Сертыфікат FedRAMP: што гэта такое, чаму гэта важна і ў каго ён ёсць

Kimberly Parker

29-05-2023 Стратэгія
  • Падзяліцца Гэтым
Kimberly Parker

Узламаныя фотаздымкі знакамітасцяў. Дзяржаўны кібершпіянаж. І ўсё паміж імі. Бяспека дадзеных мае велізарны спектр прымянення. І гэта сур'ёзная заклапочанасць для ўсіх, хто выкарыстоўвае або пастаўляе воблачныя паслугі.

Калі задзейнічаны дзяржаўныя даныя, гэтыя праблемы могуць дасягнуць узроўню нацыянальнай бяспекі. Вось чаму ўрад ЗША патрабуе, каб усе воблачныя службы, якія выкарыстоўваюцца федэральнымі агенцтвамі, адпавядалі дбайнаму набору стандартаў бяспекі, вядомых як FedRAMP.

Такім чынам, што такое FedRAMP і што гэта прадугледжвае? Вы знаходзіцеся ў правільным месцы, каб даведацца.

Бонус: Прачытайце пакрокавае кіраўніцтва па стратэгіі сацыяльных сетак з прафесійнымі парадамі аб тым, як павялічыць сваю прысутнасць у сацыяльных сетках.

Што такое FedRAMP?

FedRAMP расшыфроўваецца як «Федэральная праграма кіравання рызыкамі і аўтарызацыяй». Ён стандартызуе ацэнку бяспекі і аўтарызацыю для воблачных прадуктаў і сэрвісаў, якія выкарыстоўваюцца федэральнымі агенцтвамі ЗША.

Мэта складаецца ў тым, каб пераканацца, што федэральныя даныя стабільна абаронены на высокім узроўні ў воблаку.

Атрыманне FedRAMP аўтарызацыя - справа сур'ёзная. Неабходны ўзровень бяспекі вызначаецца законам. Ёсць 14 дзеючых законаў і правілаў, а таксама 19 стандартаў і кіруючых дакументаў. Гэта адна з самых строгіх сертыфікатаў праграмнага забеспячэння як паслугі ў свеце.

Вось кароткае ўвядзенне:

FedRAMP існуе з 2012 года. Вось тады воблачныя тэхналогіі сапраўдыаўтарызацыя для Adobe Sign.

Даведайцеся больш аб тым, як @Adobe Sign працуе над пераходам ад FedRAMP Tailored да FedRAMP Moderate тут: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 жніўня 2020 г.

Памятайце, што аўтарызацыю атрымлівае служба, а не пастаўшчык паслуг. Як і Adobe, вам, магчыма, прыйдзецца прайсці некалькі аўтарызацый, калі вы прапануеце больш чым адно воблачнае рашэнне.

Slack

Slack, аўтарызаваны ў маі гэтага года, мае 21 аўтарызацыю FedRAMP. Прадукт дазволены на ўмераным узроўні. Ён выкарыстоўваецца агенцтвамі, у тым ліку:

  • Цэнтры па кантролі і абароне захворванняў,
  • Федэральная камісія па сувязі і
  • Нацыянальны навуковы фонд.

Дзякуючы нашаму новаму дазволу FedRAMP Moderate, дзяржаўны сектар ЗША цяпер можа больш працаваць у Slack. І, выконваючы гэтыя строгія патрабаванні бяспекі, мы таксама забяспечваем бяспеку любой іншай кампаніі, якая выкарыстоўвае Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13 жніўня 2020 г.

Slack першапачаткова атрымаў аўтарызацыю FedRAMP Tailored. Затым яны пераследавалі ўмераную аўтарызацыю ў партнёрстве з Дэпартаментам па справах ветэранаў.

Slack звяртае ўвагу на перавагі бяспекі гэтага дазволу для кліентаў з прыватнага сектара на сваім сайце:

«Гэта апошняя аўтарызацыя азначае больш бяспечны вопыт дляКліенты Slack, у тым ліку прадпрыемствы прыватнага сектара, якім не патрабуецца асяроддзе, аўтарызаванае FedRAMP. Усе кліенты, якія карыстаюцца камерцыйнымі прапановамі Slack, могуць скарыстацца павышанымі мерамі бяспекі, неабходнымі для атрымання сертыфікацыі FedRAMP».

