FedRAMP-certificering: Hvad er det, hvorfor det er vigtigt, og hvem har det

Kimberly Parker

29-05-2023 Strategi
  • Del Dette
Kimberly Parker

Hackede kameraruller af berømtheder, statsbaseret cyberspionage og alt derimellem. Datasikkerhed har et enormt anvendelsesområde, og det er et stort problem for alle, der bruger eller leverer cloud-baserede tjenester.

Når der er tale om offentlige data, kan disse bekymringer nå op på niveauet for national sikkerhed. Derfor kræver den amerikanske regering, at alle cloud-tjenester, der bruges af føderale myndigheder, skal opfylde et omhyggeligt sæt sikkerhedsstandarder kendt som FedRAMP.

Så hvad er FedRAMP, og hvad indebærer det? Du er kommet til det rette sted for at finde ud af det.

Bonus: Læs den trinvise strategivejledning for sociale medier med professionelle tips til, hvordan du kan øge din tilstedeværelse på de sociale medier.

Hvad er FedRAMP?

FedRAMP står for "Federal Risk and Authorization Management Program" og standardiserer sikkerhedsvurdering og godkendelse af cloud-produkter og -tjenester, der anvendes af amerikanske føderale myndigheder.

Målet er at sikre, at føderale data konsekvent er beskyttet på et højt niveau i skyen.

Det er en alvorlig sag at få FedRAMP-godkendelse. Det krævede sikkerhedsniveau er lovbestemt. Der er 14 gældende love og bestemmelser samt 19 standarder og vejledninger. Det er en af de mest strenge software-as-a-service-certificeringer i verden.

Her er en kort introduktion:

FedRAMP har eksisteret siden 2012, da cloud-teknologier for alvor begyndte at erstatte forældede, bundne softwareløsninger. FedRAMP er opstået på baggrund af den amerikanske regerings "Cloud First"-strategi, som krævede, at myndighederne skulle se på cloud-baserede løsninger som førstevalg.

Før FedRAMP skulle cloud-tjenesteudbydere udarbejde en godkendelsespakke for hvert agentur, de ønskede at arbejde sammen med. Kravene var ikke ensartede, og der var en masse dobbeltarbejde for både udbydere og agenturer.

FedRAMP indførte konsistens og strømlinede processen.

Nu er evalueringer og krav standardiseret, og flere offentlige myndigheder kan genbruge udbyderens FedRAMP-autorisationssikkerhedspakke.

I begyndelsen var FedRAMP-adgangen langsom. Kun 20 cloud-tjenestetilbud blev godkendt i de første fire år. Men tempoet er virkelig steget siden 2018, og der er nu 204 FedRAMP-godkendte cloud-produkter.

Kilde: FedRAMP

FedRAMP kontrolleres af et fælles godkendelsesudvalg (Joint Authorization Board (JAB)), der består af repræsentanter fra:

  • ministeriet for indenlandsk sikkerhed
  • General Services Administration, og
  • Forsvarsministeriet.

Programmet er godkendt af den amerikanske regerings Federal Chief Information Officers Council.

Hvorfor er FedRAMP-certificering vigtig?

Alle cloud-tjenester, der indeholder føderale data, kræver FedRAMP-godkendelse. Så hvis du ønsker at arbejde med den føderale regering, er FedRAMP-godkendelse en vigtig del af din sikkerhedsplan.

FedRAMP er vigtigt, fordi det sikrer konsistens i sikkerheden for statens cloud-tjenester - og fordi det sikrer konsistens i evalueringen og overvågningen af denne sikkerhed. Det giver ét sæt standarder for alle offentlige myndigheder og alle cloud-udbydere.

Leverandører af cloud-tjenester, der er FedRAMP-autoriseret, er opført på FedRAMP Marketplace. Denne markedsplads er det første sted, offentlige myndigheder kigger hen, når de ønsker at købe en ny cloud-baseret løsning. Det er meget nemmere og hurtigere for en myndighed at bruge et produkt, der allerede er godkendt, end at starte godkendelsesprocessen med en ny leverandør.

Så en optagelse på FedRAMP-markedet gør det meget mere sandsynligt, at du får flere ordrer fra offentlige myndigheder, men det kan også forbedre din profil i den private sektor.

Det skyldes, at FedRAMP-markedspladsen er synlig for offentligheden. Alle virksomheder i den private sektor kan bladre gennem listen over FedRAMP-godkendte løsninger.

