FedRAMP Sertifikatlaşdırması: Bu nədir, Niyə Əhəmiyyətlidir və Kimdir

Kimberly Parker

29-05-2023 Strategiya
  • Bunu Paylaş
Kimberly Parker

Hack edilmiş məşhurların kameraları. Dövlət əsaslı kibercasusluq. Və arada hər şey. Məlumat təhlükəsizliyinin geniş çeşidli tətbiqləri var. Bu, bulud əsaslı xidmətlərdən istifadə edən və ya təmin edən hər kəsi narahat edir.

Hökumət məlumatları cəlb edildikdə, bu narahatlıqlar milli təhlükəsizlik səviyyəsinə çata bilər. Buna görə də ABŞ hökuməti federal agentliklər tərəfindən istifadə edilən bütün bulud xidmətlərinin FedRAMP kimi tanınan ciddi təhlükəsizlik standartlarına cavab verməsini tələb edir.

Beləliklə, FedRAMP nədir və o, nəyi ehtiva edir? Tapmaq üçün doğru yerdəsiniz.

Bonus: Sosial mediada mövcudluğunuzu necə inkişaf etdirməklə bağlı peşəkar məsləhətlərlə addım-addım sosial media strategiyası təlimatını oxuyun.

FedRAMP nədir?

FedRAMP "Federal Risk və Avtorizasiya İdarəetmə Proqramı" deməkdir. O, ABŞ federal agentlikləri tərəfindən istifadə edilən bulud məhsulları və xidmətləri üçün təhlükəsizlik qiymətləndirilməsini və avtorizasiyanı standartlaşdırır.

Məqsəd federal məlumatların buludda yüksək səviyyədə davamlı şəkildə qorunduğundan əmin olmaqdır.

FedRAMP əldə etmək icazə ciddi işdir. Tələb olunan təhlükəsizlik səviyyəsi qanunla müəyyən edilir. 19 standart və rəhbər sənədlərlə yanaşı, 14 tətbiq olunan qanun və qaydalar mövcuddur. Bu, dünyanın ən ciddi proqram təminatı sertifikatlarından biridir.

Qısa bir təqdimat:

FedRAMP 2012-ci ildən mövcuddur. Bulud texnologiyaları həqiqətən də məhz o zamandır.Adobe Sign üçün avtorizasiya.

Burada @Adobe Sign'ın FedRAMP Uyğunlaşdırılmış FedRAMP Moderat heykəllərinə keçmək üçün necə işlədiyi haqqında ətraflı məlumat əldə edin: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 avqust 2020-ci il

Unutmayın ki, avtorizasiya xidmət provayderi deyil, xidmətdir. Adobe kimi, birdən çox bulud əsaslı həll təklif edirsinizsə, siz də çoxsaylı icazələri izləməli ola bilərsiniz.

Slack

Bu ilin may ayında icazə verilən Slack-in 21 FedRAMP icazəsi var. Məhsula Orta səviyyədə icazə verilir. O, o cümlədən agentliklər tərəfindən istifadə olunur:

  • Xəstəliklərə Nəzarət və Qorunma Mərkəzləri,
  • Federal Rabitə Komissiyası və
  • Milli Elm Fondu.

Yeni FedRAMP Moderate icazəmiz sayəsində ABŞ-ın dövlət sektoru artıq işlərinin çoxunu Slack-də idarə edə bilər. Və bu ciddi təhlükəsizlik tələblərinə cavab verməklə biz Slack-dən istifadə edən hər bir şirkət üçün də hər şeyi təhlükəsiz saxlayırıq. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13 avqust 2020-ci il

Slack əvvəlcə FedRAMP Uyğunlaşdırılmış icazə aldı. Daha sonra onlar Veteranların İşləri Departamenti ilə əməkdaşlıq edərək Moderate icazəsini izlədilər.

Slack öz veb-saytında özəl sektor müştəriləri üçün bu icazənin təhlükəsizlik üstünlüklərinə diqqət çəkməyi əmin edir:

“Bu ən son icazə daha təhlükəsiz təcrübəyə çevrilirFedRAMP tərəfindən icazə verilən mühit tələb etməyən özəl sektor müəssisələri də daxil olmaqla zəif müştərilər. Slack-in kommersiya təkliflərindən istifadə edən bütün müştərilər FedRAMP sertifikatına nail olmaq üçün tələb olunan gücləndirilmiş təhlükəsizlik tədbirlərindən faydalana bilərlər.”

