XiaoMi-AI文件搜索系统
World File Search Systemfedramp
FedRamp渗透测试指南
关于本文档2谁应该使用此文档?2如何与我们联系3 1。测试范围6 1.1表2:云服务分类6 2。威胁7 2.1威胁模型7 2.2攻击模型8 3。攻击向量9 3.1强制性攻击向量9 3.1.1攻击矢量1:公司外部10邮件phish活动10基于基于基准的基于基于基准的基于基于条件13特权和无私人用户13 3.1.4攻击向量4:租户到租户14 3.1.5攻击矢量5:移动应用程序到目标系统14 3.1.6攻击矢量6:客户端应用程序和/或目标系统14 4.范围施加渗透测试15 5。参与规则(ROE)16 6。报告17 6.1目标系统的范围17 6.2渗透测试期间评估的攻击向量17 6.3评估活动的时间表18 6.4进行实际测试,结果18 6.5发现和证据18 6.6访问路径18 7.测试时间表要求18 8.第三方评估组织(3PAO)人员配备要求19附录A:定义19附录B:参考文献20
FedRAMP 包访问申请表
我理解并承认,违反本协议将受到联邦刑事禁令的约束,这些禁令禁止政府雇员盗窃专有信息和商业机密,18 U.S.C. § 1905,以及为商业优势盗窃商业机密,18 U.S.C. § 1832,该法案规定未经授权获取或使用此类信息以及试图或密谋从事此类不当行为均属犯罪。提交安全包的公司是 FedRAMP 下 GSA 的云服务提供商。我承认 (i) 根据本协议向接收方披露的任何 FedRAMP 安全包文档和任何其他机密信息均为提交公司的专有技术或商业信息或商业机密信息;(ii) 提交公司是本协议的预期第三方受益人,可通过在任何有管辖权的法院提起诉讼直接执行本协议中与此类信息有关的条款。
演示:OSCAL 支持的 FedRAMP 自动化
● 加快内部授权包的开发和维护 ● 加快内部评估和授权活动 ● 能够强制外部评估人员使用基于 OSCAL 的授权包 ● 能够与外部利益相关者共享基于 OSCAL 的安全内容 ● 启用涵盖传统系统和云基系统的仪表板
FedRamp事件通信程序
CSP/3PAO Service Provider ● Protects incident information commensurate with the impact level of the cloud service ● Maintains a satisfactory risk management program for the cloud service in accordance with FedRAMP guidelines ● Complies with incident response guidance and requirements ● Maintains a list of all current customers and the proper communication channels with all AOs and 3PAOs ● Notifies affected customers of information security incidents ● Notifies CISA of information security根据需要的事件(请参阅CSP一般报告过程部分),并在FedRamp上提供CISA跟踪号码,网址为FedRamp_security@gsa.gov(以及所有适用的利益相关者)的信息安全事件(以及所有适用的利益相关者),此后更新,此后提供CISA的状态更新。利益相关者),包括机构AO或AO代表,
FedRAMP 基准修订版 5 过渡指南
■ 客户可以使用 CSP 时间表和 CRM 来了解其自身实施计划的计划变更。● 在 POA&M 管理流程和/或下一次年度评估(如适用)期间,评估修订版 4 到修订版 5 过渡计划的实施情况。修订版 5 控制措施的实施必须在下一次年度评估之前完成,以支持控制措施实施的测试。
FedRAMP 持续监控策略指南
2.1.机构授权官员 (AO) ......................................................................................................... 3 2.2.FedRAMP 联合授权委员会 (JAB) ......................................................................................... 3 2.3.FedRAMP 项目管理办公室 (PMO) .................................................................................... 3 2.4.国土安全部 (DHS) ............................................................................................. 3 2.5.第三方评估组织 (3PAO) ............................................................................................. 4
FedRAMP 行动计划和里程碑 (POA&M) 模板...
说明误报 (FP) 偏差请求的状态。当发现系统中实际上不存在的漏洞时,就会发生 FP。众所周知,这种情况时常发生在扫描工具中。如果 CSP 认为某个发现是 FP,他们必须将此列设置为“待定”,并立即使用 FedRAMP 偏差请求表向其 AO 提交偏差请求,包括 FP 的证据。如果 AO 批准偏差请求,CSP 必须将其更改为“是”。如果 AO 拒绝偏差请求,或者如果 CSP 不认为该发现是 FP,CSP 必须将此条目设置为“否”。AO 批准的误报也可以关闭;有关关闭 POA&M 项目的指导,请参阅第 2.2 节。
FedRamp连续监控绩效管理指南
●详细的查找审查(DFR):CSP FedRamp联系点(POC)的请求使CSP评估缺陷并向FedRamp报告原因和补救措施。如果CSP无法在商定的时间范围内解决DFR,则FedRamp可能会升级为纠正措施计划(CAP)。●CAP:FedRamp董事的请求CSP的系统所有者执行根本原因分析并提供正式的补救计划。如果CSP无法在商定的时间范围内解决帽子,FedRamp可能会暂停或撤销CSO的P-ato。●暂停:JAB决定暂时暂停CSO的P-ato,直到解决已确定的缺陷为止。如果CSP无法在商定的时间范围内解决“暂停”,或者FedRamp董事和JAB确定CSP无法再满足FedRamp合规性要求,FedRamp可能会撤销CSO的P-ato。
FedRAMP 系统安全计划 (SSP) 所需文件
● FedRAMP 项目管理办公室或 PMO 已创建一些文档模板,CSP 必须根据其系统中实施的安全控制来编辑和修改这些模板。请注意,FedRAMP 并非为所有文档提供模板。您应该通过在 www.fedramp.gov 上搜索这些模板来熟悉它们。