Сертифициране на FedRAMP: какво представлява, защо е важно и кой го притежава

Kimberly Parker

29-05-2023 Стратегия
  • Споделя Това
Kimberly Parker

Хакнати фотоапарати на известни личности. Държавен кибершпионаж. И всичко между тях. Сигурността на данните има огромен спектър от приложения. И е основна грижа за всички, които използват или предоставят услуги, базирани на облак.

Когато става въпрос за правителствени данни, тези опасения могат да достигнат нивото на националната сигурност. Ето защо правителството на САЩ изисква всички облачни услуги, използвани от федералните агенции, да отговарят на щателен набор от стандарти за сигурност, известни като FedRAMP.

Какво точно представлява FedRAMP и какво включва? Намираш се на правилното място, за да разбереш.

Бонус: Прочетете ръководството за стратегия за социалните медии стъпка по стъпка с професионални съвети как да разширите присъствието си в социалните медии.

Какво представлява FedRAMP?

FedRAMP е съкращение от "Федерална програма за управление на риска и оторизацията". Тя стандартизира оценката на сигурността и оторизацията на облачни продукти и услуги, използвани от федералните агенции на САЩ.

Целта е да се гарантира, че федералните данни са постоянно защитени на високо ниво в облака.

Получаването на разрешение от FedRAMP е сериозна работа. Изискваното ниво на сигурност е предписано от закона. Има 14 приложими закона и наредби, както и 19 стандарта и ръководни документи. Това е едно от най-строгите сертифицирания на софтуер като услуга в света.

Ето едно кратко представяне:

FedRAMP съществува от 2012 г. Тогава облачните технологии наистина започнаха да заменят остарелите обвързани софтуерни решения. Тя се роди от стратегията на правителството на САЩ "Първо облакът". Тази стратегия изискваше от агенциите да разглеждат решенията, базирани на облака, като първи избор.

Преди FedRAMP доставчиците на облачни услуги трябваше да подготвят пакет от разрешителни за всяка агенция, с която искаха да работят. Изискванията не бяха последователни. И имаше много дублиращи усилия както за доставчиците, така и за агенциите.

FedRAMP въведе последователност и рационализира процеса.

Сега оценките и изискванията са стандартизирани. Множество правителствени агенции могат да използват повторно пакета за сигурност на доставчика за оторизация FedRAMP.

Първоначалното възприемане на FedRAMP беше бавно. През първите четири години бяха разрешени само 20 предложения за облачни услуги. Но темпото наистина се ускори от 2018 г. насам и сега има 204 разрешени от FedRAMP облачни продукта.

Източник: FedRAMP

FedRAMP се контролира от Съвместен съвет за оторизация (JAB). Съветът се състои от представители на:

  • Министерството на вътрешната сигурност
  • администрацията за общи услуги, и
  • Министерството на отбраната.

Програмата е одобрена от Федералния съвет на главните информационни служители на правителството на САЩ.

Защо е важно сертифицирането по FedRAMP?

Всички облачни услуги, в които се съхраняват федерални данни, се нуждаят от оторизация FedRAMP. Така че, ако искате да работите с федералното правителство, оторизацията FedRAMP е важна част от вашия план за сигурност.

FedRAMP е важен, защото осигурява последователност в сигурността на правителствените облачни услуги - и защото осигурява последователност в оценяването и наблюдението на тази сигурност. Той предоставя един набор от стандарти за всички правителствени агенции и всички доставчици на облачни услуги.

Доставчиците на облачни услуги, които са оторизирани от FedRAMP, са включени в списъка на FedRAMP Marketplace. Този пазар е първото място, което правителствените агенции търсят, когато искат да си набавят ново решение, базирано на облак. За една агенция е много по-лесно и бързо да използва продукт, който вече е оторизиран, отколкото да започне процеса на оторизация с нов доставчик.

Така че вписването ви в пазара на FedRAMP увеличава вероятността да получите допълнителни поръчки от правителствени агенции. Но то може да подобри и профила ви в частния сектор.

Това е така, защото пазарът на FedRAMP е публично достъпен. Всяка компания от частния сектор може да прегледа списъка с разрешените решения на FedRAMP.

Това е чудесен източник на информация, когато търсят сигурен продукт или услуга в облака.

