Ardystiad FedRAMP: Beth Yw Hyn, Pam Mae'n Bwysig, a Phwy Sydd ganddo

Kimberly Parker

29-05-2023 Strategaeth
  • Rhannu Hwn
Kimberly Parker

Rholiau camera enwogion wedi'u hacio. Seiber-ysbïo yn y wladwriaeth. A phopeth yn y canol. Mae gan ddiogelwch data ystod enfawr o gymwysiadau. Ac mae'n bryder mawr i bawb sy'n defnyddio neu'n cyflenwi gwasanaethau cwmwl.

Pan fydd data'r llywodraeth yn gysylltiedig, gall y pryderon hynny gyrraedd lefel diogelwch cenedlaethol. Dyna pam mae llywodraeth yr UD yn ei gwneud yn ofynnol i bob gwasanaeth cwmwl a ddefnyddir gan asiantaethau ffederal fodloni set fanwl o safonau diogelwch a elwir yn FedRAMP.

Felly beth yn union yw FedRAMP, a beth mae'n ei olygu? Rydych chi yn y lle iawn i ddarganfod.

Bonws: Darllenwch y canllaw strategaeth cyfryngau cymdeithasol cam wrth gam gydag awgrymiadau pro ar sut i dyfu eich presenoldeb cyfryngau cymdeithasol.

Beth yw FedRAMP?

Mae FedRAMP yn sefyll am y “Rhaglen Rheoli Risg ac Awdurdodi Ffederal.” Mae'n safoni asesiad diogelwch ac awdurdodiad ar gyfer cynhyrchion a gwasanaethau cwmwl a ddefnyddir gan asiantaethau ffederal yr Unol Daleithiau.

Y nod yw sicrhau bod data ffederal yn cael ei warchod yn gyson ar lefel uchel yn y cwmwl.

Cael FedRAMP mae awdurdodi yn fusnes difrifol. Mae lefel y diogelwch sy'n ofynnol yn orfodol yn ôl y gyfraith. Mae 14 o gyfreithiau a rheoliadau cymwys, ynghyd ag 19 o ddogfennau safonau a chanllawiau. Mae'n un o'r ardystiadau meddalwedd-fel-gwasanaeth mwyaf trwyadl yn y byd.

Dyma gyflwyniad cyflym:

Mae FedRAMP wedi bod o gwmpas ers 2012. Dyna pryd mae technolegau cwmwl mewn gwirioneddawdurdodiad ar gyfer Adobe Sign.

Dysgwch fwy am sut mae @Adobe Sign yn gweithio i symud o gerfluniau FedRAMP Wedi'u Teilwra i FedRAMP Cymedrol yma: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) Awst 12, 2020

Cofiwch mai’r gwasanaeth, nid y darparwr gwasanaeth, sy’n cael awdurdodiad. Fel Adobe, mae'n bosibl y bydd yn rhaid i chi gael sawl awdurdodiad os ydych chi'n cynnig mwy nag un datrysiad sy'n seiliedig ar gwmwl.

Slack

Wedi'i awdurdodi ym mis Mai eleni, mae gan Slack 21 awdurdodiad FedRAMP. Mae'r cynnyrch wedi'i awdurdodi ar y lefel Gymedrol. Fe'i defnyddir gan asiantaethau gan gynnwys:

  • y Canolfannau Rheoli ac Amddiffyn Clefydau,
  • y Comisiwn Cyfathrebu Ffederal, a
  • y Sefydliad Gwyddoniaeth Cenedlaethol.
    • 12>

    Gall sector cyhoeddus yr UD nawr redeg mwy o’u gwaith yn Slack, diolch i’n hawdurdodiad Cymedrol FedRAMP newydd. A thrwy fodloni'r gofynion diogelwch llym hynny, rydyn ni'n cadw pethau'n ddiogel i bob cwmni arall sy'n defnyddio Slack hefyd. //t.co/dlra7qVQ9F

    — Slack (@SlackHQ) Awst 13, 2020

    Cafodd Slack awdurdodiad wedi'i deilwra gan FedRAMP yn wreiddiol. Yna, aethant ar drywydd awdurdodiad Cymedrol trwy bartneriaeth â'r Adran Materion Cyn-filwyr.

