FedRAMP-sertifitseerimine: mis see on, miks see on oluline ja kellel on see olemas?

Kimberly Parker

29-05-2023 Strateegia
  • Jaga Seda
Kimberly Parker

Häkitud kuulsuste kaamerarullid. Riigipoolne küberrünnak. Ja kõik muu vahepealne. Andmeturvalisusel on väga palju rakendusi. Ja see on suur mure kõigi jaoks, kes kasutavad või pakuvad pilvepõhiseid teenuseid.

Kui tegemist on valitsuse andmetega, võivad need mured ulatuda riikliku julgeoleku tasemeni. Seepärast nõuab USA valitsus, et kõik föderaalasutuste poolt kasutatavad pilveteenused vastaksid hoolikalt koostatud turvastandarditele, mida nimetatakse FedRAMP.

Mis on siis FedRAMP ja mida see hõlmab? Olete õiges kohas, et seda teada saada.

Boonus: Lugege samm-sammult sotsiaalmeedia strateegia juhendit koos pro-nippe, kuidas oma sotsiaalmeedia kohalolekut kasvatada.

Mis on FedRAMP?

FedRAMP tähendab "Federal Risk and Authorization Management Program", mis standardiseerib USA föderaalasutuste poolt kasutatavate pilvetoodete ja -teenuste turvalisuse hindamist ja autoriseerimist.

Eesmärk on tagada, et föderaalsed andmed oleksid pilves järjepidevalt kõrgel tasemel kaitstud.

FedRAMP-i loa saamine on tõsine asi. Nõutav turvatase on seadusega ette nähtud. 14 kohaldatavat seadust ja määrust ning 19 standardit ja juhenddokumenti. See on üks maailma kõige rangemaid tarkvara kui teenuse sertifikaate.

Siin on kiire sissejuhatus:

FedRAMP on olemas alates 2012. aastast. See on aegunud tarkvaralahenduste asendamine pilvetehnoloogiatega. See sündis USA valitsuse "Cloud First" strateegiast. See strateegia nõudis, et asutused vaataksid pilvepõhiseid lahendusi esimese valikuna.

Enne FedRAMPi pidid pilveteenuste pakkujad koostama iga asutuse jaoks, kellega nad soovisid koostööd teha, eraldi autoriseerimispaketi. Nõuded ei olnud järjepidevad. Ja nii pakkujate kui ka asutuste jaoks oli palju topelttööd.

FedRAMP kehtestas järjepidevuse ja ühtlustas protsessi.

Nüüd on hindamised ja nõuded standardiseeritud. Mitu valitsusasutust saavad uuesti kasutada teenusepakkuja FedRAMPi autoriseerimise turvapaketti.

FedRAMPi kasutuselevõtt oli esialgu aeglane. Esimese nelja aasta jooksul lubati vaid 20 pilveteenuse pakkumist. 2018. aastast alates on tempo aga tõeliselt kiirenenud ja nüüdseks on 204 FedRAMPi poolt lubatud pilvetoodet.

Allikas: FedRAMP

FedRAMPi kontrollib ühine autoriseerimisnõukogu (Joint Authorization Board, JAB), kuhu kuuluvad esindajad järgmistest asutustest:

  • sisejulgeolekuministeerium
  • General Services Administration ja
  • kaitseministeerium.

Programmi on heaks kiitnud USA valitsuse föderaalne infovolinike nõukogu.

Miks on FedRAMPi sertifitseerimine oluline?

Kõik pilveteenused, kus hoitakse föderaalseid andmeid, vajavad FedRAMPi luba. Seega, kui soovite töötada föderaalvalitsusega, on FedRAMPi luba oluline osa teie turvaplaanist.

FedRAMP on oluline, sest see tagab valitsuse pilveteenuste turvalisuse järjepidevuse - ja kuna see tagab järjepidevuse selle turvalisuse hindamisel ja järelevalves. See annab kõigile valitsusasutustele ja kõigile pilveteenuste pakkujatele ühtsed standardid.

