始使用 FedRAMP,介绍了机构和联合授权委员会(JAB)授权流程、FedRAMP 指定,以及 CSP 在寻求授权
之前应该考虑什么。
第 二 卷 概述了授权包的要素,以及提供高质量包的一般指导和提示,以确保快速的授权流程。第二卷的总
体目标是通过帮助 CSP 第一次就把它做好,从而最大限度地减少返工和延迟。我们将继续更新这一卷,因
为我们确定了额外的指导和成功的技巧。
授权包中有什么
FedRAMP 授权包记录了 CSP 云服务产品(CSO)的安全和风险状况。它包括系统安全计划(SSP),这是 CSO 的
“安全蓝图”。SSP 定义了 CSO 的授权边界,并描述了用于保护系统和联邦数据的机密性、完整性和可用性
(CIA)的安全控制。授权包还包括若干必要的 SSP 附件(例如,政策和程序以及事件响应计划)、安全评估计划
(SAP)、安全评估报告(SAR)、行动计划和里程碑(POA&M)以及授权书。
● 系统安全计划(SSP)及其附件
● 安全评估计划(SA P)
● 安全评估报告(SA R)
● 行动计划 和 里 程 碑 (P O A& M )
● 签署代理授权操作(ATO) -用于代理授权
● 签署的 JAB 临时 ato (P-ATO) -用于 JAB 授权
fedramp.gov 23 页
CSP 授权剧本
禁止 csp 和 3pao 修改或删除 SSP 、SAP 和 SAR 模板中的内容。然而,在提交 SSP、SAP 和 sar 的最终版本
之前,csp 和 3pao 应删除蓝色斜体的指导文本。超出 F edRAM P 基线的机构特定要求必须在 SSP 的附录中记
录。
开发授权包
以下部分描述了与授权包开发相关的角色和职责,以及完成 SSP、SAP、SAR 和 POA&M 的一般指
导。
1.0 角色和责任
csp 和 3pao 应该理解并同意授权包开发方面的角色和职责划分。虽然 csp 不制定 SAP 和 SAR,但他们负
责审查和批准这些文件。出于这个原因,本 CSP 手册第二卷包含了一些关于如何检查 SAP 和 SAR 的完
整性、正确性和一致性的技巧。
CSP
3 pao
●使用 FedRAM P 模板*开发 SSP 文
档 ●作为顾问,开发 SSP 文件**●作为评估员,验证
SSP 文件的有效性
验证导师准备的工作(如果适用)
完整和准确**
SSP
审核和批准 SAP
●签署渗透测试交战规则 与 CSP 协调确定评估范围和方法
fedramp.gov 24 页
CSP 授权手册
●签署渗透测试交战规则●交付 符合的渗透测
试计划
FedRAM P 的指导
SAR
在评估期间向 3PAO 提供所需的工件和证据
根据 FedRAMP 指南对 CSO 进行评估
与 3PAO 合作,在授权前确定必须纠正或减轻
起草与 SSP/SAP 细节一致的 SAR,并描述评估结果
的风险
***●将 SAR 交付给 CSP
2.0 系统安全规划(SSP)
SSP 是云服务产品的“安全蓝图”。编写良好的 SSP 允许审阅者在系统架构、数据流、安全控制实现和授权
边界之间牵线。在审查了 SSP 之后,AO(或指定人员)应该对联邦数据如何传输到系统、从系统传输到系统以
及在系统内部传输有深刻的理解;数据的处理和存储地点;以及如何保护数据。
fedramp.gov 25 页
CSP 授权剧本
2.1.入 门 :关 注 质量
表 3 。单据受理标准
标准
描述
清晰
●材料的逻辑呈现
●当前日期和及时的内容
●定义了非标准术语、短语、首字母缩略词和缩写
●没有模棱两可的陈述或内容
语法正确,没有尴尬的短语、印刷错误、拼写错误、缺词或错误的页码和节号
●可读图形文本
完整性 ●清晰易读的图形图形
包括 FedRAMP 模板的所有适当部分
包括所有附件和附录
简洁 包括目录表、表格表和图表表(如适用)包括图表所需的信息、正确的标签以及颜色和线条格式