    Mae Slack yn gwneud yn siŵr ei fod yn galw sylw at fuddion diogelwch yr awdurdodiad hwn i gleientiaid y sector preifat ar ei wefan:

    “This awdurdodiad diweddaraf yn trosi i brofiad mwy diogel ar gyferSlac cwsmeriaid, gan gynnwys busnesau yn y sector preifat nad oes angen amgylchedd wedi'i awdurdodi gan FedRAMP. Gall pob cwsmer sy’n defnyddio cynigion masnachol Slack elwa ar y mesurau diogelwch uwch sydd eu hangen i gyflawni ardystiad FedRAMP.”

    Trello Enterprise Cloud

    Cafodd Trello awdurdodiad Li-SaaS ym mis Medi. Hyd yn hyn dim ond Gweinyddiaeth y Gwasanaethau Cyffredinol sy'n defnyddio Trello. Ond mae'r cwmni'n edrych i newid hynny, fel y gwelir yn eu postiadau cymdeithasol am eu statws FedRAMP newydd:

    🏛️ Gydag awdurdodiad FedRAMP Trello, gall eich asiantaeth nawr ddefnyddio Trello i hybu cynhyrchiant, chwalu seilos tîm, a maethu cydweithio. //t.co/GWYgaj9jfY

    — Trello (@trello) 12 Hydref, 2020

    Zendesk

    Hefyd wedi'i awdurdodi ym mis Mai, defnyddir Zendesk gan:

    • yr Adran Ynni,
    • Asiantaeth Cyllid Tai Ffederal
    • Swyddfa FHFA yr Arolygydd Cyffredinol, a
    • Gweinyddiaeth Gwasanaethau Cyffredinol.

    Mae gan Llwyfan Cymorth Cwsmeriaid a Desg Gymorth Zendesk awdurdodiad Li-Saas.

    O heddiw ymlaen gallwn ei gwneud hi'n llawer haws i asiantaethau'r llywodraeth weithio gyda ni gan fod @Zendesk bellach wedi'i awdurdodi gan FedRAMP. Diolch yn fawr i'r holl dimau y tu mewn a thu allan i Zendesk am yr ymdrech a roddwyd i hyn. //t.co/A0HVwjhGsv

    — Mikkel Svane (@mikkelsvane) 22 Mai, 2020

    FedRAMP ar gyfer rheoli cyfryngau cymdeithasol

    SMMExpert yw FedRAMPawdurdodedig. Bellach gall asiantaethau'r llywodraeth weithio'n hawdd gyda'r arweinydd byd-eang ym maes rheoli cyfryngau cymdeithasol i ymgysylltu â dinasyddion, rheoli cyfathrebiadau mewn argyfwng, a darparu gwasanaethau a gwybodaeth trwy gyfryngau cymdeithasol.

    Gwneud Cais am Demo

    dechreuodd ddisodli datrysiadau meddalwedd clymu hen ffasiwn. Fe’i ganed o strategaeth “Cloud First” llywodraeth yr UD. Roedd y strategaeth honno'n ei gwneud yn ofynnol i asiantaethau edrych ar ddatrysiadau cwmwl fel dewis cyntaf.

    Cyn FedRAMP, roedd yn rhaid i ddarparwyr gwasanaethau cwmwl baratoi pecyn awdurdodi ar gyfer pob asiantaeth yr oeddent am weithio gyda nhw. Nid oedd y gofynion yn gyson. A bu llawer o ddyblygu ymdrech ar gyfer darparwyr ac asiantaethau.

    Cyflwynodd FedRAMP gysondeb a symleiddio'r broses.

    Nawr, mae gwerthusiadau a gofynion wedi'u safoni. Gall asiantaethau lluosog y llywodraeth ailddefnyddio pecyn diogelwch awdurdodi FedRAMP y darparwr.

    Araf oedd y nifer gychwynnol o FedRAMP. Dim ond 20 o offrymau gwasanaeth cwmwl a awdurdodwyd yn ystod y pedair blynedd gyntaf. Ond mae'r cyflymder wedi cynyddu'n sylweddol ers 2018, ac erbyn hyn mae 204 o gynhyrchion cwmwl awdurdodedig FedRAMP.