Trello Enterprise Cloud

Trello толькі што атрымаў аўтарызацыю Li-SaaS у верасні. Trello пакуль выкарыстоўваецца толькі Адміністрацыяй агульных службаў. Але кампанія імкнецца гэта змяніць, як бачна ў іх паведамленнях у сацыяльных сетках аб іх новым статусе FedRAMP:

🏛️З дазволам FedRAMP ад Trello ваша агенцтва цяпер можа выкарыстоўваць Trello для павышэння прадукцыйнасці, разбурэння камандных раз'яднанняў і выхавання супрацоўніцтва. //t.co/GWYgaj9jfY

— Trello (@trello) 12 кастрычніка 2020 г.

Zendesk

Таксама аўтарызаваны ў маі Zendesk выкарыстоўваецца:

  • Міністэрства энергетыкі,
  • Федэральнае агенцтва фінансавання жыллёвага будаўніцтва
  • Упраўленне генеральнага інспектара FHFA і
  • Адміністрацыя агульных службаў.

Платформа службы падтрымкі і падтрымкі кліентаў Zendesk мае аўтарызацыю Li-Saas.

З сённяшняга дня мы можам зрабіць працу з намі нашмат прасцей для дзяржаўных устаноў, паколькі @Zendesk цяпер мае права FedRAMP. Вялікі дзякуй усім камандам унутры і па-за Zendesk за намаганні, прыкладзеныя ў гэта. //t.co/A0HVwjhGsv

— Мікель Сване (@mikkelsvane) 22 мая 2020 г.

FedRAMP для кіравання сацыяльнымі сеткамі

SMMExpert - гэта FedRAMPупаўнаважаны. Дзяржаўныя ўстановы цяпер могуць лёгка супрацоўнічаць з сусветным лідэрам у галіне кіравання сацыяльнымі сеткамі, каб узаемадзейнічаць з грамадзянамі, кіраваць камунікацыямі ў крызісных сітуацыях і прадастаўляць паслугі і інфармацыю праз сацыяльныя сеткі.

Запытаць дэманстрацыю

пачалі замяняць састарэлыя прывязныя праграмныя рашэнні. Ён нарадзіўся ў выніку стратэгіі ўрада ЗША «Спачатку воблака». Гэтая стратэгія патрабавала ад агенцтваў глядзець на воблачныя рашэнні ў якасці першага выбару.

Да FedRAMP пастаўшчыкі воблачных паслуг павінны былі падрыхтаваць пакет аўтарызацыі для кожнага агенцтва, з якім яны хацелі працаваць. Патрабаванні не былі паслядоўнымі. І для пастаўшчыкоў, і для агенцтваў было шмат дублікатаў.

FedRAMP увёў паслядоўнасць і ўпарадкаваў працэс.

Цяпер ацэнкі і патрабаванні стандартызаваны. Некалькі дзяржаўных устаноў могуць паўторна выкарыстоўваць пакет бяспекі аўтарызацыі FedRAMP пастаўшчыка.

Першапачатковае распаўсюджванне FedRAMP было павольным. За першыя чатыры гады было дазволена толькі 20 прапаноў хмарных сэрвісаў. Але з 2018 года тэмпы сапраўды павялічыліся, і зараз існуе 204 аўтарызаваныя воблачныя прадукты FedRAMP.

Крыніца: FedRAMP

FedRAMP кантралюецца Аб'яднанай аўтарызацыйнай радай (JAB). Рада складаецца з прадстаўнікоў:

  • Дэпартамента ўнутранай бяспекі
  • Адміністрацыі агульных службаў і
  • Дэпартамента абароны.

Праграма адобрана Федэральным саветам кіраўнікоў інфармацыйных службаў урада ЗША.

Чаму важная сертыфікацыя FedRAMP?

Усе воблачныя службы, якія захоўваюць федэральныя даныя, патрабуюць аўтарызацыі FedRAMP. Такім чынам, калі вы хочаце працаваць зфедэральны ўрад, аўтарызацыя FedRAMP з'яўляецца важнай часткай вашага плана бяспекі.

FedRAMP важны, таму што ён забяспечвае паслядоўнасць у бяспецы дзяржаўных воблачных службаў, а таксама таму, што ён забяспечвае паслядоўнасць у ацэнцы і маніторынгу гэтай бяспекі. Ён забяспечвае адзін набор стандартаў для ўсіх дзяржаўных устаноў і ўсіх пастаўшчыкоў воблачных паслуг.