的关键
●与受众相关的内容和复杂性●没有多余的单词或
短语
fedramp.gov 26 页
CSP 授权剧本
一致性 ●正确和一致的格式
●正确连续的分段编号
●在整个文件中具有相同含义的术语
●在整个文档中以相同的名称或描述引用的项目●在整个文档中相同的细节级别和呈
现风格●不与前任文档相矛盾的材料
●基于前导文档的后续文档中的所有材料●与文本一致的图内容
2.3.继 续 :编 写 SSP
一旦定义了授权边界和数据流,csp 就可以开始实现安全控制并编写 SSP。
fedramp.gov 27 页
CSP 授权手册
2.3.1.控 制需求
以“信息系统……”开头的需求通常指的是必须具备的技术能力。例如,IA-2(1)要求信息系统对特权账户的
网络访问实现多因素认证。
IA-4 标 识 符 管 理
组织通过以下方式管理用户和设备的信息系统标识符:
(a)接受来自[分配: 组织定义的人员或角色]的授权,以分配个人、组、角色或设备标识符;
提示:组织(CSP)定义哪个人或角色可以授权标识符的分配
(b)选择标识个人、组、角色或设备的标识符;
(c)将标识符分配给预期的个人、组、角色或设备;
要求:服务提供商定义设备标识符的不活动时间段。指南:对于国防部云,请参阅国防部云网站,了解国防
部超越 FedRAM P 的具体要求。
fedramp.gov 28 页
CSP 授权手册
2.3.2.控 制摘要信息
●负责角色:能够最好地回应有关特定控制的问题的角色(例如,数据库管理员,客户经理,ISSO)。它通常是
负责实现、管理和监控控制的角色。不应提供个人的实际姓名。
(b)保留屏幕上的消息,直到用户通过明确的操作确认使用条件
控制起源:所有的控制都来源于一个系统或一个业务过程。正确地描述控制的起源是很重要的,这样就能清
楚地知道谁负责实施、管理和监视控制。每种控制起源的定义和示例见 SSP 《控制起源和定义》 表 13-2。
fedramp.gov 第 29
页
CSP 授权手册
是否控制实施声明涉及控制中定义的每一个要求?对于多部分控制,实施声明应只处理与该部分相关的需求。
●实施声明是否明确说明控制要求是否得到满足?
●实现声明是否清楚地描述了控制是如何实现的,包括谁(什么角色)负责实现和/或执行控制?
注 意 :在某些情况下,描述 如何 实现是困难的,因为答案可能很复杂或冗长。在这些情况下,可以在较高的层
次上描述如何,然后将审稿人指向外部文档以获取更详细的信息。
TIP:对于客户提供的、客户配置的或共享的控件,在控件实现声明中创建“客户责任”标题。清楚地描述在
这个标题下期望客户做什么。你不必描述客户是如何实现需求的。
fedramp.gov 30 页
CSP 授权手册
2.4.SSP 控 制 该做什么和不该做什么
应该 不该
做的 做的
事 事
●确保所有角色都在表 9-1 人员角色和特权 中定义, ●不 要 修改控制需求文本,包括参数分配说明和额外的
并在整个 SSP 中一致描述。 FedRAM P 需求/指导。CSP 响应必须记录在“控制摘要
●确保填 写 “ 控 制汇 总 信息 ”表 中的 所 有字 段, 并 确 信息”和“解决方案是什么以及如何实施?”“表。
保 信 息 与控 制 实施 声明 一致 。 ●在编 写 控 件 时, 不要简单地重复或重新表述
●提 供 不适用(N/ a)控制的理由。 控件要求
执行语句。
〇许多 csp 错误地将未经授权使用的控制识别为 N/A 。
例如,许多 csp 认为 AC-2(2)是 N/A ,因为环境中 ●不 要 引用其他控件,而不是提供书面的控件叙述。参
没有使用临时/紧急帐户。FedRAM P 认为这种控 考相关的控制项以获得额外的细节是可以接受的,但
制是适用的,并要求 csp 引用禁止创建临时/紧急 每个控制项都需要独立的叙述,以充分解决控制要求。
帐户的政策,并描述为防止创建和/或审计未经授