FedRAMPi volitatud pilveteenuse pakkujad on loetletud FedRAMP Marketplace'is. See turg on esimene koht, kuhu valitsusasutused vaatavad, kui nad soovivad hankida uut pilvepõhist lahendust. Asutuse jaoks on palju lihtsam ja kiirem kasutada juba volitatud toodet, kui alustada autoriseerimisprotsessi uue tarnijaga.

Seega, FedRAMPi turuplatsil olevad nimekirjad suurendavad teie tõenäosust saada valitsusasutustelt lisatööd. Kuid see võib parandada ka teie profiili erasektoris.

Seda seetõttu, et FedRAMPi turg on avalikkusele nähtav. Iga erasektori ettevõte saab sirvida FedRAMPi lubatud lahenduste nimekirja.

See on suurepärane ressurss, kui nad otsivad turvalist pilvetoodet või -teenust.

FedRAMPi autoriseerimine võib muuta iga kliendi kindlamaks turvaprotokollide suhtes. See kujutab endast pidevat kohustust täita kõrgeimaid turvastandardeid.

FedRAMPi autoriseerimine suurendab märkimisväärselt teie turvalisuse usaldusväärsust ka väljaspool FedRAMPi turuplatsi. Te saate oma FedRAMPi autoriseerimist jagada sotsiaalmeedias ja oma veebisaidil.

Tõsi on see, et enamik teie klientidest ei tea tõenäoliselt, mis on FedRAMP. Neid ei huvita, kas te olete volitatud või mitte. Kuid nende suurte klientide jaoks, kes saavad FedRAMPist aru - nii avalikus kui ka erasektoris -, võib volituse puudumine olla tehingu katkestajaks.

Mida on vaja FedRAMP-sertifikaadi saamiseks?

FedRAMPi loa saamiseks on kaks erinevat võimalust.

1. Ühise Loa andva Ameti (JAB) ajutine tegevusluba

Selle protsessi käigus annab JAB välja ajutise loa. See annab asutustele teada, et risk on läbi vaadatud.

See on oluline esimene heakskiit. Kuid iga asutus, kes soovib teenust kasutada, peab siiski väljastama oma tegevusloa.

See protsess sobib kõige paremini kõrge või mõõduka riskiga pilveteenuste pakkujatele. (Järgmises punktis käsitleme riskitasemeid.)

Siin on visuaalne ülevaade JAB-protsessist:

Allikas: FedRAMP

2. Agentuuri tegevusvolitused

Selle protsessi käigus loob pilveteenuste pakkuja suhte konkreetse föderaalasutusega. See asutus on kogu protsessi jooksul kaasatud. Kui protsess on edukas, annab asutus välja tegevusloa kirja.

Allikas: FedRAMP

FedRAMPi loa saamise sammud

Sõltumata sellest, millist tüüpi autoriseerimist te kasutate, FedRAMPi autoriseerimine hõlmab nelja peamist etappi:

  1. Paketi arendamine. Kõigepealt toimub loa andmise algkoosolek. Seejärel täidab teenusepakkuja süsteemi turvaplaani. Seejärel koostab FedRAMPi poolt heaks kiidetud kolmanda osapoole hindamisorganisatsioon turvalisuse hindamiskava.
  2. Hindamine. Hindamisorganisatsioon esitab turvahindamise aruande. Teenuseosutaja koostab tegevuskava & vahe-eesmärgid.
  3. Autoriseerimine. JAB või luba andev asutus otsustab, kas kirjeldatud risk on vastuvõetav. Kui jah, siis esitab ta FedRAMPi projektijuhtimisbüroole volituse tegutsemiseks. Seejärel kantakse teenuseosutaja FedRAMPi turuplatsile.
  4. Järelevalve. Teenuseosutaja saadab igakuiselt turvaseire tulemused igale teenust kasutavale asutusele.