Пастаўшчыкі воблачных паслуг, якія маюць аўтарызацыю FedRAMP, пералічаны на FedRAMP Marketplace. Гэты рынак з'яўляецца першым месцам, куды дзяржаўныя ўстановы звяртаюць увагу, калі хочуць знайсці новае воблачнае рашэнне. Агенцтву нашмат прасцей і хутчэй выкарыстоўваць прадукт, які ўжо аўтарызаваны, чым пачынаць працэс аўтарызацыі з новым пастаўшчыком.

Такім чынам, лістынг на рынку FedRAMP значна павялічвае верагоднасць атрымаць дадатковы бізнес ад дзяржаўныя ўстановы. Але гэта таксама можа палепшыць ваш профіль у прыватным сектары.

Гэта таму, што рынак FedRAMP бачны грамадскасці. Любая прыватная кампанія можа пракручваць спіс дазволеных рашэнняў FedRAMP.

Гэта выдатны рэсурс, калі яны хочуць знайсці бяспечны воблачны прадукт або паслугу.

Аўтарызацыя FedRAMP можа зрабіць любога кліента больш упэўнены ў пратаколах бяспекі. Гэта ўяўляе пастаянную прыхільнасць адпавядаць самым высокім стандартам бяспекі.

Аўтарызацыя FedRAMP значна павышае давер да вашай бяспекіза межамі FedRAMP Marketplace таксама. Вы можаце падзяліцца сваім дазволам FedRAMP у сацыяльных сетках і на сваім вэб-сайце.

Праўда ў тым, што большасць вашых кліентаў, напэўна, не ведаюць, што такое FedRAMP. Ім усё роўна, упаўнаважаны вы ці не. Але для тых буйных кліентаў, якія разумеюць FedRAMP - як у дзяржаўным, так і ў прыватным сектарах - адсутнасць аўтарызацыі можа парушыць здзелку.

Што трэба, каб атрымаць сертыфікат FedRAMP?

Ёсць ёсць два розныя спосабы атрымаць аўтарызацыю FedRAMP.

1. Аб'яднаная аўтарызацыйная рада (JAB) Часовы орган для працы

У гэтым працэсе JAB выдае часовы дазвол. Гэта дазваляе агенцтвам ведаць, што рызыка была разгледжана.

Гэта важнае першае зацвярджэнне. Але любое агенцтва, якое хоча выкарыстоўваць паслугу, па-ранейшаму павінна выдаць уласны дазвол на эксплуатацыю.

Гэты працэс лепш за ўсё падыходзіць для пастаўшчыкоў воблачных паслуг з высокім або ўмераным рызыкай. (Мы разгледзім узровень рызыкі ў наступным раздзеле.)

Вось візуальны агляд працэсу JAB:

Крыніца: FedRAMP

2. Паўнамоцтвы агенцтва па кіраванні

У гэтым працэсе пастаўшчык хмарных паслуг усталёўвае адносіны з пэўным федэральным агенцтвам. Гэта агенцтва ўдзельнічае ва ўсім працэсе. Калі працэс праходзіць паспяхова, агенцтва выдае ліст аб паўнамоцтвах.

Крыніца: FedRAMP

Крокі да аўтарызацыі FedRAMP

Незалежна ад таго, які тып аўтарызацыі вы выкарыстоўваеце, аўтарызацыя FedRAMP уключае чатыры асноўныя этапы:

  1. Распрацоўка пакета. Па-першае, ёсць стартавая сустрэча па аўтарызацыі. Затым правайдэр складае план бяспекі сістэмы. Далей зацверджаная FedRAMP старонняя ацэначная арганізацыя распрацоўвае план ацэнкі бяспекі.
  2. Ацэнка. Ацэначная арганізацыя прадстаўляе справаздачу аб ацэнцы бяспекі. Правайдэр стварае План дзеянняў & Вехі.
  3. Аўтарызацыя. JAB або ўпаўнаважанае агенцтва вырашае, ці прымальны апісаны рызыка. Калі так, яны адпраўляюць ліст аб паўнамоцтве на эксплуатацыю ў офіс кіравання праектамі FedRAMP. Затым пастаўшчык паказваецца ў спісе FedRAMP Marketplace.
  4. Маніторынг. Пастаўшчык штомесяц адпраўляе вынікі маніторынгу бяспекі кожнаму агенцтву, якое выкарыстоўвае службу.

Лепшая аўтарызацыя FedRAMP практыкі

Працэс атрымання аўтарызацыі FedRAMP можа быць складаным. Але гэта ў інтарэсах усіх удзельнікаў, каб пастаўшчыкі воблачных паслуг дасягнулі поспеху, калі яны пачнуць працэс аўтарызацыі.