Det er en fantastisk ressource, når de søger efter et sikkert cloudprodukt eller en sikker cloudtjeneste.

FedRAMP-godkendelse kan gøre enhver kunde mere sikker på sikkerhedsprotokollerne. Det repræsenterer en løbende forpligtelse til at opfylde de højeste sikkerhedsstandarder.

FedRAMP-autorisationen øger også din sikkerhedskredibilitet betydeligt uden for FedRAMP Marketplace. Du kan dele din FedRAMP-autorisation på sociale medier og på dit websted.

Sandheden er, at de fleste af dine kunder sandsynligvis ikke ved, hvad FedRAMP er. De er ligeglade med, om du er autoriseret eller ej. Men for de store kunder, der forstår FedRAMP - både i den offentlige og private sektor - kan manglende autorisation være en afbryder for en aftale.

Hvad kræver det at blive FedRAMP-certificeret?

Der er to forskellige måder at blive FedRAMP-autoriseret på.

1. Det Fælles Autorisationsnævn (JAB) foreløbig tilladelse til at operere

I denne proces udsteder JAB en foreløbig tilladelse, så agenturerne ved, at risikoen er blevet vurderet.

Det er en vigtig første godkendelse, men alle agenturer, der ønsker at bruge tjenesten, skal stadig udstede deres egen driftstilladelse.

Denne proces er bedst egnet til cloud-tjenesteudbydere med høj eller moderat risiko (vi dykker ned i risikoniveauer i næste afsnit).

Her er en visuel oversigt over JAB-processen:

Kilde: FedRAMP

2. Agenturets beføjelser til at operere

I denne proces etablerer cloud-tjenesteudbyderen et forhold til et bestemt føderalt agentur. Agenturet er involveret i hele processen. Hvis processen er vellykket, udsteder agenturet et "Authority to Operate"-brev.

Kilde: FedRAMP

Trin til FedRAMP-godkendelse

Uanset hvilken type godkendelse du vælger, omfatter FedRAMP-godkendelse fire hovedtrin:

  1. Udvikling af pakker. Først er der et godkendelsesopstartsmøde. Derefter udfylder udbyderen en systemsikkerhedsplan. Dernæst udarbejder en FedRAMP-godkendt ekstern vurderingsorganisation en sikkerhedsvurderingsplan.
  2. Vurdering. Vurderingsorganisationen indsender en sikkerhedsvurderingsrapport. Leverandøren udarbejder en handlingsplan & Milestones.
  3. Godkendelse. JAB eller det autoriserende organ beslutter, om risikoen som beskrevet er acceptabel. Hvis ja, sender de et brev om tilladelse til at operere til FedRAMP-projektledelseskontoret. Leverandøren opføres derefter på FedRAMP-markedspladsen.
  4. Overvågning. Leverandøren sender månedlige sikkerhedsovervågningsresultater til hvert enkelt agentur, der bruger tjenesten.

FedRAMP-tilladelse bedste praksis

Det kan være en vanskelig proces at opnå FedRAMP-autorisation, men det er i alles interesse, at cloud-tjenesteudbydere får succes, når de starter godkendelsesprocessen.

FedRAMP har derfor interviewet flere små virksomheder og nystartede virksomheder om deres erfaringer fra godkendelsesprocessen. Her er deres syv bedste tips til at navigere succesfuldt gennem godkendelsesprocessen:

  1. Forstå, hvordan dit produkt passer til FedRAMP - herunder en analyse af mangler.
  2. Få organisatorisk opbakning og engagement - herunder fra ledelsen og de tekniske teams.
  3. Find en bureaupartner - et bureau, der bruger dit produkt eller er indstillet på at gøre det.
  4. Brug tid på at definere dine grænser præcist, hvilket omfatter:
    • interne komponenter
    • forbindelser til eksterne tjenester og
    • strømmen af oplysninger og metadata.
  5. Tænk på FedRAMP som et kontinuerligt program og ikke blot som et projekt med en start- og slutdato. Tjenesterne skal overvåges løbende.
  6. Overvej omhyggeligt din godkendelsesmetode. Flere produkter kan kræve flere godkendelser.
  7. FedRAMP PMO er en værdifuld ressource, som kan besvare tekniske spørgsmål og hjælpe dig med at planlægge din strategi.

    FedRAMP tilbyder skabeloner til at hjælpe cloud-tjenesteudbydere med at forberede sig på FedRAMP-overholdelse.