FedRAMPi autoriseerimise parimad tavad

FedRAMPi loa saamise protsess võib olla raske. Kuid see on kõigi asjaosaliste huvides, et pilveteenuse pakkujad oleksid edukad, kui nad alustavad loa andmise protsessi.

Selleks küsitles FedRAMP mitmeid väikeettevõtteid ja alustavaid ettevõtteid autoriseerimise käigus saadud õppetundide kohta. Siin on nende seitse parimat nõuannet autoriseerimisprotsessi edukaks läbimiseks:

  1. Saage aru, kuidas teie toode vastab FedRAMPi nõuetele - sealhulgas analüüsige puudujääke.
  2. Hankige organisatsiooniline toetus ja pühendumine - sealhulgas juhtkonna ja tehniliste meeskondade poolt.
  3. Leidke agentuuripartner, kes kasutab teie toodet või on otsustanud seda teha.
  4. Veeta aega oma piiride täpseks määratlemiseks. See hõlmab:
    • sisemised komponendid
    • ühendused väliste teenustega ja
    • teabe ja metaandmete liikumine.
  5. Mõelge FedRAMPist kui pidevast programmist, mitte lihtsalt projektist, millel on algus- ja lõppkuupäev. Teenuseid tuleb pidevalt jälgida.
  6. Kaaluge hoolikalt oma autoriseerimismeetodit. Mitu toodet võib nõuda mitut autoriseerimist.
  7. FedRAMP PMO on väärtuslik ressurss. Nad saavad vastata tehnilistele küsimustele ja aidata teil oma strateegiat kavandada.

    FedRAMP pakub malle, mis aitavad pilveteenuste pakkujatel valmistuda FedRAMPi nõuetele vastavaks.

    Millised on FedRAMPi nõuetele vastavuse kategooriad?

    FedRAMP pakub nelja mõju taset eri liiki riskiga teenuste jaoks. Need põhinevad turvarikkumise võimalikul mõjul kolmes erinevas valdkonnas.

    • Konfidentsiaalsus: Eraelu puutumatuse ja konfidentsiaalse teabe kaitse.
    • Terviklikkus: Kaitse teabe muutmise või hävitamise eest.
    • Kättesaadavus: Õigeaegne ja usaldusväärne juurdepääs andmetele.

    Esimesed kolm mõju taset põhinevad riikliku standardite ja tehnoloogiainstituudi (NIST) föderaalsel infotöötlusstandardil (FIPS) 199. Neljas põhineb NISTi eriväljaandel 800-37. Mõju tasemed on järgmised:

    • Kõrge, põhineb 421 kontrollil. "Konfidentsiaalsuse, terviklikkuse või kättesaadavuse kaotamine võib eeldatavasti avaldada tõsist või katastroofilist kahjulikku mõju organisatsiooni tegevusele, organisatsiooni varale või üksikisikutele." See kehtib tavaliselt õiguskaitse-, hädaabiteenuste, finants- ja tervishoiusüsteemide puhul.
    • Mõõdukas, põhineb 325 kontrollil. "Konfidentsiaalsuse, terviklikkuse või kättesaadavuse kaotamine võib eeldatavasti avaldada tõsist kahjulikku mõju organisatsiooni tegevusele, organisatsiooni varale või üksikisikutele." Ligi 80 protsenti FedRAMPi heakskiidetud rakendustest on mõõduka mõju tasemel.
    • Madal, põhineb 125 kontrollil. "Konfidentsiaalsuse, terviklikkuse või kättesaadavuse kaotamine võib eeldatavasti avaldada piiratud kahjulikku mõju organisatsiooni tegevusele, organisatsiooni varale või üksikisikutele."
    • Väikese mõjuga tarkvara kui teenus (LI-SaaS), mis põhineb 36 kontrollisüsteemil. "Süsteemidele, mis on madala riskiga, näiteks koostöövahendid, projektijuhtimisrakendused ja avatud lähtekoodi arendamist toetavad vahendid." Seda kategooriat tuntakse ka kui FedRAMP Tailored.

