FedRAMP certifikat: šta je to, zašto je važno i ko ga ima

Kimberly Parker

29-05-2023 Strategija
  • Podijeli Ovo
Kimberly Parker

Hakirane fotografije poznatih ličnosti. Državna sajber špijunaža. I sve između. Sigurnost podataka ima ogroman raspon primjena. I to je velika briga za sve koji koriste ili isporučuju usluge zasnovane na oblaku.

Kada su uključeni vladini podaci, ta zabrinutost može dostići nivo nacionalne sigurnosti. Zato američka vlada zahtijeva da sve usluge u oblaku koje koriste federalne agencije ispunjavaju precizan skup sigurnosnih standarda poznatih kao FedRAMP.

Dakle, šta je FedRAMP i šta on podrazumijeva? Na pravom ste mjestu da saznate.

Bonus: Pročitajte korak po korak vodič za strategiju društvenih medija sa profesionalnim savjetima o tome kako povećati svoje prisustvo na društvenim mrežama.

Šta je FedRAMP?

FedRAMP je skraćenica od “Federal Risk and Authorization Management Program”. Standardizira sigurnosnu procjenu i autorizaciju za proizvode i usluge u oblaku koje koriste federalne agencije SAD-a.

Cilj je osigurati da su federalni podaci dosljedno zaštićeni na visokom nivou u oblaku.

Dobivanje FedRAMP-a autorizacija je ozbiljan posao. Neophodan nivo sigurnosti propisan je zakonom. Postoji 14 važećih zakona i propisa, zajedno sa 19 standarda i dokumenata sa uputstvima. To je jedan od najrigoroznijih certifikata softvera kao usluge na svijetu.

Evo kratkog uvoda:

FedRAMP postoji od 2012. Tada su tehnologije u oblaku zaista dostupne.autorizacija za Adobe Sign.

Saznajte više o tome kako @Adobe Sign radi na prelasku sa FedRAMP prilagođenog na FedRAMP umjerene statue ovdje: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12. kolovoza 2020.

Zapamtite da je usluga, a ne pružatelj usluge, taj koji dobiva autorizaciju. Kao i Adobe, možda ćete morati tražiti više autorizacija ako nudite više od jednog rješenja zasnovanog na oblaku.

Slack

Ovlašten u maju ove godine, Slack ima 21 FedRAMP autorizaciju. Proizvod je odobren na umjerenom nivou. Koriste ga agencije uključujući:

  • Centre za kontrolu i zaštitu bolesti,
  • Federalnu komisiju za komunikacije i
  • Nacionalnu naučnu fondaciju.

Javni sektor SAD-a sada može više raditi u Slacku, zahvaljujući našem novom FedRAMP Moderate ovlaštenju. I ispunjavajući te stroge sigurnosne zahtjeve, čuvamo stvari sigurnima i za svaku drugu kompaniju koja koristi Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13. kolovoza 2020.

Slack je prvobitno dobio FedRAMP prilagođenu autorizaciju. Zatim su tražili umjereno ovlaštenje u partnerstvu s Odjelom za boračka pitanja.

Slack na svojoj web stranici skreće pažnju na sigurnosne prednosti ovog ovlaštenja za klijente iz privatnog sektora:

“Ovo najnovija autorizacija se prevodi u sigurnije iskustvo zaSlabi kupci, uključujući preduzeća iz privatnog sektora kojima nije potrebno okruženje odobreno od strane FedRAMP-a. Svi kupci koji koriste Slackove komercijalne ponude mogu imati koristi od pojačanih sigurnosnih mjera potrebnih za postizanje FedRAMP certifikata.”

Trello Enterprise Cloud

Trello je upravo dobio Li-SaaS ovlaštenje u septembru. Trello za sada koristi samo Uprava za opšte usluge. Ali kompanija želi to promijeniti, kao što se vidi u njihovim objavama na društvenim mrežama o njihovom novom FedRAMP statusu:

🏛️Sa Trellovim FedRAMP ovlaštenjem, vaša agencija sada može koristiti Trello za povećanje produktivnosti, razbijanje timskih silosa i njegovanje saradnja. //t.co/GWYgaj9jfY

— Trello (@trello) 12. oktobar 2020.

Zendesk

Također ovlašten u maju, Zendesk koriste:

  • Odjel za energetiku,
  • Federalna agencija za stambeno financiranje
  • FHFA Ured glavnog inspektora i
  • Uprava općih usluga.

Zendesk Customer Support and Help Desk platforma ima Li-Saas autorizaciju.

Od danas možemo znatno olakšati vladinim agencijama da rade s nama jer je @Zendesk sada ovlašten FedRAMP. Veliko hvala svim timovima unutar i izvan Zendeska na trudu uloženom u ovo. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22. maja 2020.

