لفات كاميرا المشاهير التي تم اختراقها. التجسس السيبراني القائم على الدولة. وكل شيء بينهما. يحتوي أمن البيانات على مجموعة كبيرة من التطبيقات. وهو مصدر قلق كبير لكل من يستخدم أو يقدم الخدمات المستندة إلى السحابة.

عند تضمين البيانات الحكومية ، يمكن أن تصل هذه المخاوف إلى مستوى الأمن القومي. لهذا السبب تطلب حكومة الولايات المتحدة من جميع الخدمات السحابية التي تستخدمها الوكالات الفيدرالية أن تفي بمجموعة دقيقة من معايير الأمان المعروفة باسم FedRAMP.

إذًا ما هو FedRAMP وما الذي يستتبعه؟ أنت في المكان المناسب لمعرفة ذلك.

مكافأة: اقرأ دليل إستراتيجية الوسائط الاجتماعية خطوة بخطوة مع نصائح احترافية حول كيفية زيادة تواجدك على وسائل التواصل الاجتماعي.

ما هو FedRAMP؟

يشير FedRAMP إلى "برنامج إدارة المخاطر والتفويض الفيدرالي". إنه يوحد تقييم الأمان والتفويض للمنتجات والخدمات السحابية التي تستخدمها الوكالات الفيدرالية الأمريكية.

الهدف هو التأكد من حماية البيانات الفيدرالية باستمرار على مستوى عالٍ في السحابة.

الحصول على FedRAMP إذن هو عمل جاد. يتم تحديد مستوى الأمان المطلوب بموجب القانون. هناك 14 قانونًا ولوائح معمول بها ، إلى جانب 19 معيارًا ووثيقة إرشادية. إنها واحدة من أكثر شهادات البرامج كخدمة صرامة في العالم.

إليك مقدمة سريعة:

FedRAMP موجود منذ عام 2012. وهذا هو الوقت الذي كانت فيه التقنيات السحابية حقًاترخيص Adobe Sign.

تعرف على المزيد حول كيفية عملAdobe Sign للانتقال من FedRAMP المصمم إلى FedRAMP Moderate Statues هنا: //t.co/cYjihF9KkP

— AdobeSecurity (AdobeSecurity) 12 أغسطس 2020

تذكر أن الخدمة ، وليس مزود الخدمة ، هي التي تحصل على التفويض. مثل Adobe ، قد تضطر إلى متابعة تفويضات متعددة إذا كنت تقدم أكثر من حل قائم على السحابة.

Slack

معتمد في مايو من هذا العام ، لدى Slack 21 ترخيص FedRAMP. المنتج مصرح به على مستوى متوسط. يتم استخدامه من قبل الوكالات بما في ذلك:

• مراكز السيطرة على الأمراض والحماية ،
• لجنة الاتصالات الفيدرالية ، و
• مؤسسة العلوم الوطنية.

يمكن للقطاع العام في الولايات المتحدة الآن تشغيل المزيد من أعماله في Slack ، وذلك بفضل تفويض FedRAMP المعتدل الجديد. ومن خلال تلبية تلك المتطلبات الأمنية الصارمة ، فإننا نحافظ على أمان كل شركة أخرى تستخدم Slack أيضًا. //t.co/dlra7qVQ9F

- Slack (SlackHQ) 13 أغسطس 2020

تلقى Slack في الأصل تفويضًا مخصصًا من FedRAMP. بعد ذلك ، سعوا للحصول على إذن معتدل من خلال الشراكة مع وزارة شؤون المحاربين القدامى.