    Viimane kategooria lisati 2017. aastal, et lihtsustada asutuste jaoks "madala riskiga kasutusjuhtumite" heakskiitmist. FedRAMP Tailored'ile kvalifitseerumiseks peab teenusepakkuja vastama jaatavalt kuuele küsimusele. Need on avaldatud FedRAMP Tailored'i poliitika lehel:

    • Kas teenus toimib pilvekeskkonnas?
    • Kas pilveteenus on täielikult toimiv?
    • Kas pilveteenus on tarkvara kui teenus (SaaS), nagu on määratletud NIST SP 800-145, The NIST Definition of Cloud Computing (NISTi pilvandmetöötluse määratlus)?
    • Pilveteenus ei sisalda isikuandmeid (PII), välja arvatud sisselogimise võimaldamiseks vajalikud andmed (kasutajanimi, parool ja e-posti aadress)?
    • Kas pilveteenus on madala turvariskiga, nagu on määratletud dokumendis FIPS PUB 199 "Federal Information and Information Systems of Security Categorization Standards for Security Categorization of Federal Information and Information Systems" (föderaalse teabe ja infosüsteemide turvakategoriseerimise standardid)?
    • Kas pilveteenus on majutatud FedRAMPi poolt heakskiidetud platvormi kui teenuse (PaaS) või infrastruktuuri kui teenuse (IaaS) raames või kas CSP pakub selle aluseks olevat pilveinfrastruktuuri?

    Pidage meeles, et FedRAMPi nõuetele vastavuse saavutamine ei ole ühekordne ülesanne. Pidage meeles FedRAMPi autoriseerimise järelevalveetappi? See tähendab, et peate esitama korrapäraseid turvaauditeid, et tagada, et te viibida FedRAMPi nõuetele vastav.

    Boonus: Lugege samm-sammult sotsiaalmeedia strateegia juhendit koos pro-nippe, kuidas oma sotsiaalmeedia kohalolekut kasvatada.

    Hangi tasuta juhend kohe!

    FedRAMPi sertifitseeritud toodete näited

    FedRAMPi volitatud tooteid ja teenuseid on palju. Siin on mõned näited pilveteenuste pakkujatelt, mida te teate ja mida võite juba ise kasutada.

    Amazon Web Services

    FedRAMP Marketplace'is on kaks AWS-i nimekirja. AWS GovCloud on lubatud kõrgel tasemel. AWS US East/West on lubatud mõõdukal tasemel.

    Kas kuulsite? AWS GovCloudi (USA) kliendid saavad tänu hiljuti saadud FedRAMP High autoriseeringule kasutada #AmazonEFS-i kriitiliste failide töökoormuste jaoks. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) 18. oktoober 2019

    AWS GovCloudil on lausa 292 luba. AWS US East/Westil on 250 luba. See on palju rohkem kui mis tahes muu FedRAMP Marketplace'i loetelus.

    Adobe Analytics

    Adobe Analytics sai loa 2019. aastal. Seda kasutavad haiguste kontrolli ja ennetamise keskused ning tervishoiu- ja tervishoiuteenuste ministeerium. See on lubatud LI-SaaSi tasemel.

    Adobe'il on tegelikult mitu LI-SaaS-tasandil lubatud toodet (näiteks Adobe Campaign ja Adobe Document Cloud). Neil on ka paar toodet, mis on lubatud mõõdukal tasemel:

    • Adobe Connecti hallatavad teenused
    • Adobe Experience Manageri hallatavad teenused.

    Adobe on praegu üleminekul FedRAMP Tailored autoriseeringult FedRAMP Moderate autoriseeringule Adobe Signi jaoks.

    Lisateavet selle kohta, kuidas @Adobe Sign töötab FedRAMP Tailored-statistika FedRAMP Moderate'ile ülemineku nimel, leiate siit: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) August 12, 2020

    Pidage meeles, et loa saab teenus, mitte teenusepakkuja. Nagu Adobe, peate võib-olla taotlema mitut luba, kui pakute rohkem kui ühte pilvepõhist lahendust.