FedRAMP za upravljanje društvenim medijima

SMMExpert je FedRAMPovlašteni. Vladine agencije sada mogu lako surađivati ​​s globalnim liderom u upravljanju društvenim medijima kako bi se uključile s građanima, upravljale kriznim komunikacijama i pružile usluge i informacije putem društvenih medija.

Zatražite demo

počeo da zamjenjuje zastarjela povezana softverska rješenja. Nastao je iz strategije američke vlade "Prvo oblak". Ta strategija je zahtijevala da agencije gledaju na rješenja zasnovana na oblaku kao na prvi izbor.

Prije FedRAMP-a, dobavljači usluga u oblaku morali su pripremiti paket autorizacije za svaku agenciju s kojom su željeli raditi. Zahtjevi nisu bili dosljedni. I bilo je mnogo duplih napora i za pružatelje i za agencije.

FedRAMP je uveo dosljednost i pojednostavio proces.

Sada su evaluacije i zahtjevi standardizirani. Više vladinih agencija može ponovo koristiti sigurnosni paket za autorizaciju FedRAMP provajdera.

Početno korištenje FedRAMP-a je bilo sporo. U prve četiri godine odobreno je samo 20 ponuda usluga u oblaku. Ali tempo se zaista ubrzao od 2018. i sada postoje 204 FedRAMP ovlaštena cloud proizvoda.

Izvor: FedRAMP

FedRAMP kontroliše zajednički odbor za autorizaciju (JAB). Odbor se sastoji od predstavnika:

  • Odjela za unutrašnju sigurnost
  • Uprave za opšte službe i
  • Ministarstva odbrane.
  • 12>

    Program je podržan od strane Saveznog vijeća glavnih službenika za informiranje američke vlade.

    Zašto je FedRAMP certifikat važan?

    Sve usluge u oblaku koje sadrže federalne podatke zahtijevaju FedRAMP autorizaciju. Dakle, ako želite da radite sasavezne vlade, FedRAMP autorizacija je važan dio vašeg sigurnosnog plana.

    FedRAMP je važan jer osigurava dosljednost u sigurnosti vladinih usluga u oblaku—i zato što osigurava dosljednost u procjeni i praćenju te sigurnosti. Pruža jedan skup standarda za sve vladine agencije i sve pružatelje usluga u oblaku.

    Provajderi usluga u oblaku koji su ovlašteni FedRAMP navedeni su na FedRAMP Marketplace-u. Ovo tržište je prvo mjesto na koje vladine agencije gledaju kada žele nabaviti novo rješenje zasnovano na oblaku. Za agenciju je mnogo lakše i brže koristiti proizvod koji je već ovlašten nego započeti proces autorizacije s novim dobavljačem.

    Dakle, listing na FedRAMP tržištu čini vam mnogo vjerojatnije da ćete dobiti dodatni posao od vladine agencije. Ali to također može poboljšati vaš profil u privatnom sektoru.

    To je zato što je FedRAMP tržište vidljivo javnosti. Svaka kompanija iz privatnog sektora može se pomicati kroz listu ovlaštenih FedRAMP rješenja.

    To je sjajan resurs kada žele pronaći siguran proizvod ili uslugu u oblaku.

    FedRAMP autorizacija može učiniti bilo kojeg klijenta sigurniji u sigurnosne protokole. Predstavlja stalnu posvećenost ispunjavanju najviših sigurnosnih standarda.

    FedRAMP autorizacija značajno povećava vaš sigurnosni kredibilitetizvan FedRAMP Marketplace-a. Svoju FedRAMP autorizaciju možete podijeliti na društvenim mrežama i na svojoj web stranici.

    Istina je da većina vaših klijenata vjerovatno ne zna šta je FedRAMP. Nije ih briga da li ste ovlašteni ili ne. Ali za one velike klijente koji razumiju FedRAMP – iu javnom iu privatnom sektoru – nedostatak ovlaštenja može biti kršenje dogovora.

    Šta je potrebno za FedRAMP certifikat?

    Tamo su dva različita načina da postanete ovlašteni za FedRAMP.

    1. Privremeno ovlaštenje za rad Zajedničkog odbora za ovlaštenje (JAB)

    U ovom procesu, JAB izdaje privremeno ovlaštenje. To daje do znanja agencijama da je rizik pregledan.

    To je važno prvo odobrenje. Ali svaka agencija koja želi koristiti uslugu i dalje mora izdati vlastito ovlaštenje za rad.

    Ovaj proces je najprikladniji za pružaoce usluga u oblaku s visokim ili umjerenim rizikom. (U sljedećem odjeljku ćemo zaroniti u nivoe rizika.)