تتأكد Slack من لفت الانتباه إلى الفوائد الأمنية لهذا التفويض لعملاء القطاع الخاص على موقعها على الويب:

"هذا أحدث ترخيص يترجم إلى تجربة أكثر أمانًا لـعملاء Slack ، بما في ذلك شركات القطاع الخاص التي لا تتطلب بيئة معتمدة من FedRAMP. يمكن لجميع العملاء الذين يستخدمون عروض Slack التجارية الاستفادة من الإجراءات الأمنية المشددة المطلوبة لتحقيق شهادة FedRAMP. "

Trello Enterprise Cloud

تم منح Trello للتو ترخيص Li-SaaS في سبتمبر. لا يتم استخدام Trello حتى الآن إلا من قبل إدارة الخدمات العامة. لكن الشركة تتطلع إلى تغيير ذلك ، كما رأينا في منشوراتها الاجتماعية حول حالة FedRAMP الجديدة الخاصة بها:

مع تفويض FedRAMP من Trello ، يمكن لوكالتك الآن استخدام Trello لتعزيز الإنتاجية ، وتفكيك صوامع الفريق ، وتعزيز تعاون. //t.co/GWYgaj9jfY

— Trello (trello) 12 أكتوبر 2020

Zendesk

تم اعتماد Zendesk أيضًا في مايو بواسطة:

• وزارة الطاقة ،
• الوكالة الفيدرالية لتمويل الإسكان
• مكتب FHFA للمفتش العام ، و
• إدارة الخدمات العامة.

تتمتع منصة Zendesk لدعم العملاء ومكتب المساعدة بترخيص Li-Saas.

بدءًا من اليوم يمكننا تسهيل عمل الوكالات الحكومية معنا نظرًا لأنZendesk معتمد الآن من FedRAMP. شكرا جزيلا لجميع الفرق داخل وخارج Zendesk على الجهد الذي بذل في هذا. //t.co/A0HVwjhGsv

- Mikkel Svane (mikkelsvane) 22 مايو 2020

FedRAMP لإدارة وسائل التواصل الاجتماعي

SMMExpert is FedRAMPمخول. يمكن للوكالات الحكومية الآن العمل بسهولة مع الشركة الرائدة عالميًا في إدارة وسائل التواصل الاجتماعي للتفاعل مع المواطنين وإدارة اتصالات الأزمات وتقديم الخدمات والمعلومات عبر وسائل التواصل الاجتماعي.

اطلب عرضًا توضيحيًا

قبل FedRAMP ، كان على موفري الخدمات السحابية إعداد حزمة تفويض لكل وكالة يريدون العمل معها. المتطلبات لم تكن متسقة. وكان هناك الكثير من الجهود المكررة لكل من مقدمي الخدمات والوكالات.

قدم FedRAMP الاتساق وبسط العملية.

الآن ، تم توحيد التقييمات والمتطلبات. يمكن للوكالات الحكومية المتعددة إعادة استخدام حزمة أمان تفويض FedRAMP الخاصة بالمزود.

كان الاستيعاب الأولي لـ FedRAMP بطيئًا. تمت الموافقة على 20 عرضًا للخدمات السحابية فقط في السنوات الأربع الأولى. لكن الوتيرة قد تحسنت بالفعل منذ عام 2018 ، وهناك الآن 204 منتجات سحابية معتمدة من FedRAMP.

المصدر: FedRAMP

يتم التحكم في FedRAMP من قبل مجلس التفويض المشترك (JAB). يتكون المجلس من ممثلين من:

• وزارة الأمن الداخلي
• إدارة الخدمات العامة و
• وزارة الدفاع.

تمت الموافقة على البرنامج من قبل مجلس مسؤولي المعلومات الفيدرالي التابع للحكومة الأمريكية.

لماذا تعتبر شهادة FedRAMP مهمة؟

تتطلب جميع الخدمات السحابية التي تحتفظ بالبيانات الفيدرالية تفويض FedRAMP. لذا ، إذا كنت تريد العمل معالحكومة الفيدرالية ، يعتبر تفويض FedRAMP جزءًا مهمًا من خطتك الأمنية.

FedRAMP مهم لأنه يضمن الاتساق في أمان الخدمات السحابية الحكومية - ولأنه يضمن الاتساق في تقييم ومراقبة هذا الأمان. يوفر مجموعة واحدة من المعايير لجميع الوكالات الحكومية وجميع مقدمي الخدمات السحابية.