权的帐户而实施的任何技术控制措施。 ●不 要 引用 SSP 附件或外部文件,而不是提供书面控
制叙述。参考 SSP 附件或外部文件作为 例子 或 额外
在引 用 SSP 附 件 或 其 他 外 部 文 件 时 , 要包括正确和一 的细节是可以接受的,只要控制叙述充分解决了控
致的文件标题。 制要求。
〇如果所引用的整个文件不适用,则应提供具体的 ●不 要 将实现语句从一个控件复制粘贴到另一个控件。
章节参考,以便于查找适用的章节。 实现语句应该针对特定的控制要求。它不应包含与
控制要求不直接相关的内容。
〇填写 SSP 表 15-1 中所有 SSP 附件的文件名,提供
的附件名称。这样,你只需要在一个位置更新文
件名。
〇引用其他外部文档时,请使用标准的命名约定,
将文档名称和文件名添加到 SSP 的表 15-1 中,并
随 SSP 包一起上传到 OM B M AX 中。注:如果外
部文件包含敏感系统信息,不能上传到 OM B
M AX,请在表 15-1 中加入声明,大意是“本文
件包含敏感系统信息,但可根据审核和评估的要
求提供”。
fedramp.gov 31 页
CSP 授权手册
2.5.SSP 附 件
表 4 。系统安全计划(SSP)附件
● 附件 1:信息安全政策和程序
● 附件 2:用户指南
● 附件 3:数字身份工作表*
● 附件 4:隐私阈值分析/隐私影响评估(PTA /PIA)*
● 附件 5:行为准则(RoB)*
● 附件 6:信息系统应急计划(ISCP )*
● 附件 7:配置管理计划(CM P)
● 附件 8:事件响应计划(IRP )
● 附件 9:控制实施总结(CIS)*
● 附件 12:FedRAM P 法律法规*
● 附件 13:FedRAM P 综合库存工作手册*
2.5.1.附 件 1:信息安全政策和过程
●如何创建账户
●如何测试备份
●如何审查可疑活动的日志
fedramp.gov 第 32
页
CSP 授权手册
2.5.2.附件 2:用户指南
用户指南解释了机构客户将如何使用该系统。例如,如果系统有自助服务门户,则必须在用户指南
中说明如何使用该门户。
2.5.3.附 件 3:数字身份工作表
●身份证明过程(IAL)
认证过程(AAL)
●在联邦环境中使用的断言协议,用于通信身份验证和属性信息(FAL)
2.5.4.附 件 4:隐私阈值分析/隐私影响评估(PTA/PIA)
fedramp.gov 第 33
页
CSP 授权剧本
2.5.6.附 件 6:信息系统应急预案(ISCP)
2.5.7.附 件 7:配置管理计划(CMP)
2.5.8.附 件 8:事件响应计划(IRP)
fedramp.gov 34 页
CSP 授权手册
2.5.9.附 件 9:控制实施总结(CIS)工作簿
csp 必须将 CIS 工作簿作为附件 9 提交到 SSP。FedRAMP 提供了两个 CIS
●由客户配置(特定客户系统)●由客户提供(特定客户系
统)●共享(服务提供商和客户责任)
2.5.11.附 件 11:职责分离矩阵
fedramp.gov 35 页
CSP 授权手册
作为每月持续监测工作的一部分,csp 也必须更新国际收支状况。
3.0 安全评估方案(SAP)
SAP 由 3PAO 开发和交付。它描述了评估 CSO 的范围、方法、测试计划和交战规则。CSP 和 3PAO 必须签
署 SAP,这表明承认并同意 SAP 和交战规则。csp 应仔细审查 SAP 的质量和完整性,并在评估开始前与
3PAO 合作,根据需要进行调整。我们在本节中提供了一些“检查表”指导,以帮助 csp 在执行 SAP 审查时
提供帮助。
●SAP*
●安全测试用例程序*
●渗透 测试 计划 和方 法● 交战 规则 (嵌 入在
SAP 中)*●抽样方法
●范围是否准确反映了构成系统授权边界的所有系统服务、组件和设备?