Trello Enterprise Cloud

Trello-ya sentyabr ayında Li-SaaS icazəsi verildi. Trello bu günə qədər yalnız Ümumi Xidmətlər Administrasiyası tərəfindən istifadə olunur. Lakin şirkət yeni FedRAMP statusu ilə bağlı sosial paylaşımlarında göründüyü kimi bunu dəyişmək istəyir:

🏛️Trello-nun FedRAMP icazəsi ilə agentliyiniz indi Trello-dan məhsuldarlığı artırmaq, komanda siloslarını parçalamaq və təşviq etmək üçün istifadə edə bilər. əməkdaşlıq. //t.co/GWYgaj9jfY

— Trello (@trello) 12 oktyabr 2020-ci il

Zendesk

Həmçinin may ayında icazə verilmiş, Zendesk aşağıdakılar tərəfindən istifadə olunur:

  • Energetika Departamenti,
  • Federal Mənzil Maliyyəsi Agentliyi
  • Baş Müfəttişin FHFA İdarəsi və
  • Ümumi Xidmətlər İdarəsi.

Zendesk Müştəri Dəstəyi və Yardım Masası Platforması Li-Saas icazəsinə malikdir.

Bu gündən biz dövlət qurumlarının bizimlə işləməsini xeyli asanlaşdıra bilərik, çünki @Zendesk indi FedRAMP-ə icazə verilir. Bunun üçün göstərdikləri səylərə görə Zendesk daxilində və xaricində olan bütün komandalara çox təşəkkür edirik. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22 may 2020-ci il

Sosial media idarəçiliyi üçün FedRAMP

SMMExpert FedRAMP-dirsəlahiyyətli. Artıq hökumət qurumları vətəndaşlarla ünsiyyət qurmaq, böhran kommunikasiyalarını idarə etmək və sosial media vasitəsilə xidmətlər və məlumat çatdırmaq üçün sosial medianın idarə edilməsində qlobal liderlə asanlıqla işləyə bilər.

Demo sorğusu göndərin

köhnəlmiş bağlı proqram həllərini əvəz etməyə başladı. O, ABŞ hökumətinin “Əvvəlcə bulud” strategiyasından yaranıb. Bu strategiya agentliklərdən ilk seçim olaraq bulud əsaslı həllərə baxmağı tələb edirdi.

FedRAMP-dən əvvəl bulud xidməti təminatçıları işləmək istədikləri hər bir agentlik üçün icazə paketi hazırlamalı idilər. Tələblər ardıcıl deyildi. Həm provayderlər, həm də agentliklər üçün çoxlu dublikat cəhdlər oldu.

FedRAMP ardıcıllıq təqdim etdi və prosesi sadələşdirdi.

İndi qiymətləndirmələr və tələblər standartlaşdırılıb. Bir çox dövlət qurumları provayderin FedRAMP avtorizasiya təhlükəsizlik paketindən təkrar istifadə edə bilər.

İlkin FedRAMP qəbulu yavaş idi. İlk dörd il ərzində yalnız 20 bulud xidməti təklifinə icazə verildi. Lakin 2018-ci ildən bu temp həqiqətən də artıb və hazırda 204 FedRAMP-ə icazə verilmiş bulud məhsulları var.

Mənbə: FedRAMP

FedRAMP Birgə Səlahiyyət Şurası (JAB) tərəfindən idarə olunur. Şura aşağıdakı nümayəndələrdən ibarətdir:

  • Daxili Təhlükəsizlik Departamenti
  • Ümumi Xidmətlər Administrasiyası və
  • Müdafiə Departamenti.

Proqram ABŞ hökumətinin Federal Baş İnformasiya Məmurları Şurası tərəfindən təsdiqlənir.

FedRAMP sertifikatı nə üçün vacibdir?

Federal məlumatları saxlayan bütün bulud xidmətləri FedRAMP icazəsi tələb edir. Beləliklə, işləmək istəyirsinizsəfederal hökumət, FedRAMP icazəsi təhlükəsizlik planınızın mühüm hissəsidir.

FedRAMP vacibdir, çünki o, hökumətin bulud xidmətlərinin təhlükəsizliyində ardıcıllığı təmin edir və bu təhlükəsizliyin qiymətləndirilməsi və monitorinqində ardıcıllığı təmin edir. O, bütün dövlət qurumları və bütün bulud provayderləri üçün bir standart toplusunu təmin edir.

FedRAMP icazəsi olan bulud xidməti təminatçıları FedRAMP Marketplace-də siyahıya alınmışdır. Bu bazar, dövlət qurumlarının bulud əsaslı yeni bir həll əldə etmək istədikləri zaman axtardıqları ilk yerdir. Agentlik üçün avtorizasiya prosesinə yeni satıcı ilə başlamaqdansa, artıq icazə verilmiş məhsuldan istifadə etmək daha asan və daha sürətlidir.