يتم سرد موفري الخدمات السحابية المعتمدين من FedRAMP في سوق FedRAMP. هذا السوق هو المكان الأول الذي تبحث عنه الوكالات الحكومية عندما تريد الحصول على حل جديد قائم على السحابة. من الأسهل والأسرع كثيرًا بالنسبة للوكالة أن تستخدم منتجًا مرخصًا له بالفعل بدلاً من بدء عملية التفويض مع بائع جديد.

لذا ، فإن الإدراج في سوق FedRAMP يجعلك أكثر احتمالاً للحصول على أعمال إضافية من وكالات الحكومة. ولكن يمكنه أيضًا تحسين ملفك الشخصي في القطاع الخاص.

وذلك لأن سوق FedRAMP مرئي للجمهور. يمكن لأي شركة من القطاع الخاص التمرير عبر قائمة الحلول المعتمدة من FedRAMP.

إنه مورد رائع عندما يبحثون عن مصدر منتج أو خدمة سحابية آمنة.

يمكن لتفويض FedRAMP أن يجعل أي عميل أكثر ثقة بشأن بروتوكولات الأمان. إنه يمثل التزامًا مستمرًا بتلبية أعلى معايير الأمان.

يعزز تفويض FedRAMP بشكل كبير مصداقيتك الأمنية.خارج سوق FedRAMP أيضًا. يمكنك مشاركة تفويض FedRAMP الخاص بك على وسائل التواصل الاجتماعي وعلى موقع الويب الخاص بك.

الحقيقة هي أن معظم عملائك ربما لا يعرفون ما هو FedRAMP. إنهم لا يهتمون بما إذا كنت مخولًا أم لا. ولكن بالنسبة لهؤلاء العملاء الكبار الذين يفهمون برنامج FedRAMP - في كل من القطاعين العام والخاص - قد يكون الافتقار إلى التفويض بمثابة كسر للصفقة.

ما الذي يتطلبه الحصول على اعتماد FedRAMP؟

هناك هناك طريقتان مختلفتان للحصول على ترخيص FedRAMP.

1. مجلس التفويض المشترك (JAB) السلطة المؤقتة للتشغيل

في هذه العملية ، يصدر JAB تفويضًا مؤقتًا. يتيح ذلك للوكالات معرفة أنه تمت مراجعة المخاطر.

إنها موافقة أولية مهمة. ولكن لا يزال يتعين على أي وكالة ترغب في استخدام الخدمة إصدار صلاحياتها الخاصة للتشغيل.

هذه العملية هي الأنسب لمقدمي الخدمات السحابية ذوي المخاطر العالية أو المتوسطة. (سنتعمق في مستويات المخاطر في القسم التالي.)

فيما يلي نظرة عامة مرئية لعملية JAB:

المصدر: FedRAMP

2. سلطة الوكالة للتشغيل

في هذه العملية ، ينشئ مزود الخدمات السحابية علاقة مع وكالة اتحادية معينة. هذه الوكالة تشارك في جميع مراحل العملية. إذا نجحت العملية ، تصدر الوكالة تفويضًا لتشغيل الحرف.

المصدر: FedRAMP

خطوات تفويض FedRAMP

بغض النظر عن نوع التفويض الذي تسعى إليه ، يتضمن تفويض FedRAMP أربع خطوات رئيسية:

1. تطوير الحزمة. أولاً ، هناك اجتماع افتتاحي للترخيص. ثم يكمل الموفر خطة أمان النظام. بعد ذلك ، تقوم منظمة تقييم الجهة الخارجية المعتمدة من FedRAMP بتطوير خطة تقييم الأمان.
2. التقييم. تقدم منظمة التقييم تقرير تقييم الأمان. يقوم المزود بإنشاء خطة عمل & أمبير ؛ المعالم.
3. التفويض. يقرر JAB أو الوكالة المخولة ما إذا كانت المخاطر على النحو الموصوف مقبولة. إذا كانت الإجابة بنعم ، فإنهم يرسلون خطاب سلطة التشغيل إلى مكتب إدارة مشروع FedRAMP. يتم إدراج الموفر بعد ذلك في سوق FedRAMP.
4. المراقبة. يرسل الموفر تسليمات مراقبة الأمان الشهرية إلى كل وكالة باستخدام الخدمة.