是否测试时间表反映了商定的时间表?
fedramp.gov 36 页
CSP 授权手册
4.0 安全评估报告(SAR)
SAR 记录了 CSO 的安全评估结果,包括评估结束时剩余风险的摘要。安全评估的目的是评估 CSO 对
FedRAMP 基线安全控制的实施和遵从情况。
表 6 所示。安全评估报告(SAR) 工件
● SAR*
● 风险暴露表(RET)*
● 安全测试用例程序*
● 基础设施扫描结果
● 数据库扫描结果
● Web 应用程序扫描结果
● 渗透测试报告
● 评估过程中收集的证据
验证安全测试用例程序工作簿(也称为“测试用例工作簿”)中的所有发现都记录在 SAR 中。
要做到这一点,请查看测试用例工作簿中的“CtrlSummary”选项卡。所有评估结果为“非满意”
的控制实例应在 RET 中作为开放风险记录,除非在测试期间纠正了这一发现。如果在测试过
程中发现的问题得到了纠正,则应将其记录在 SAR《测试过程中纠正的风险》表 5-1 中。
fedramp.gov 37 页
CSP 授权手册
5.0 行动计划和里程碑(POA&M)
安全控制 CA-5 要求 csp 制定行动计划和里程碑(POA&M),以记录纠正在安全评估和持续监测活动期间发现
的风险(例如,弱点、缺陷、漏洞)的补救计划。
●持续监测战略指南
●持续监测绩效管理指南
●漏洞扫描要求
●容器漏洞扫描要求
●确定使用漏洞扫描抽样的资格和要求指南●重大变更政策和程序
5.1.一 般 POA&M 指南
未经授权的服务,因为每个服务的补救计划和缓解因素可能不同。
所有开放的风险必须在打开项目标签上捕获,即使它们不被认为是过期的。
fedramp.gov 38 页
CSP 授权手册
●操作需求(OR)是一种无法补救的发现,通常是因为系统不能按预期运行,或者因为供应商明确表示不打
算为其产品提供修复。FedRAMP 将不会批准针对 High 漏洞的 OR;然而,csp 可能会降低风险。对于在
评估期间由 3PAO 验证的 ORs,在 W 列(操作需求)中选择“是”。对于未经 3PAO 验证的 ORs,选择 w
列中的“Pending”。待决的 ORs 必须在授权之前得到 AO 的批准。
当 CSP 必须依赖下游供应商来解决漏洞时,例如商用现货(COTS)产品的补丁,但供应商尚未提供修复
程序,则存在供应商依赖(Vendor Dependency, VD)。
〇dvd 不被视为偏离请求,不需要批准。
fedramp.gov 39 页
CSP 授权手册
POA&M 的 注 意事项
应该
做的 不该
事 做的
事
确保 POA&M 项目可以很容易地映射到 SAR 风险暴露表。 不要把 dvd 和 dvd 放 在 POA&M 的 Clos ed Items 标
签 上 。 dvd 和 dvd 被认为是开放风险,必须由
● 提 供 有关补丁/修复状态的供应商交互的证据(例如, CSP 跟踪。
供应商通知,电子邮件交换)。
fedramp.gov 40 页