Beləliklə, FedRAMP bazarındakı siyahı sizə əlavə biznes əldə etmək ehtimalını artırır. dövlət qurumları. Lakin o, şəxsi sektorda profilinizi də təkmilləşdirə bilər.

Bu, FedRAMP bazarının ictimaiyyətə görünməsi ilə bağlıdır. İstənilən özəl sektor şirkəti FedRAMP-in səlahiyyətli həlləri siyahısında vərəqləyə bilər.

Təhlükəsiz bulud məhsulu və ya xidməti əldə etmək istədikləri zaman bu, əla resursdur.

FedRAMP icazəsi istənilən müştərini edə bilər. təhlükəsizlik protokolları haqqında daha inamlıdır. Bu, ən yüksək təhlükəsizlik standartlarına cavab vermək üçün davamlı öhdəliyi təmsil edir.

FedRAMP icazəsi təhlükəsizlik etibarınızı əhəmiyyətli dərəcədə artırır.FedRAMP Marketplace-dən kənarda da. FedRAMP icazənizi sosial mediada və vebsaytınızda paylaşa bilərsiniz.

Həqiqət budur ki, müştərilərinizin əksəriyyəti FedRAMP-in nə olduğunu bilmirlər. Səlahiyyətli olub-olmamağınız onlara əhəmiyyət vermir. Ancaq FedRAMP-ni başa düşən böyük müştərilər üçün – həm dövlət, həm də özəl sektorda – icazənin olmaması sövdələşməni poza bilər.

FedRAMP sertifikatına sahib olmaq üçün nə lazımdır?

Orada FedRAMP səlahiyyətlisi olmağın iki fərqli yolu var.

1. Birgə Səlahiyyət Şurasının (JAB) Fəaliyyət üzrə Müvəqqəti Səlahiyyəti

Bu prosesdə JAB müvəqqəti icazə verir. Bu, agentliklərə riskin nəzərdən keçirildiyini bilməyə imkan verir.

Bu, vacib ilk təsdiqdir. Lakin xidmətdən istifadə etmək istəyən hər hansı agentlik hələ də öz Fəaliyyət Səlahiyyətini verməlidir.

Bu proses yüksək və ya orta riskli bulud xidmətləri təminatçıları üçün ən uyğundur. (Növbəti bölmədə risk səviyyələrinə nəzər salacağıq.)

JAB prosesinin vizual icmalı:

Mənbə: FedRAMP

2. Agency Authority of Operation

Bu prosesdə bulud xidmətləri təminatçısı konkret federal agentliklə əlaqə qurur. Həmin agentlik bütün prosesdə iştirak edir. Proses uğurlu olarsa, agentlik Əməliyyat Səlahiyyəti məktubu verir.

Mənbə: FedRAMP

FedRAMP icazəsi üçün addımlar

Hansı icazə növündən asılı olmayaraq, FedRAMP icazəsi dörd əsas addımı əhatə edir:

  1. Paketin inkişafı. Birincisi, icazənin başlanğıc görüşü var. Sonra provayder Sistem Təhlükəsizlik Planını tamamlayır. Sonra FedRAMP tərəfindən təsdiqlənmiş üçüncü tərəf qiymətləndirmə təşkilatı Təhlükəsizlik Qiymətləndirmə Planını hazırlayır.
  2. Qiymətləndirmə. Qiymətləndirmə təşkilatı Təhlükəsizlik Qiymətləndirmə hesabatını təqdim edir. Provayder Fəaliyyət Planı yaradır & amp; Mərhələlər.
  3. İcazə. JAB və ya icazə verən təşkilat təsvir edilən riskin məqbul olub-olmamasına qərar verir. Əgər belədirsə, onlar FedRAMP layihə idarəetmə ofisinə Əməliyyat Səlahiyyəti məktubu təqdim edirlər. Provayder daha sonra FedRAMP Marketplace-də siyahıya salınır.
  4. Monitorinq. Provayder xidmətdən istifadə edən hər bir agentliyə aylıq təhlükəsizlik monitorinqi nəticələrini göndərir.

FedRAMP icazəsi ən yaxşısı təcrübələr

FedRAMP icazəsinə nail olmaq prosesi çətin ola bilər. Lakin bu, bulud xidməti təminatçılarının avtorizasiya prosesinə başladıqdan sonra uğur qazanması hər kəsin marağındadır.