    Evo vizualnog pregleda JAB procesa:

    Izvor: FedRAMP

    2. Ovlaštenje agencije za rad

    U ovom procesu, dobavljač usluga u oblaku uspostavlja odnos sa određenom federalnom agencijom. Ta agencija je uključena u cijeli proces. Ako je proces uspješan, agencija izdaje pismo ovlaštenja za rad.

    Izvor: FedRAMP

    Koraci do FedRAMP autorizacije

    Bez obzira na koju vrstu autorizacije tražite, FedRAMP autorizacija uključuje četiri glavna koraka:

    1. Razvoj paketa. Prvo, postoji početni sastanak za autorizaciju. Zatim provajder dovršava plan sigurnosti sistema. Zatim, organizacija treće strane za procjenu koju je odobrila FedRAMP razvija Plan procjene sigurnosti.
    2. Procjena. Organizacija za procjenu podnosi izvještaj o procjeni sigurnosti. Provajder kreira Plan akcije & Prekretnice.
    3. Ovlašćenje. JAB ili agencija za odobravanje odlučuje da li je opisani rizik prihvatljiv. Ako da, oni šalju pismo ovlaštenja za rad kancelariji za upravljanje projektima FedRAMP. Provajder je tada naveden na FedRAMP Marketplace-u.
    4. Nadgledanje. Provajder šalje mjesečne rezultate sigurnosnog nadzora svakoj agenciji koja koristi uslugu.

    FedRAMP autorizacija najbolje prakse

    Proces postizanja FedRAMP autorizacije može biti težak. Ali u najboljem interesu svih uključenih je da provajderi usluga u oblaku uspiju kada započnu proces autorizacije.

    Da bi pomogao, FedRAMP je intervjuirao nekoliko malih preduzeća i novoosnovanih kompanija o lekcijama naučenim tokom autorizacije. Evo njihovih sedam najboljih savjeta za uspješno kretanje kroz proces autorizacije:

    1. Shvatite kakomape proizvoda na FedRAMP – uključujući analizu nedostataka.
    2. Pridobite organizacionu podršku i predanost – uključujući izvršni tim i tehničke timove.
    3. Pronađite partnera agencije – onaj koji koristi vaš proizvod ili je posvećen tome.
    4. Provedite vrijeme precizno definirajući svoju granicu. To uključuje:
      • interne komponente
      • veze na eksterne usluge i
      • tok informacija i metapodataka.
    5. Zamislite FedRAMP kao kontinuirani program, a ne samo projekat sa datumom početka i završetka. Usluge se moraju kontinuirano nadzirati.
    6. Pažljivo razmotrite svoj pristup autorizaciji. Za više proizvoda može biti potrebno više autorizacija.
    7. FedRAMP PMO je vrijedan resurs. Oni mogu odgovoriti na tehnička pitanja i pomoći vam da planirate svoju strategiju.

    FedRAMP nudi predloške koji pomažu pružateljima usluga u oblaku da se pripreme za FedRAMP usklađenost.

    Koje su kategorije FedRAMP usklađenosti?

    FedRAMP nudi četiri nivoa utjecaja za usluge s različitim vrstama rizika. Zasnovane su na potencijalnim utjecajima narušavanja sigurnosti u tri različita područja.

    • Povjerljivost: Zaštita privatnosti i vlasničkih informacija.
    • Integritet: Zaštite od modifikacije ili uništenja informacija.
    • Dostupnost: Pravovremen i pouzdan pristup podacima.

    Prva triNivoi uticaja su zasnovani na Federalnom standardu za obradu informacija (FIPS) 199 iz Nacionalnog instituta za standarde i tehnologiju (NIST). Četvrti je zasnovan na specijalnoj publikaciji NIST-a 800-37. Nivoi uticaja su:

    • Visoki, na osnovu 421 kontrole. „Može se očekivati ​​da će gubitak povjerljivosti, integriteta ili dostupnosti imati ozbiljan ili katastrofalan negativan učinak na organizacionu poslovanja, organizacione imovine ili pojedinaca.” Ovo se obično odnosi na provođenje zakona, hitne službe, finansijske i zdravstvene sisteme.
    • Umjereno, na osnovu 325 kontrola. „Može se očekivati ​​da će gubitak povjerljivosti, integriteta ili dostupnosti imati ozbiljan negativan uticaj na organizacione operacije, organizacionu imovinu ili pojedince.” Gotovo 80 posto odobrenih FedRAMP aplikacija je na umjerenom nivou uticaja.
    • Nisko, na osnovu 125 kontrola. „Može se očekivati ​​da će gubitak povjerljivosti, integriteta ili dostupnosti imati ograničen negativan uticaj na organizacione operacije, organizacionu imovinu ili pojedince.”
    • Softver-kao-usluga niskog uticaja (LI-SaaS), zasnovano na 36 kontrola . Za “sisteme koji su niskog rizika za upotrebu kao što su alati za saradnju, aplikacije za upravljanje projektima i alati koji pomažu u razvoju otvorenog koda.” Ova kategorija je također poznata kao FedRAMP Tailored.