    Ffynhonnell: FedRAMP

    Rheolir FedRAMP gan Fwrdd Cydawdurdodi (JAB). Mae'r bwrdd yn cynnwys cynrychiolwyr o:

    • yr Adran Diogelwch y Famwlad
    • Gweinyddiaeth y Gwasanaethau Cyffredinol, a
    • yr Adran Amddiffyn.

    Mae'r rhaglen wedi'i chymeradwyo gan Gyngor Prif Swyddogion Gwybodaeth Ffederal llywodraeth yr UD.

    Pam mae ardystiad FedRAMP yn bwysig?

    Mae angen awdurdodiad FedRAMP ar bob gwasanaeth cwmwl sy'n dal data ffederal. Felly, os ydych chi eisiau gweithio gyday llywodraeth ffederal, mae awdurdodiad FedRAMP yn rhan bwysig o'ch cynllun diogelwch.

    Mae FedRAMP yn bwysig oherwydd ei fod yn sicrhau cysondeb yn niogelwch gwasanaethau cwmwl y llywodraeth - ac oherwydd ei fod yn sicrhau cysondeb wrth werthuso a monitro'r diogelwch hwnnw. Mae'n darparu un set o safonau ar gyfer holl asiantaethau'r llywodraeth a holl ddarparwyr cwmwl.

    Mae darparwyr gwasanaethau cwmwl sydd wedi'u hawdurdodi gan FedRAMP wedi'u rhestru ym Marchnad FedRAMP. Y farchnad hon yw'r lle cyntaf y mae asiantaethau'r llywodraeth yn edrych pan fyddant am ddod o hyd i ateb newydd yn y cwmwl. Mae'n llawer haws a chyflymach i asiantaeth ddefnyddio cynnyrch sydd eisoes wedi'i awdurdodi na dechrau'r broses awdurdodi gyda gwerthwr newydd.

    Felly, mae rhestriad ym marchnad FedRAMP yn eich gwneud yn llawer mwy tebygol o gael busnes ychwanegol gan asiantaethau'r llywodraeth. Ond gall hefyd wella eich proffil yn y sector preifat.

    Mae hynny oherwydd bod marchnad FedRAMP yn weladwy i'r cyhoedd. Gall unrhyw gwmni sector preifat sgrolio trwy'r rhestr o atebion awdurdodedig FedRAMP.

    Mae'n adnodd gwych pan maen nhw'n edrych i ddod o hyd i gynnyrch neu wasanaeth cwmwl diogel.

    Gall awdurdodiad FedRAMP wneud unrhyw gleient yn fwy hyderus am y protocolau diogelwch. Mae'n cynrychioli ymrwymiad parhaus i gyrraedd y safonau diogelwch uchaf.

    Mae awdurdodiad FedRAMP yn rhoi hwb sylweddol i'ch hygrededd diogelwchy tu hwnt i Farchnad FedRAMP, hefyd. Gallwch chi rannu eich awdurdodiad FedRAMP ar gyfryngau cymdeithasol ac ar eich gwefan.

    Y gwir yw nad yw'r rhan fwyaf o'ch cleientiaid fwy na thebyg yn gwybod beth yw FedRAMP. Nid oes ots ganddynt a ydych wedi'ch awdurdodi ai peidio. Ond i'r cleientiaid mawr hynny sy'n deall FedRAMP – yn y sector cyhoeddus a'r sector preifat fel ei gilydd – gall diffyg awdurdodiad fod yn rhywbeth sy'n torri'r fargen.

    Beth sydd ei angen i gael ardystiad FedRAMP?

    Yna dwy ffordd wahanol o gael eich awdurdodi gan FedRAMP.

    1. Awdurdod Dros Dro i Weithredu'r Bwrdd Cyd-awdurdodi (JAB)

    Yn y broses hon, mae'r JAB yn rhoi awdurdodiad dros dro. Mae hynny'n rhoi gwybod i asiantaethau fod y risg wedi'i adolygu.