تفويض FedRAMP أفضل الممارسات

قد تكون عملية الحصول على تفويض FedRAMP صعبة. ولكن من مصلحة جميع المشاركين أن ينجح موفرو الخدمات السحابية بمجرد بدء عملية التفويض.

للمساعدة ، أجرى FedRAMP مقابلات مع العديد من الشركات الصغيرة والشركات الناشئة حول الدروس المستفادة أثناء التفويض. فيما يلي أفضل النصائح السبع الخاصة بهم للتنقل بنجاح في عملية التفويض:

1. فهم كيفخرائط المنتج إلى FedRAMP - بما في ذلك تحليل الثغرات.
2. احصل على دعم والتزام تنظيمي - بما في ذلك من الفريق التنفيذي والفرق الفنية.
3. ابحث عن شريك وكالة - شريك يستخدم منتجك أو ملتزم بذلك.
4. اقض وقتًا في تحديد حدودك بدقة. يتضمن:
   • المكونات الداخلية
   • اتصالات بالخدمات الخارجية ، و
   • تدفق المعلومات والبيانات الوصفية.
5. فكر في FedRAMP كبرنامج مستمر ، وليس مجرد مشروع بتاريخ بدء وتاريخ انتهاء. يجب مراقبة الخدمات بشكل مستمر.
6. فكر جيدًا في نهج التفويض الخاص بك. قد تتطلب العديد من المنتجات تراخيص متعددة.
7. FedRAMP PMO هو مورد قيم. يمكنهم الإجابة على الأسئلة الفنية ومساعدتك في التخطيط لاستراتيجيتك.

يقدم FedRAMP قوالب لمساعدة موفري الخدمات السحابية في الاستعداد للامتثال FedRAMP.

ما هي الفئات من الامتثال FedRAMP؟

يوفر FedRAMP أربعة مستويات تأثير للخدمات ذات أنواع مختلفة من المخاطر. إنها تستند إلى التأثيرات المحتملة لخرق أمني في ثلاثة مجالات مختلفة.

• السرية: حماية الخصوصية ومعلومات الملكية.
• النزاهة: الحماية ضد تعديل المعلومات أو إتلافها.
• التوفر: الوصول الموثوق به في الوقت المناسب إلى البيانات.

الثلاثة الأولىتستند مستويات التأثير على معيار معالجة المعلومات الفيدرالية (FIPS) 199 من المعهد الوطني للمعايير والتكنولوجيا (NIST). الرابع يستند إلى NIST Special Publication 800-37. مستويات التأثير هي:

• عالية ، استنادًا إلى 421 عنصر تحكم. "من المتوقع أن يكون لفقدان السرية أو النزاهة أو التوافر تأثير سلبي شديد أو كارثي على المؤسسة العمليات أو الأصول التنظيمية أو الأفراد ". ينطبق هذا عادةً على تطبيق القانون وخدمات الطوارئ والأنظمة المالية والصحية.
• معتدل ، استنادًا إلى 325 عنصر تحكم. "من المتوقع أن يكون فقدان السرية أو النزاهة أو التوافر تأثير سلبي خطير على العمليات التنظيمية أو الأصول التنظيمية أو الأفراد ". ما يقرب من 80 بالمائة من تطبيقات FedRAMP المعتمدة في مستوى التأثير المعتدل. تأثير سلبي على العمليات التنظيمية أو الأصول التنظيمية أو الأفراد ".
• البرامج منخفضة التأثير كخدمة (LI-SaaS) ، استنادًا إلى 36 عنصر تحكم . بالنسبة إلى "الأنظمة ذات المخاطر المنخفضة للاستخدامات مثل أدوات التعاون وتطبيقات إدارة المشاريع والأدوات التي تساعد في تطوير تعليمات برمجية مفتوحة المصدر." تُعرف هذه الفئة أيضًا باسم FedRAMP Tailored.

