As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Linha de Base Moderada do FedRAMP
AWS Audit Manager fornece um framework de Linha de Base Moderada do FedRAMP para ajudá-lo na preparação da auditoria.
O que é o FedRAMP?
O Programa de Gerenciamento de Autorização e Risco Federal (Federal Risk and Authorization Management Program, ou FedRAMP) foi estabelecido em 2011. Ele fornece uma abordagem econômica baseada em risco para a adoção e uso de serviços em nuvem pelo governo federal dos EUA. O FedRAMP capacita as agências federais a usarem tecnologias de nuvem modernas, com ênfase na segurança e proteção das informações federais.
Para obter mais informações sobre os controles básicos moderados do FedRAMP, consulte o Modelo de procedimentos de caso de teste de segurança moderada do FedRAMP
Como usar esse framework para apoiar sua preparação para auditoria
Você pode usar o framework Linha de Base Moderada do FedRAMP para ajudá-lo a se preparar para as auditorias. Esse framework inclui uma coleção pré-construída de controles com descrições e procedimentos de teste. Esses controles são agrupados em conjuntos de acordo com os requisitos do FedRAMP. Você também pode personalizar esse framework e seus controles para apoiar auditorias internas com requisitos específicos.
Usando o framework como ponto de partida, você pode criar uma avaliação do Audit Manager e começar a coletar evidências relevantes para sua auditoria. Depois de criar uma avaliação, o Audit Manager começa a avaliar seus atributos AWS. Ele faz isso com base nos controles definidos no framework. Na hora de fazer uma auditoria, você ou um representante de sua escolha pode analisar as evidências que o Audit Manager coletou. Como alternativa, você pode navegar pelas pastas de evidências na sua avaliação e escolher quais evidências deseja incluir no relatório de avaliação. Ou, se você ativou o localizador de evidências, pode pesquisar evidências específicas e exportá-las no formato CSV ou criar um relatório de avaliação baseado nos resultados da pesquisa. De qualquer uma das formas, você pode usar esse relatório de avaliação para mostrar que seus controles estão funcionando conforme o esperado.
Os detalhes do framework de Linha de Base Moderada FedRAMP são:
| Nome do framework em AWS Audit Manager | Número de controles automatizados | Número de controles manuais | Número de conjuntos de controle | Serviços da AWS em escopo |
|---|---|---|---|---|
| Linha de Base Moderada do FedRAMP | 303 | 908 | 325 |
|
dica
Para analisar as regras AWS Config usadas como mapeamentos de fontes de dados nesse framework padrão, baixe o arquivo AuditManager_ConfigDataSourceMappings_FedRAMP-Moderate-Baseline.zip.
Os controles nesse framework não se destinam a verificar se seus sistemas estão em conformidade com o FedRAMP. Além disso, eles não podem garantir que você obterá êxito em uma auditoria do FedRAMP. AWS Audit Manager não verifica automaticamente os controles processuais que exigem a coleta manual de evidências.
Você pode encontrar esse framework na guia Framework padrão do Biblioteca framework no Audit Manager.
Para obter instruções sobre como criar uma avaliação usando esse framework, consulte Como criar uma avaliação.
Quando você usa o console do Audit Manager para criar uma avaliação a partir desse framework padrão, a lista de Serviços da AWS no escopo é selecionada por padrão e não pode ser editada. Isso ocorre porque o Audit Manager mapeia e seleciona automaticamente as fontes de dados e os serviços para você. Essa seleção é feita de acordo com os requisitos da Linha de Base Moderada do FedRAMP. Se você precisar editar a lista de serviços no escopo desse framework, poderá fazer isso usando as operações da API CreateAssessment ou UpdateAssessment. Como alternativa, você pode personalizar o framework padrão e, em seguida, criar uma avaliação a partir do framework personalizado.
Para obter instruções sobre como personalizar esse framework para atender às suas necessidades específicas, consulte Como personalizar um framework existente e Como personalizar um controle existente.
Mais atributos do FedRAMP