    Mae'n gymeradwyaeth gyntaf bwysig. Ond mae'n rhaid i unrhyw asiantaeth sydd am ddefnyddio'r gwasanaeth gyhoeddi eu Hawdurdod eu hunain i Weithredu o hyd.

    Mae'r broses hon yn fwyaf addas ar gyfer darparwyr gwasanaethau cwmwl sydd â risg uchel neu gymedrol. (Byddwn yn plymio i lefelau risg yn yr adran nesaf.)

    Dyma drosolwg gweledol o'r broses JAB:

    Ffynhonnell: FedRAMP

    2>2. Awdurdod Asiantaeth i Weithredu

    Yn y broses hon, mae'r darparwr gwasanaethau cwmwl yn sefydlu perthynas ag asiantaeth ffederal benodol. Mae’r asiantaeth honno’n cymryd rhan drwy gydol y broses. Os bydd y broses yn llwyddiannus, mae'r asiantaeth yn cyhoeddi llythyr Awdurdod i Weithredu. FedRAMP

    Camau at awdurdodiad FedRAMP

    Ni waeth pa fath o awdurdodiad rydych yn ei ddilyn, mae awdurdodiad FedRAMP yn cynnwys pedwar prif gam:

      <10 Datblygu pecyn. Yn gyntaf, mae cyfarfod cychwyn awdurdodi. Yna mae'r darparwr yn cwblhau Cynllun Diogelwch System. Nesaf, mae sefydliad asesu trydydd parti sydd wedi'i gymeradwyo gan FedRAMP yn datblygu Cynllun Asesu Diogelwch.
    1. Asesiad. Mae'r sefydliad asesu yn cyflwyno adroddiad Asesiad Diogelwch. Mae'r darparwr yn creu Cynllun Gweithredu & Cerrig milltir.
    2. Awdurdodi. Y JAB neu'r asiantaeth awdurdodi sy'n penderfynu a yw'r risg fel y'i disgrifir yn dderbyniol. Os oes, maent yn cyflwyno llythyr Awdurdod i Weithredu i swyddfa rheoli prosiect FedRAMP. Yna mae'r darparwr wedi'i restru ym Marchnad FedRAMP.
    3. Monitro. Mae'r darparwr yn anfon nwyddau monitro diogelwch misol i bob asiantaeth sy'n defnyddio'r gwasanaeth.

    Awdurdod FedRAMP orau practisau

    Gall y broses o sicrhau awdurdodiad FedRAMP fod yn anodd. Ond mae er budd gorau pawb dan sylw i ddarparwyr gwasanaethau cwmwl lwyddo ar ôl iddynt ddechrau'r broses awdurdodi.

    I helpu, cyfwelodd FedRAMP â nifer o fusnesau bach a busnesau newydd am wersi a ddysgwyd yn ystod awdurdodi. Dyma eu saith awgrym gorau ar gyfer llywio'r broses awdurdodi yn llwyddiannus:

    1. Deall sut mae eichmapiau cynnyrch i FedRAMP – gan gynnwys dadansoddiad o fylchau.
    2. Cael cefnogaeth ac ymrwymiad sefydliadol – gan gynnwys gan y tîm gweithredol a thimau technegol.
    3. Dod o hyd i bartner asiantaeth – un sy’n defnyddio’ch cynnyrch neu wedi ymrwymo i wneud hynny.
    4. Treuliwch amser yn diffinio'ch ffin yn gywir. Mae hynny'n cynnwys:
      • cydrannau mewnol
      • cysylltiadau â gwasanaethau allanol, a
      • llif gwybodaeth a metadata.
    5. Meddyliwch am FedRAMP fel rhaglen barhaus, yn hytrach na phrosiect gyda dyddiad dechrau a diwedd yn unig. Rhaid monitro gwasanaethau'n barhaus.
    6. Ystyriwch eich dull awdurdodi yn ofalus. Efallai y bydd angen awdurdodiadau lluosog ar gyfer cynhyrchion lluosog.
    7. Mae PMO FedRAMP yn adnodd gwerthfawr. Gallant ateb cwestiynau technegol a'ch helpu i gynllunio'ch strategaeth.

    Mae FedRAMP yn cynnig templedi i helpu darparwyr gwasanaethau cwmwl i baratoi ar gyfer cydymffurfio â FedRAMP.