Оторизацията FedRAMP може да направи всеки клиент по-уверен в протоколите за сигурност. Тя представлява постоянен ангажимент за спазване на най-високите стандарти за сигурност.

Оторизацията FedRAMP значително повишава доверието във вашата сигурност и извън FedRAMP Marketplace. Можете да споделите своята FedRAMP оторизация в социалните медии и на своя уебсайт.

Истината е, че повечето от вашите клиенти вероятно не знаят какво е FedRAMP. Те не се интересуват дали сте оторизирани или не. Но за онези големи клиенти, които разбират FedRAMP - както в публичния, така и в частния сектор - липсата на оторизация може да бъде причина за прекратяване на сделката.

Какво е необходимо, за да получите сертификат FedRAMP?

Има два различни начина за получаване на разрешение за FedRAMP.

1. Временно разрешение за извършване на дейност от Съвместния съвет по разрешаването (JAB)

При този процес СПБ издава временно разрешение. Това позволява на агенциите да знаят, че рискът е бил разгледан.

Това е важно първо одобрение. Но всяка агенция, която иска да използва услугата, все още трябва да издаде свое разрешение за работа.

Този процес е най-подходящ за доставчици на облачни услуги с висок или умерен риск (ще разгледаме нивата на риск в следващия раздел).

Ето визуален преглед на процеса на JAB:

Източник: FedRAMP

2. Правомощие на агенцията да извършва дейност

При този процес доставчикът на облачни услуги установява отношения с определена федерална агенция. Тази агенция участва в целия процес. Ако процесът е успешен, агенцията издава писмо за разрешение за извършване на дейност.

Източник: FedRAMP

Стъпки за оторизация по FedRAMP

Независимо от вида на оторизацията, която използвате, оторизацията по FedRAMP включва четири основни стъпки:

  1. Разработване на пакети. Първо се провежда встъпителна среща за оторизация. След това доставчикът попълва план за сигурност на системата. След това одобрена от FedRAMP организация за оценка от трета страна разработва план за оценка на сигурността.
  2. Оценка. Организацията за оценяване представя доклад за оценка на сигурността. Доставчикът създава план за действие & печат; Основни етапи.
  3. Оторизация. JAB или оторизиращата агенция решават дали описаният риск е приемлив. Ако отговорът е положителен, те изпращат писмо за разрешение за извършване на дейност до службата за управление на проекта FedRAMP. След това доставчикът се включва в списъка на FedRAMP Marketplace.
  4. Наблюдение. Доставчикът изпраща месечни резултати от мониторинга на сигурността на всяка агенция, която използва услугата.

Най-добри практики за оторизация на FedRAMP

Процесът на получаване на разрешение от FedRAMP може да бъде труден. Но в интерес на всички участници е доставчиците на облачни услуги да успеят, след като започнат процеса на разрешаване.

За да ви помогне, FedRAMP интервюира няколко малки фирми и стартиращи предприятия за научените уроци по време на оторизацията. Ето и техните седем най-добри съвета за успешно преминаване през процеса на оторизация:

  1. Разберете как вашият продукт съответства на FedRAMP - включително анализ на пропуските.
  2. Получаване на организационна подкрепа и ангажираност - включително от изпълнителния екип и техническите екипи.
  3. Намерете партньор на агенция, която използва вашия продукт или се е ангажирала да го направи.
  4. Прекарайте време в точно определяне на границите си. Това включва:
    • вътрешни компоненти
    • връзки с външни услуги и
    • потока от информация и метаданни.
  5. Мислете за FedRAMP като за непрекъсната програма, а не като за проект с начална и крайна дата. Услугите трябва да се наблюдават непрекъснато.
  6. Внимателно обмислете подхода си за оторизация. Няколко продукта може да изискват няколко оторизации.
  7. Отделът за управление на персонала на FedRAMP е ценен източник на информация. Той може да отговори на технически въпроси и да ви помогне да планирате стратегията си.

    FedRAMP предлага шаблони, които помагат на доставчиците на облачни услуги да се подготвят за съответствие с FedRAMP.

    Какви са категориите за съответствие с FedRAMP?

    FedRAMP предлага четири нива на въздействие за услуги с различни видове риск. Те се основават на потенциалните въздействия от пробив в сигурността в три различни области.