Каб дапамагчы, FedRAMP апытала некалькі малых прадпрыемстваў і стартапаў аб уроках, атрыманых падчас аўтарызацыі. Вось іх сем лепшых саветаў для паспяховай навігацыі ў працэсе аўтарызацыі:

  1. Зразумейце, як вашкарты прадуктаў у FedRAMP - у тым ліку аналіз прабелаў.
  2. Атрымайце арганізацыйную падтрымку і абавязацельствы - у тым ліку ад выканаўчай каманды і тэхнічных груп.
  3. Знайдзіце агенцтва-партнёра - таго, хто выкарыстоўвае ваш прадукт або імкнецца гэта зрабіць.
  4. Выдаткуйце час на дакладнае вызначэнне сваёй мяжы. Гэта ўключае ў сябе:
    • унутраныя кампаненты
    • падключэнне да знешніх службаў і
    • паток інфармацыі і метададзеных.
  5. Падумайце пра FedRAMP як бесперапынная праграма, а не проста праект з датай пачатку і заканчэння. Паслугі неабходна пастаянна кантраляваць.
  6. Уважліва прадумайце свой падыход да аўтарызацыі. Некалькі прадуктаў могуць патрабаваць некалькіх аўтарызацый.
  7. FedRAMP PMO з'яўляецца каштоўным рэсурсам. Яны могуць адказаць на тэхнічныя пытанні і дапамагчы вам спланаваць вашу стратэгію.

    FedRAMP прапануе шаблоны, каб дапамагчы пастаўшчыкам хмарных паслуг падрыхтавацца да адпаведнасці FedRAMP.

    Якія ёсць катэгорыі адпаведнасці FedRAMP?

    FedRAMP прапануе чатыры ўзроўні ўздзеяння для паслуг з рознымі відамі рызыкі. Яны заснаваны на патэнцыйных уздзеяннях парушэння бяспекі ў трох розных сферах.

    • Канфідэнцыяльнасць: Абарона прыватнасці і прыватнай інфармацыі.
    • Цэласнасць: Абарона ад мадыфікацыі або знішчэння інфармацыі.
    • Даступнасць: Своечасовы і надзейны доступ да даных.

    Першыя трыўзроўні ўздзеяння заснаваны на Федэральным стандарты апрацоўкі інфармацыі (FIPS) 199 Нацыянальнага інстытута стандартаў і тэхналогій (NIST). Чацвёрты заснаваны на спецыяльнай публікацыі NIST 800-37. Узроўні ўздзеяння:

    • Высокі, заснаваны на 421 кантролі. «Чакаецца, што страта канфідэнцыяльнасці, цэласнасці або даступнасці можа мець сур'ёзны або катастрафічны адмоўны ўплыў на арганізацыю аперацый, арганізацыйных актываў або асоб». Звычайна гэта датычыцца праваахоўных органаў, экстранных службаў, фінансавых сістэм і сістэм аховы здароўя.
    • Умераны, заснаваны на 325 элементах кантролю. «Можна чакаць страты канфідэнцыяльнасці, цэласнасці або даступнасці сур'ёзнае негатыўнае ўздзеянне на дзейнасць арганізацыі, актывы арганізацыі або асоб». Амаль 80 працэнтаў зацверджаных заявак FedRAMP маюць умераны ўзровень уздзеяння.
    • Нізкі, на аснове 125 элементаў кіравання. «Страта канфідэнцыяльнасці, цэласнасці або даступнасці можа мець абмежаваны ўзровень неспрыяльнае ўздзеянне на арганізацыйныя аперацыі, актывы арганізацыі або асоб.”
    • Праграмнае забеспячэнне як паслуга з нізкім уплывам (LI-SaaS), заснаванае на 36 элементах кіравання . Для «сістэм з нізкім узроўнем рызыкі, такіх як інструменты сумеснай працы, праграмы кіравання праектамі і інструменты, якія дапамагаюць распрацоўваць код з адкрытым зыходным кодам». Гэтая катэгорыя таксама вядомая як FedRAMP Tailored.