    Beth yw'r categorïau o gydymffurfiaeth FedRAMP?

    Mae FedRAMP yn cynnig pedair lefel effaith ar gyfer gwasanaethau â gwahanol fathau o risg. Maent yn seiliedig ar effeithiau posibl toriad diogelwch mewn tri maes gwahanol.

    • Cyfrinachedd: Amddiffyn preifatrwydd a gwybodaeth berchnogol.
    • Cywirdeb: Amddiffyniadau rhag addasu neu ddinistrio gwybodaeth.
    • Argaeledd: Mynediad amserol a dibynadwy at ddata.

    Y tri cyntafmae lefelau effaith yn seiliedig ar Safon Prosesu Gwybodaeth Ffederal (FIPS) 199 gan y Sefydliad Cenedlaethol Safonau a Thechnoleg (NIST). Mae'r pedwerydd yn seiliedig ar Gyhoeddiad Arbennig NIST 800-37. Mae’r lefelau effaith fel a ganlyn:

    • Uchel, yn seiliedig ar 421 o fesurau rheoli. “Gellid disgwyl i golli cyfrinachedd, uniondeb neu argaeledd gael effaith andwyol ddifrifol neu drychinebus ar y sefydliad. gweithrediadau, asedau sefydliadol, neu unigolion.” Mae hyn fel arfer yn berthnasol i orfodi'r gyfraith, gwasanaethau brys, systemau ariannol ac iechyd.
    • Cymedrol, yn seiliedig ar 325 o reolaethau. “Gellid disgwyl y byddai colli cyfrinachedd, uniondeb neu argaeledd. effaith andwyol ddifrifol ar weithrediadau sefydliadol, asedau sefydliadol, neu unigolion.” Mae bron i 80 y cant o geisiadau FedRAMP cymeradwy ar y lefel effaith gymedrol.
    • Isel, yn seiliedig ar 125 o reolaethau. “Gellid disgwyl i'r golled o gyfrinachedd, cywirdeb neu argaeledd fod yn gyfyngedig. effaith andwyol ar weithrediadau sefydliadol, asedau sefydliadol, neu unigolion.”
    • Meddalwedd-fel-y-Gwasanaeth Effaith Isel (LI-SaaS), yn seiliedig ar 36 o reolaethau . Ar gyfer “systemau sydd â risg isel ar gyfer defnyddiau fel offer cydweithredu, cymwysiadau rheoli prosiect, ac offer sy'n helpu i ddatblygu cod ffynhonnell agored.” Gelwir y categori hwn hefyd yn FedRAMP Teilwra.

    Ychwanegwyd y categori olaf hwn yn 2017i’w gwneud yn haws i asiantaethau gymeradwyo “achosion defnydd risg isel.” I fod yn gymwys ar gyfer FedRAMP Teilwredig, rhaid i'r darparwr ateb ie i chwe chwestiwn. Mae'r rhain yn cael eu postio ar dudalen polisi wedi'i deilwra gan FedRAMP:

    • A yw'r gwasanaeth yn gweithredu mewn amgylchedd cwmwl?
    • A yw'r gwasanaeth cwmwl yn gwbl weithredol?
    • A yw'r cwmwl gwasanaethu Meddalwedd fel Gwasanaeth (SaaS), fel y'i diffinnir gan NIST SP 800-145, Diffiniad NIST o Gyfrifiadura Cwmwl?
    • Nid yw'r gwasanaeth cwmwl yn cynnwys gwybodaeth bersonol adnabyddadwy (PII), ac eithrio yn ôl yr angen i ddarparu gallu mewngofnodi (enw defnyddiwr, cyfrinair a chyfeiriad e-bost)?
    • A yw'r gwasanaeth cwmwl yn cael effaith isel ar ddiogelwch, fel y'i diffinnir gan FIPS PUB 199, Safonau ar gyfer Categoreiddio Diogelwch Systemau Gwybodaeth a Gwybodaeth Ffederal?
    • A yw'r gwasanaeth cwmwl yn cael ei gynnal o fewn Llwyfan a awdurdodir gan FedRAMP fel Gwasanaeth (PaaS) neu Isadeiledd fel Gwasanaeth (IaaS), neu a yw'r PDC yn darparu'r seilwaith cwmwl sylfaenol?