Kömək etmək üçün FedRAMP avtorizasiya zamanı öyrənilən dərslər haqqında bir neçə kiçik biznes və startap ilə müsahibə apardı. Avtorizasiya prosesində uğurla naviqasiya etmək üçün onların yeddi ən yaxşı məsləhəti bunlardır:

  1. Sizin necə olduğunu anlayın.FedRAMP-ə məhsul xəritələri – boşluq təhlili də daxil olmaqla.
  2. İcraçı komanda və texniki qruplar da daxil olmaqla təşkilati alış və öhdəlik əldə edin.
  3. Məhsulunuzdan istifadə edən agentlik tərəfdaşı tapın və ya bunu etməyə sadiqdir.
  4. Sərhədinizi dəqiq müəyyən etməyə vaxt ayırın. Bura daxildir:
    • daxili komponentlər
    • xarici xidmətlərə qoşulmalar və
    • informasiya və metadata axını.
  5. Düşün FedRAMP, başlanğıc və bitmə tarixi olan bir layihə deyil, davamlı bir proqram olaraq. Xidmətlər davamlı olaraq izlənilməlidir.
  6. İcazə yanaşmanızı diqqətlə nəzərdən keçirin. Birdən çox məhsul çoxlu icazə tələb edə bilər.
  7. FedRAMP PMO dəyərli resursdur. Onlar texniki suallara cavab verə və strategiyanızı planlaşdırmağa kömək edə bilərlər.

    FedRAMP bulud xidməti təminatçılarına FedRAMP uyğunluğuna hazırlaşmağa kömək etmək üçün şablonlar təklif edir.

    Hansı kateqoriyalardır FedRAMP uyğunluğu?

    FedRAMP müxtəlif risk növləri olan xidmətlər üçün dörd təsir səviyyəsi təklif edir. Onlar üç fərqli sahədə təhlükəsizlik pozuntusunun potensial təsirlərinə əsaslanır.

    • Məxfilik: Məxfilik və şəxsi məlumatların qorunması.
    • Bütövlük: Məlumatın dəyişdirilməsi və ya məhv edilməsinə qarşı qorunma.
    • Mövcudluq: Məlumatlara vaxtında və etibarlı çıxış.

    İlk üçtəsir səviyyələri Milli Standartlar və Texnologiya İnstitutunun (NIST) Federal İnformasiya Emalı Standartına (FIPS) 199 əsaslanır. Dördüncüsü NIST Xüsusi Nəşr 800-37-yə əsaslanır. Təsir səviyyələri aşağıdakılardır:

    • Yüksək, 421 nəzarətə əsaslanır. “Məxfiliyin, bütövlüyün və ya əlçatanlığın itirilməsinin təşkilati fəaliyyətə ciddi və ya fəlakətli mənfi təsir göstərməsi gözlənilə bilər. əməliyyatlar, təşkilati aktivlər və ya şəxslər.” Bu, adətən hüquq-mühafizə orqanları, fövqəladə hallar xidmətləri, maliyyə və səhiyyə sistemlərinə aiddir.
    • Mülayim, 325 nəzarətə əsaslanır. “Məxfiliyin, bütövlüyün və ya əlçatanlığın itirilməsi gözlənilə bilərdi. təşkilati əməliyyatlara, təşkilati aktivlərə və ya şəxslərə ciddi mənfi təsir.” Təsdiqlənmiş FedRAMP tətbiqlərinin təxminən 80 faizi orta təsir səviyyəsindədir.
    • Aşağı, 125 nəzarətə əsaslanır. “Məxfiliyin, bütövlüyün və ya əlçatanlığın itirilməsinin məhdud olması gözlənilə bilərdi. təşkilati əməliyyatlara, təşkilati aktivlərə və ya şəxslərə mənfi təsir.”
    • Aşağı Təsirli Proqram Xidməti (LI-SaaS), 36 nəzarətə əsaslanaraq . “Əməkdaşlıq alətləri, layihə idarəetmə proqramları və açıq mənbə kodunu inkişaf etdirməyə kömək edən alətlər kimi istifadə üçün aşağı riskli sistemlər” üçün. Bu kateqoriya həmçinin FedRAMP Tailored kimi tanınır.