    Hvad er kategorierne for FedRAMP-overholdelse?

    FedRAMP tilbyder fire konsekvensniveauer for tjenester med forskellige former for risiko. De er baseret på de potentielle konsekvenser af et sikkerhedsbrud på tre forskellige områder.

    • Fortrolighed: Beskyttelse af privatlivets fred og beskyttede oplysninger.
    • Integritet: Beskyttelse mod ændring eller ødelæggelse af oplysninger.
    • Tilgængelighed: Rettidig og pålidelig adgang til data.

    De første tre konsekvensniveauer er baseret på Federal Information Processing Standard (FIPS) 199 fra National Institute of Standards and Technology (NIST). Det fjerde niveau er baseret på NIST Special Publication 800-37. Konsekvensniveauerne er:

    • Høj, baseret på 421 kontroller. "Tabet af fortrolighed, integritet eller tilgængelighed kan forventes at have en alvorlig eller katastrofal negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner." Dette gælder normalt for retshåndhævende myndigheder, beredskabstjenester, finansielle systemer og sundhedssystemer.
    • Moderat, baseret på 325 kontroller. "Tabet af fortrolighed, integritet eller tilgængelighed kan forventes at have en alvorlig negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner." Næsten 80 procent af de godkendte FedRAMP-applikationer er på niveauet moderat indvirkning.
    • Lav, baseret på 125 kontroller. "Tabet af fortrolighed, integritet eller tilgængelighed kan forventes at have en begrænset negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner."
    • LI-SaaS (Low-Impact Software-as-a-Service), baseret på 36 kontroller For "systemer med lav risiko til anvendelser som samarbejdsværktøjer, projektstyringsprogrammer og værktøjer, der hjælper med at udvikle open source-kode." Denne kategori er også kendt som FedRAMP Tailored.

    Denne sidste kategori blev tilføjet i 2017 for at gøre det lettere for myndighederne at godkende "lavrisiko-anvendelsestilfælde". For at kvalificere sig til FedRAMP Tailored skal udbyderen svare ja til seks spørgsmål. Disse spørgsmål er offentliggjort på FedRAMP Tailored-politiksiden:

    • Opererer tjenesten i et cloud-miljø?
    • Er cloud-tjenesten fuldt funktionsdygtig?
    • Er cloud-tjenesten en Software as a Service (SaaS), som defineret i NIST SP 800-145, The NIST Definition of Cloud Computing (NIST Definition of Cloud Computing)?
    • Cloud-tjenesten indeholder ikke personligt identificerbare oplysninger (PII), undtagen når det er nødvendigt for at give mulighed for login (brugernavn, adgangskode og e-mailadresse)?
    • Er cloud-tjenesten af lav sikkerhedsmæssig betydning, som defineret i FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • Er cloud-tjenesten hostet i en FedRAMP-godkendt Platform as a Service (PaaS) eller Infrastructure as a Service (IaaS), eller leverer CSP'en den underliggende cloud-infrastruktur?

    Husk, at det ikke er en engangsopgave at opnå FedRAMP-overholdelse. Husk overvågningsfasen af FedRAMP-tilladelsen. Det betyder, at du skal indsende regelmæssige sikkerhedsrevisioner for at sikre, at du ophold FedRAMP-kompatibel.

    Bonus: Læs den trinvise strategivejledning for sociale medier med professionelle tips til, hvordan du kan øge din tilstedeværelse på de sociale medier.

    Få den gratis vejledning lige nu!

    Eksempler på FedRAMP-certificerede produkter

    Der findes mange typer FedRAMP-godkendte produkter og tjenester. Her er et par eksempler fra cloud-tjenesteudbydere, som du kender og måske allerede selv bruger.

    Amazon Web Services

    Der er to AWS-lister på FedRAMP Marketplace: AWS GovCloud er godkendt på højt niveau, og AWS US East/West er godkendt på moderat niveau.

    Vidste du det? AWS GovCloud-kunder (USA) kan bruge #AmazonEFS til missionskritiske filarbejdsbelastninger takket være den nyligt opnåede FedRAMP High-autorisation. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) oktober 18, 2019

    AWS GovCloud har hele 292 tilladelser, og AWS US East/West har 250 tilladelser, hvilket er langt mere end nogen anden liste på FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics blev godkendt i 2019. Det bruges af Centers for Disease Control and Prevention og Department of Health and Human Services. Det er godkendt på LI-SaaS-niveau.