    Cadwch mewn cof nad yw cyflawni cydymffurfiaeth â FedRAMP yn dasg unwaith ac am byth. Cofiwch gam Monitro awdurdodiad FedRAMP? Mae hynny'n golygu y bydd angen i chi gyflwyno archwiliadau diogelwch rheolaidd i sicrhau eich bod yn aros yn cydymffurfio â FedRAMP.

    Bonws: Darllenwch y canllaw strategaeth cyfryngau cymdeithasol cam wrth gam gydag awgrymiadau pro ar sut i dyfu eich presenoldeb cyfryngau cymdeithasol.

    Mynnwch y canllaw am ddim ar hyn o bryd!

    Enghreifftiau o FedRAMP ardystiedigcynhyrchion

    Mae llawer o fathau o gynhyrchion a gwasanaethau awdurdodedig FedRAMP. Dyma rai enghreifftiau gan ddarparwyr gwasanaethau cwmwl rydych chi'n eu hadnabod ac efallai'n eu defnyddio eich hun yn barod.

    Gwasanaethau Gwe Amazon

    Mae dwy restr AWS ym Marchnad FedRAMP. Mae AWS GovCloud wedi'i awdurdodi ar y lefel Uchel. Awdurdodir AWS US East/West ar y lefel Gymedrol.

    A glywsoch chi? Gall cwsmeriaid AWS GovCloud (UD) ddefnyddio #AmazoneEFS ar gyfer llwythi gwaith ffeiliau sy'n hanfodol i genhadaeth diolch i gyflawni awdurdodiad Uchel FedRAMP yn ddiweddar. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS ar gyfer y Llywodraeth (@AWS_Gov) Hydref 18, 2019

    AWS Mae gan GovCloud 292 o awdurdodiadau syfrdanol. Mae gan AWS US East/West 250 o awdurdodiadau. Mae hynny'n llawer mwy nag unrhyw restriad arall ym Marchnad FedRAMP.

    Adobe Analytics

    Awdurdodwyd Adobe Analytics yn 2019. Fe'i defnyddir gan y Canolfannau Rheoli ac Atal Clefydau a'r Adran Iechyd a Gwasanaethau Dynol. Mae wedi'i awdurdodi ar lefel LI-SaaS.

    Mewn gwirionedd mae gan Adobe nifer o gynhyrchion wedi'u hawdurdodi ar lefel LI-SaaS. (Fel Adobe Campaign ac Adobe Document Cloud.) Mae ganddyn nhw hefyd gwpl o gynhyrchion wedi'u hawdurdodi ar y lefel Gymedrol:

    • Gwasanaethau a Reolir gan Adobe Connect
    • Gwasanaethau a Reolir gan Adobe Experience Manager.<11

    Ar hyn o bryd mae Adobe yn y broses o symud o awdurdodiad wedi'i deilwra gan FedRAMP i FedRAMP Cymedrol

Post blaenorol Y Canllaw Arddull Cyfryngau Cymdeithasol Perffaith ar gyfer Eich Brand yn 2023
Post nesaf 8 Awgrym ar gyfer Meddiannu Instagram Ddiffyg

Mae Kimberly Parker yn weithiwr marchnata digidol proffesiynol profiadol gyda dros 10 mlynedd o brofiad yn y diwydiant. Fel sylfaenydd ei hasiantaeth farchnata cyfryngau cymdeithasol ei hun, mae hi wedi helpu nifer o fusnesau ar draws amrywiol ddiwydiannau i sefydlu a thyfu eu presenoldeb ar-lein trwy strategaethau cyfryngau cymdeithasol effeithiol. Mae Kimberly hefyd yn awdur toreithiog, ar ôl cyfrannu erthyglau ar gyfryngau cymdeithasol a marchnata digidol i sawl cyhoeddiad ag enw da. Yn ei hamser rhydd, mae hi wrth ei bodd yn arbrofi gyda ryseitiau newydd yn y gegin a mynd am dro hir gyda’i chi.