    • Конфиденциалност: Защита на личния живот и защитената информация.
    • Интегритет: Защита срещу промяна или унищожаване на информация.
    • Наличност: Навременен и надежден достъп до данни.

    Първите три нива на въздействие се основават на Федерален стандарт за обработка на информация (FIPS) 199 на Националния институт за стандарти и технологии (NIST). Четвъртото ниво се основава на Специалната публикация на NIST 800-37:

    • Висока, въз основа на 421 контролни проби. "Може да се очаква, че загубата на поверителност, цялостност или наличност ще има тежък или катастрофален неблагоприятен ефект върху операциите на организацията, нейните активи или отделни лица." Това обикновено се отнася за правоохранителните органи, службите за спешна помощ, финансовите и здравните системи.
    • Умерен, въз основа на 325 проверки. "Може да се очаква, че загубата на поверителност, цялостност или наличност ще има сериозен неблагоприятен ефект върху операциите на организацията, нейните активи или отделни лица." Близо 80 % от одобрените приложения на FedRAMP са на ниво умерено въздействие.
    • Нисък, въз основа на 125 проверки. "Може да се очаква, че загубата на поверителност, цялостност или наличност ще има ограничен неблагоприятен ефект върху операциите на организацията, активите на организацията или отделните лица."
    • Софтуер като услуга с ниско въздействие (LI-SaaS), базиран на 36 контроли . За "системи, които са с нисък риск за употреби като инструменти за сътрудничество, приложения за управление на проекти и инструменти, които помагат за разработване на код с отворен код." Тази категория е известна и като FedRAMP Tailored.

    Последната категория беше добавена през 2017 г., за да се улесни одобряването на "случаи на употреба с нисък риск" от страна на агенциите. За да се класира за FedRAMP Tailored, доставчикът трябва да отговори положително на шест въпроса. Те са публикувани на страницата с политиката на FedRAMP Tailored:

    • Работи ли услугата в облачна среда?
    • Напълно ли функционира услугата в облака?
    • Дали услугата в облака е софтуер като услуга (SaaS), както е определено в NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Услугата в облака не съдържа информация, която може да бъде използвана за идентифициране на лица (PII), освен тази, която е необходима за осигуряване на възможност за влизане (потребителско име, парола и имейл адрес)?
    • Има ли услугата в облака ниско въздействие върху сигурността, както е определено във FIPS PUB 199, Стандарти за категоризиране на сигурността на федералната информация и информационни системи?
    • Дали услугата в облака се хоства в рамките на оторизирана от FedRAMP платформа като услуга (PaaS) или инфраструктура като услуга (IaaS), или ДУУ предоставя основната инфраструктура на облака?

    Имайте предвид, че постигането на съответствие с FedRAMP не е еднократна задача. Спомняте ли си етапа на мониторинг на оторизацията на FedRAMP? Това означава, че ще трябва да извършвате редовни одити на сигурността, за да сте сигурни, че останете Съответствие с FedRAMP.

    Бонус: Прочетете ръководството за стратегия за социалните медии стъпка по стъпка с професионални съвети как да разширите присъствието си в социалните медии.

    Вземете безплатното ръководство още сега!

    Примери за продукти, сертифицирани от FedRAMP

    Съществуват много видове продукти и услуги, разрешени от FedRAMP. Ето няколко примера от доставчици на облачни услуги, които познавате и които може би вече използвате.

    Уеб услуги на Amazon

    Има два списъка на AWS в FedRAMP Marketplace. AWS GovCloud е оторизиран на високо ниво. AWS US East/West е оторизиран на умерено ниво.

    Чухте ли? Клиентите на AWS GovCloud (САЩ) могат да използват #AmazonEFS за критични файлови натоварвания благодарение на наскоро полученото високо разрешение FedRAMP. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS за правителството (@AWS_Gov) октомври 18, 2019

    AWS GovCloud има цели 292 разрешения. AWS US East/West има 250 разрешения. Това е много повече от всяка друга позиция на FedRAMP Marketplace.

    Adobe Анализ

    Adobe Analytics беше разрешен през 2019 г. Той се използва от Центровете за контрол и превенция на заболяванията и Министерството на здравеопазването и човешките ресурси. Разрешен е на ниво LI-SaaS.