تمت إضافة هذه الفئة الأخيرة في عام 2017لتسهيل موافقة الوكالات على "حالات الاستخدام منخفضة المخاطر". للتأهل لبرنامج FedRAMP المخصص ، يجب على المزود الإجابة بنعم على ستة أسئلة. يتم نشرها في صفحة السياسة المصممة لبرنامج FedRAMP:

• هل تعمل الخدمة في بيئة سحابية؟
• هل الخدمة السحابية تعمل بكامل طاقتها؟
• هل السحابة تعمل بشكل كامل؟ خدمة برنامج كخدمة (SaaS) ، على النحو المحدد بواسطة NIST SP 800-145 ، تعريف NIST للحوسبة السحابية؟
• لا تحتوي الخدمة السحابية على معلومات تعريف شخصية (PII) ، باستثناء ما هو مطلوب لتوفير إمكانية تسجيل الدخول (اسم المستخدم وكلمة المرور وعنوان البريد الإلكتروني)؟
• هل تأثير الأمان منخفض على الخدمة السحابية ، كما هو محدد بواسطة FIPS PUB 199 ، معايير التصنيف الأمني ​​لأنظمة المعلومات والمعلومات الفيدرالية؟
• هل الخدمة السحابية مستضافة ضمن نظام أساسي مرخص من FedRAMP كخدمة (PaaS) أو بنية تحتية كخدمة (IaaS) ، أم أن CSP يوفر البنية التحتية السحابية الأساسية؟

ضع في اعتبارك أن تحقيق الامتثال لبرنامج FedRAMP ليس مهمة لمرة واحدة. تذكر مرحلة مراقبة تفويض FedRAMP؟ وهذا يعني أنك ستحتاج إلى إرسال عمليات تدقيق أمان منتظمة لضمان البقاء متوافقًا مع FedRAMP.

مكافأة: اقرأ دليل إستراتيجية الوسائط الاجتماعية خطوة بخطوة مع نصائح احترافية حول كيفية زيادة تواجدك على وسائل التواصل الاجتماعي.

أمثلة معتمدة من FedRAMPالمنتجات

هناك أنواع عديدة من المنتجات والخدمات المعتمدة من FedRAMP. فيما يلي بعض الأمثلة من موفري الخدمات السحابية الذين تعرفهم وقد تستخدم نفسك بالفعل.

Amazon Web Services

هناك قائمتان من AWS في FedRAMP Marketplace. AWS GovCloud مصرح بها على مستوى عالٍ. AWS US East / West مصرح لها بالمستوى المعتدل

هل سمعت؟ يمكن لعملاء AWS GovCloud (الولايات المتحدة) استخدام #AmazonEFS لأحمال عمل الملفات ذات المهام الحرجة بفضل الحصول مؤخرًا على التفويض العالي لبرنامج FedRAMP. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

— AWS for Government (AWS_Gov) 18 أكتوبر 2019

تمتلك AWS GovCloud 292 تفويضًا ضخمًا. AWS US East / West لديها 250 تفويضًا. هذا أكثر بكثير من أي قائمة أخرى في FedRAMP Marketplace.

Adobe Analytics

تم ترخيص Adobe Analytics في عام 2019. ويتم استخدامه من قبل مراكز السيطرة على الأمراض والوقاية منها ووزارة الصحة و الخدمات البشرية. إنه مرخص على مستوى LI-SaaS.

تمتلك Adobe بالفعل العديد من المنتجات المصرح بها على مستوى LI-SaaS. (مثل Adobe Campaign و Adobe Document Cloud.) لديهم أيضًا بعض المنتجات المصرح بها على المستوى المتوسط:

• الخدمات المدارة من Adobe Connect
• الخدمات المدارة من Adobe Experience Manager.

Adobe حاليًا في طور الانتقال من التفويض المخصص FedRAMP إلى FedRAMP المعتدل