    Bu sonuncu kateqoriya 2017-ci ildə əlavə edilibagentliklərin "az riskli istifadə hallarını" təsdiqləməsini asanlaşdırmaq. FedRAMP Tailored-ə uyğun olmaq üçün provayder altı suala bəli cavab verməlidir. Bunlar FedRAMP Uyğunlaşdırılmış siyasət səhifəsində yerləşdirilib:

    • Xidmət bulud mühitində işləyirmi?
    • Bulud xidməti tam işləyirmi?
    • Bulud NIST SP 800-145, Bulud Hesablamanın NIST Tərifi ilə müəyyən edildiyi kimi bir Xidmət olaraq Proqrama (SaaS) xidmət edirsiniz?
    • Bulud xidməti təmin etmək üçün lazım olan hallar istisna olmaqla, şəxsi identifikasiya edilə bilən məlumatları (PII) ehtiva etmir. giriş qabiliyyəti (istifadəçi adı, parol və e-poçt ünvanı)?
    • Federal İnformasiya və İnformasiya Sistemlərinin Təhlükəsizlik Kateqoriyaları üzrə Standartlar, FIPS PUB 199 tərəfindən müəyyən edildiyi kimi bulud xidməti aşağı təhlükəsizliyə təsir edirmi?
    • Bulud xidməti Xidmət olaraq FedRAMP tərəfindən icazə verilmiş Platformada (PaaS) və ya Xidmət kimi İnfrastrukturda (IaaS) yerləşdirilir, yoxsa CSP əsas bulud infrastrukturunu təmin edir?

    Unutmayın FedRAMP uyğunluğuna nail olmaq birdəfəlik iş deyil. FedRAMP icazəsinin Monitorinq mərhələsini xatırlayırsınız? Bu o deməkdir ki, siz qalmaq FedRAMP-ə uyğun olmağınızı təmin etmək üçün müntəzəm təhlükəsizlik yoxlamaları təqdim etməli olacaqsınız.

    Bonus: Sosial mediada mövcudluğunuzu necə inkişaf etdirməklə bağlı peşəkar məsləhətlərlə addım-addım sosial media strategiyası təlimatını oxuyun.

    İndi pulsuz bələdçi əldə edin!

    FedRAMP sertifikatlı nümunələriməhsullar

    FedRAMP səlahiyyətli məhsul və xidmətlərinin bir çox növləri var. Tanıdığınız və artıq özünüz istifadə edə biləcəyiniz bulud xidməti təminatçılarından bir neçə nümunə var.

    Amazon Veb Xidmətləri

    FedRAMP Marketplace-də iki AWS siyahısı var. AWS GovCloud yüksək səviyyədə səlahiyyətlidir. AWS US East/West Orta səviyyədə icazəlidir.

    Eşitdinizmi? AWS GovCloud (ABŞ) müştəriləri bu yaxınlarda FedRAMP High avtorizasiyasına nail olmaq sayəsində missiya baxımından kritik fayl iş yükləri üçün #AmazonEFS-dən istifadə edə bilərlər. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — Hökumət üçün AWS (@AWS_Gov) 18 oktyabr 2019-cu il

    AWS GovCloud-un 292 icazəsi var. AWS US East/West 250 icazəyə malikdir. Bu, FedRAMP Marketplace-dəki hər hansı digər siyahıdan qat-qat çoxdur.

    Adobe Analytics

    Adobe Analytics 2019-cu ildə icazə alıb. O, Xəstəliklərə Nəzarət və Qarşısının Alınması Mərkəzləri və Səhiyyə Departamenti tərəfindən istifadə olunur. İnsan Xidmətləri. O, LI-SaaS səviyyəsində icazəlidir.

    Adobe əslində LI-SaaS səviyyəsində icazə verilmiş bir neçə məhsula malikdir. (Adobe Kampaniyası və Adobe Document Cloud kimi.) Onlar həmçinin Orta səviyyədə icazə verilmiş bir neçə məhsula malikdirlər:

    • Adobe Connect İdarə olunan Xidmətlər
    • Adobe Experience Manager İdarə olunan Xidmətlər.

    Adobe hazırda FedRAMP Uyğunlaşdırılmış icazədən FedRAMP Moderate-ə keçmə prosesindədir

    Əvvəlki yazı 2023-cü ildə Brendiniz üçün Mükəmməl Sosial Media Stil Bələdçisi
    Növbəti yazı Qüsursuz Instagram ələ keçirmək üçün 8 məsləhət

    Kimberly Parker sənayedə 10 ildən çox təcrübəsi olan təcrübəli rəqəmsal marketinq mütəxəssisidir. Öz sosial media marketinq agentliyinin qurucusu kimi o, müxtəlif sənayelər üzrə çoxsaylı bizneslərə effektiv sosial media strategiyaları vasitəsilə onlayn varlıqlarını qurmağa və inkişaf etdirməyə kömək etmişdir. Kimberli həm də bir neçə nüfuzlu nəşrə sosial media və rəqəmsal marketinq mövzusunda məqalələr yazaraq məhsuldar yazıçıdır. O, boş vaxtlarında mətbəxdə yeni reseptlərlə təcrübə etməyi və iti ilə uzun gəzintilərə çıxmağı sevir.