    Всъщност Adobe има няколко продукта, разрешени на ниво LI-SaaS (като Adobe Campaign и Adobe Document Cloud).) Те имат и няколко продукта, разрешени на умерено ниво:

    • Управлявани услуги на Adobe Connect
    • Управлявани услуги на Adobe Experience Manager.

    Понастоящем Adobe е в процес на преминаване от FedRAMP Tailored authorization към FedRAMP Moderate authorization за Adobe Sign.

    Научете повече за това как @Adobe Sign работи за преминаване от статут FedRAMP Tailored към статут FedRAMP Moderate тук: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) август 12, 2020

    Не забравяйте, че оторизацията се получава от услугата, а не от доставчика ѝ. Подобно на Adobe може да се наложи да поискате няколко оторизации, ако предлагате повече от едно решение, базирано на облак.

    Slack

    Оторизиран през май тази година, Slack има 21 FedRAMP оторизации. Продуктът е оторизиран на ниво "Умерен" и се използва от агенции като:

    • Центровете за контрол и защита на заболяванията,
    • Федералната комисия по комуникациите и
    • Националната научна фондация.

    Публичният сектор на САЩ вече може да извършва повече от работата си в Slack, благодарение на новото ни умерено разрешение FedRAMP. И като отговаряме на тези строги изисквания за сигурност, ние осигуряваме сигурност и за всяка друга компания, която използва Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) август 13, 2020

    Първоначално Slack получи FedRAMP Tailored оторизация. След това те получиха Moderate оторизация, като си партнираха с Департамента по въпросите на ветераните.

    Slack не забравя да обърне внимание на ползите за сигурността на това разрешение за клиентите от частния сектор на своя уебсайт:

    "Това последно разрешение води до по-сигурно преживяване за клиентите на Slack, включително и за компаниите от частния сектор, които не се нуждаят от среда, оторизирана от FedRAMP. Всички клиенти, които използват търговските предложения на Slack, могат да се възползват от повишените мерки за сигурност, необходими за получаване на сертификат FedRAMP."

    Trello Enterprise Cloud

    Trello получи разрешение за Li-SaaS едва през септември. Досега Trello се използваше само от администрацията на общите служби. Но компанията се стреми да промени това, както се вижда от публикациите им в социалните мрежи за новия им статут на FedRAMP:

    🏛️С разрешението FedRAMP на Trello вашата агенция вече може да използва Trello, за да повиши производителността си, да разруши силите в екипа и да насърчи сътрудничеството. //t.co/GWYgaj9jfY

    - Trello (@trello) октомври 12, 2020

    Zendesk

    Оторизиран и през май, Zendesk се използва от:

    • Министерството на енергетиката,
    • Федералната агенция за жилищно финансиране
    • Службата на генералния инспектор на FHFA, и
    • администрацията на общите услуги.

    Платформата за поддръжка на клиенти и бюро за помощ на Zendesk има разрешение от Li-Saas.

    От днес можем да улесним много работата на правителствените агенции с нас, тъй като @Zendesk вече е оторизиран за FedRAMP. Благодаря на всички екипи в и извън Zendesk за усилията, положени за това. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) май 22, 2020

    FedRAMP за управление на социалните медии

    Правителствените агенции вече могат лесно да работят със световния лидер в управлението на социалните медии, за да се ангажират с гражданите, да управляват кризисни комуникации и да предоставят услуги и информация чрез социалните медии.

    Заявка за демонстрация

    Предишна публикация Перфектното ръководство за стила на социалните медии за вашата марка през 2023 г.
    Следваща публикация 8 съвета за безупречно превземане на Instagram

    Кимбърли Паркър е опитен специалист по дигитален маркетинг с над 10 години опит в индустрията. Като основател на собствената си маркетингова агенция за социални медии, тя е помогнала на много фирми в различни индустрии да установят и разширят своето онлайн присъствие чрез ефективни стратегии за социални медии. Кимбърли също е плодовит писател, като е писала статии за социални медии и дигитален маркетинг в няколко уважавани публикации. В свободното си време тя обича да експериментира с нови рецепти в кухнята и да ходи на дълги разходки с кучето си.