    Adobe har faktisk flere produkter, der er godkendt på LI-SaaS-niveau (f.eks. Adobe Campaign og Adobe Document Cloud.) De har også et par produkter, der er godkendt på Moderate-niveau:

    • Adobe Connect Managed Services
    • Adobe Experience Manager Managed Services.

    Adobe er i øjeblikket i gang med at flytte fra FedRAMP Tailored-autorisation til FedRAMP Moderate-autorisation for Adobe Sign.

    Få mere at vide om, hvordan @Adobe Sign arbejder på at gå fra FedRAMP Tailored til FedRAMP Moderate-statutter her: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) August 12, 2020

    Husk, at det er tjenesten og ikke tjenesteudbyderen, der skal godkendes. Ligesom Adobe skal du måske søge om flere godkendelser, hvis du tilbyder mere end én cloud-baseret løsning.

    Slack

    Slack blev godkendt i maj i år og har 21 FedRAMP-godkendelser. Produktet er godkendt på Moderate-niveau og bruges af bl.a. følgende agenturer:

    • Centers for Disease Control and Protection,
    • Federal Communications Commission, og
    • National Science Foundation.

    Den offentlige sektor i USA kan nu køre mere af deres arbejde i Slack takket være vores nye FedRAMP Moderate-tilladelse. Og ved at opfylde disse strenge sikkerhedskrav sikrer vi også sikkerheden for alle andre virksomheder, der bruger Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) August 13, 2020

    Slack fik oprindeligt FedRAMP Tailored-tilladelse, hvorefter de søgte Moderate-tilladelse ved at samarbejde med Department of Veterans Affairs.

    Slack gør opmærksom på sikkerhedsfordelene ved denne tilladelse for kunder i den private sektor på sit websted:

    "Denne seneste godkendelse betyder en mere sikker oplevelse for Slack-kunder, herunder virksomheder i den private sektor, der ikke har brug for et FedRAMP-autoriseret miljø. Alle kunder, der bruger Slacks kommercielle tilbud, kan drage fordel af de skærpede sikkerhedsforanstaltninger, der kræves for at opnå FedRAMP-certificering."

    Trello Enterprise Cloud

    Trello har netop fået Li-SaaS-tilladelse i september. Trello bruges indtil videre kun af General Services Administration. Men virksomheden ønsker at ændre dette, som det fremgår af deres sociale indlæg om deres nye FedRAMP-status:

    🏛️Med Trellos FedRAMP-godkendelse kan dit agentur nu bruge Trello til at øge produktiviteten, nedbryde teamsiloer og fremme samarbejdet. //t.co/GWYgaj9jfY

    - Trello (@trello) oktober 12, 2020

    Zendesk

    Zendesk blev også godkendt i maj og bruges af:

    • Energiministeriet,
    • det føderale boligfinansieringsagentur
    • FHFA's Office of the Inspector General og
    • General Services Administration.

    Zendesk Customer Support and Help Desk Platform har Li-Saas-autorisation.

    Fra i dag kan vi gøre det meget nemmere for offentlige myndigheder at arbejde med os, da @Zendesk nu er FedRAMP-autoriseret. Mange tak til alle teams i og uden for Zendesk for den indsats, der er lagt i dette. //t.co/A0HVVwjhGsv

    - Mikkel Svane (@mikkelsvane) May 22, 2020

    FedRAMP for forvaltning af sociale medier

    SMMExpert er FedRAMP-autoriseret. Offentlige myndigheder kan nu nemt samarbejde med den globale leder inden for social media management for at engagere sig med borgerne, håndtere krisekommunikation og levere tjenester og information via sociale medier.

    Anmod om en demo

    Forrige indlæg Den perfekte stilguide for sociale medier til dit brand i 2023
    Næste indlæg 8 tips til en fejlfri overtagelse af Instagram

    Kimberly Parker er en erfaren digital marketingmedarbejder med over 10 års erfaring i branchen. Som grundlægger af sit eget marketingbureau på sociale medier har hun hjulpet adskillige virksomheder på tværs af forskellige brancher med at etablere og vokse deres online tilstedeværelse gennem effektive sociale mediestrategier. Kimberly er også en produktiv forfatter, der har bidraget med artikler om sociale medier og digital markedsføring til flere velrenommerede publikationer. I sin fritid elsker hun at eksperimentere med nye opskrifter i køkkenet og gå lange ture med sin hund.