    Ova posljednja kategorija dodana je 2017.kako bi se agencijama olakšalo odobravanje „niskorizičnih slučajeva upotrebe“. Da bi se kvalifikovao za FedRAMP Tailored, provajder mora odgovoriti potvrdno na šest pitanja. Ovo je objavljeno na stranici FedRAMP prilagođene politike:

    • Da li usluga radi u okruženju oblaka?
    • Da li je usluga u oblaku potpuno operativna?
    • Da li je oblak servisirati softver kao uslugu (SaaS), kako je definirano u NIST SP 800-145, NIST definicija računalstva u oblaku?
    • Usluga u oblaku ne sadrži lične identifikacijske informacije (PII), osim ako je potrebno za pružanje mogućnost prijave (korisničko ime, lozinka i adresa e-pošte)?
    • Da li usluga u oblaku ima mali utjecaj na sigurnost, kako je definirano u FIPS PUB 199, Standardi za sigurnosnu kategorizaciju federalnih informacijskih i informacionih sistema?
    • Da li je usluga u oblaku smještena u okviru FedRAMP ovlaštene platforme kao usluge (PaaS) ili infrastrukture kao usluge (IaaS), ili CSP pruža osnovnu infrastrukturu oblaka?

    Imajte na umu da postizanje FedRAMP usklađenosti nije jednokratan zadatak. Sjećate li se faze nadgledanja FedRAMP autorizacije? To znači da ćete morati podnositi redovne sigurnosne revizije kako biste osigurali da ostanete u skladu sa FedRAMP-om.

    Bonus: Pročitajte korak po korak vodič za strategiju društvenih medija sa profesionalnim savjetima o tome kako povećati svoje prisustvo na društvenim mrežama.

    Nabavite besplatni vodič odmah!

    Primjeri FedRAMP certifikataproizvodi

    Postoje mnoge vrste FedRAMP ovlaštenih proizvoda i usluga. Evo nekoliko primjera pružatelja usluga u oblaku koje poznajete i koje možda već koristite.

    Amazon Web Services

    Postoje dvije AWS liste na FedRAMP Marketplaceu. AWS GovCloud je ovlašten na visokom nivou. AWS US East/West je ovlašten na umjerenom nivou.

    Jeste li čuli? Korisnici AWS GovCloud (SAD) mogu koristiti #AmazonEFS za radna opterećenja datoteka od kritične važnosti zahvaljujući nedavnom postizanju FedRAMP High autorizacije. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS za vladu (@AWS_Gov) 18. oktobar 2019.

    AWS GovCloud ima nevjerovatnih 292 ovlaštenja. AWS US East/West ima 250 autorizacija. To je daleko više od bilo kojeg drugog popisa na FedRAMP Marketplace-u.

    Adobe Analytics

    Adobe Analytics je odobren 2019. godine. Koriste ga Centri za kontrolu i prevenciju bolesti i Ministarstvo zdravlja i Human Services. Ovlašten je na LI-SaaS razini.

    Adobe zapravo ima nekoliko proizvoda ovlaštenih na LI-SaaS razini. (Kao Adobe Campaign i Adobe Document Cloud.) Također imaju nekoliko proizvoda ovlaštenih na umjerenom nivou:

    • Upravljane usluge Adobe Connect
    • Upravljane usluge Adobe Experience Managera.

    Adobe je trenutno u procesu prelaska sa FedRAMP Tailored autorizacije na FedRAMP Moderate

Prethodni post Savršen vodič za stil društvenih medija za vaš brend u 2023
Sljedeća objava 8 savjeta za besprijekorno preuzimanje Instagrama

Kimberly Parker je iskusni profesionalac za digitalni marketing s više od 10 godina iskustva u industriji. Kao osnivač vlastite marketinške agencije na društvenim mrežama, pomogla je brojnim preduzećima u različitim industrijama da uspostave i povećaju svoje prisustvo na mreži kroz učinkovite strategije društvenih medija. Kimberly je također plodna spisateljica, koja je doprinijela člancima o društvenim mrežama i digitalnom marketingu u nekoliko uglednih publikacija. U slobodno vrijeme voli da eksperimentiše s novim receptima u kuhinji i ide u duge šetnje sa svojim psom.