    Апошняя катэгорыя была дададзена ў 2017 годзе.каб палегчыць агенцтвам зацвярджэнне «выпадкаў выкарыстання з нізкім узроўнем рызыкі». Каб прэтэндаваць на FedRAMP Tailored, пастаўшчык павінен адказаць сцвярджальна на шэсць пытанняў. Яны размешчаны на старонцы палітыкі FedRAMP Tailored:

    • Ці працуе сэрвіс у воблачным асяроддзі?
    • Ці працуе воблачны сэрвіс у поўнай меры?
    • Ці працуе воблака service a Праграмнае забеспячэнне як паслуга (SaaS), як гэта вызначана NIST SP 800-145, NIST Вызначэнне воблачных вылічэнняў?
    • Воблачны сэрвіс не змяшчае асабістай інфармацыі (PII), за выключэннем выпадкаў, неабходных для прадастаўлення магчымасць уваходу ў сістэму (імя карыстальніка, пароль і адрас электроннай пошты)?
    • Ці аказвае воблачны сэрвіс нізкі ўплыў на бяспеку, як гэта вызначана FIPS PUB 199, Стандарты катэгарызацыі бяспекі федэральнай інфармацыі і інфармацыйных сістэм?
    • Ці размяшчаецца воблачны сэрвіс у рамках аўтарызаванай FedRAMP платформы як паслугі (PaaS) або інфраструктуры як паслугі (IaaS), або CSP забяспечвае асноўную воблачную інфраструктуру?

    Памятайце што дасягненне адпаведнасці FedRAMP не з'яўляецца разавай задачай. Памятаеце этап маніторынгу аўтарызацыі FedRAMP? Гэта азначае, што вам трэба будзе рэгулярна праходзіць аўдыт бяспекі, каб пераканацца, што вы заставаецеся сумяшчальным з FedRAMP.

    Бонус: Прачытайце пакрокавае кіраўніцтва па стратэгіі сацыяльных сетак з прафесійнымі парадамі аб тым, як павялічыць сваю прысутнасць у сацыяльных сетках.

    Атрымайце бясплатнае кіраўніцтва прама зараз!

    Прыклады сертыфікацыі FedRAMPпрадукты

    Існуе шмат тыпаў дазволеных прадуктаў і паслуг FedRAMP. Вось некалькі прыкладаў ад пастаўшчыкоў воблачных паслуг, якіх вы ведаеце і, магчыма, ужо выкарыстоўваеце самі.

    Вэб-сэрвісы Amazon

    На FedRAMP Marketplace ёсць два спісы AWS. AWS GovCloud аўтарызаваны на высокім узроўні. AWS US East/West аўтарызавана на ўмераным узроўні.

    Вы чулі? Кліенты AWS GovCloud (ЗША) могуць выкарыстоўваць #AmazonEFS для крытычна важных файлавых нагрузак дзякуючы нядаўна атрыманай аўтарызацыі FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 18 кастрычніка 2019 г.

    AWS GovCloud мае каласальныя 292 аўтарызацыі. AWS US East/West мае 250 аўтарызацый. Гэта нашмат больш, чым любы іншы спіс на FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics была дазволена ў 2019 годзе. Яна выкарыстоўваецца Цэнтрамі па кантролі і прафілактыцы захворванняў і Дэпартаментам аховы здароўя і Чалавечыя службы. Ён аўтарызаваны на ўзроўні LI-SaaS.

    У Adobe сапраўды ёсць некалькі прадуктаў, дазволеных на ўзроўні LI-SaaS. (Як Adobe Campaign і Adobe Document Cloud.) У іх таксама ёсць некалькі прадуктаў, аўтарызаваных на ўмераным узроўні:

    • Кіраваныя сэрвісы Adobe Connect
    • Кіраваныя сэрвісы Adobe Experience Manager.

    У цяперашні час Adobe знаходзіцца ў працэсе пераходу ад аўтарызацыі FedRAMP Tailored да FedRAMP Moderate

    Папярэдняя публікацыя Ідэальнае кіраўніцтва па стылі сацыяльных сетак для вашага брэнда ў 2023 годзе
    Наступны пост 8 парад для бездакорнага захопу Instagram

    Кімберлі Паркер - дасведчаны спецыяліст у галіне лічбавага маркетынгу з больш чым 10-гадовым вопытам работы ў гэтай галіне. Як заснавальніца ўласнага маркетынгавага агенцтва ў сацыяльных сетках, яна дапамагла шматлікім прадпрыемствам у розных галінах стварыць і павялічыць сваю прысутнасць у Інтэрнэце з дапамогай эфектыўных стратэгій у сацыяльных сетках. Кімберлі таксама плённая пісьменніца, яна пісала артыкулы аб сацыяльных сетках і лічбавым маркетынгу ў некалькіх аўтарытэтных выданнях. У вольны час яна любіць эксперыментаваць з новымі рэцэптамі на кухні і хадзіць на працяглыя прагулкі са сваім сабакам.