    Slack

    Selle aasta mais autoriseeritud Slackil on 21 FedRAMPi luba. Toode on lubatud mõõdukal tasemel. Seda kasutavad asutused, sealhulgas:

    • Haiguste kontrolli ja kaitse keskused,
    • Föderaalne sidekomisjon ja
    • riiklik teadusfond.

    USA avalik sektor saab nüüd tänu meie uuele FedRAMP Moderate'i autoriseeringule rohkem oma tööd Slackis teha. Ja nende rangete turvanõuete täitmisega hoiame asjad turvaliselt ka kõigi teiste Slacki kasutavate ettevõtete jaoks. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) August 13, 2020

    Slack sai algselt FedRAMP Tailored loa. Seejärel taotlesid nad mõõdukat luba, tehes koostööd veteranide ministeeriumiga.

    Slack juhib oma veebisaidil kindlasti tähelepanu selle loa turvalisuse eelistele erasektori klientidele:

    "See viimane luba tähendab turvalisemat kogemust Slacki klientidele, sealhulgas erasektori ettevõtetele, kes ei nõua FedRAMP-i poolt volitatud keskkonda. Kõik kliendid, kes kasutavad Slacki kaubanduslikke pakkumisi, saavad kasu FedRAMP-i sertifikaadi saamiseks nõutavatest kõrgendatud turvameetmetest."

    Trello Enterprise Cloud

    Trello sai just septembris Li-SaaS-i loa. Trello on seni kasutusel ainult General Services Administration'is. Kuid ettevõte soovib seda muuta, nagu näha nende sotsiaalsetest postitustest nende uue FedRAMP-i staatuse kohta:

    🏛️ Tänu Trello FedRAMPi autoriseerimisele saab teie asutus nüüd kasutada Trellot tootlikkuse suurendamiseks, meeskonna silode lõhkumiseks ja koostöö edendamiseks. //t.co/GWYgaj9jfY

    - Trello (@trello) oktoober 12, 2020

    Zendesk

    Samuti on Zendeski maikuus heaks kiitnud:

    • energeetikaministeerium,
    • Federal Housing Finance Agency
    • FHFA peainspektori büroo ja
    • General Services Administration.

    Zendeski klienditoe ja kasutajatoe platvormil on Li-Saasi luba.

    Alates tänasest saame valitsusasutustele teha meiega töötamise palju lihtsamaks, kuna @Zendesk on nüüd FedRAMP-i volitatud. Suur tänu kõigile meeskondadele Zendeski sees ja väljaspool Zendeski selle nimel tehtud jõupingutuste eest. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) mai 22, 2020

    FedRAMP sotsiaalse meedia haldamiseks

    SMMExpertil on FedRAMPi luba. Valitsusasutused saavad nüüd hõlpsasti teha koostööd sotsiaalmeedia juhtimise ülemaailmse liidriga, et suhelda kodanikega, hallata kriisikommunikatsiooni ning pakkuda teenuseid ja teavet sotsiaalmeedia kaudu.

    Demo tellimine

    Eelmine postitus Täiuslik sotsiaalmeedia stiilijuhend teie brändi jaoks aastal 2023
    Järgmine postitus 8 nõuannet veatu Instagrami ülevõtmiseks

    Kimberly Parker on kogenud digitaalturunduse professionaal, kellel on selles valdkonnas üle 10-aastane kogemus. Oma sotsiaalmeedia turundusagentuuri asutajana on ta aidanud paljudel erinevates tööstusharudes tegutsevatel ettevõtetel tõhusate sotsiaalmeediastrateegiate abil luua ja kasvatada oma veebis kohalolekut. Kimberly on ka viljakas kirjanik, olles avaldanud sotsiaalmeedia ja digitaalse turunduse teemalisi artikleid mitmetes mainekates väljaannetes. Vabal ajal armastab ta köögis uusi retsepte katsetada ja koeraga pikki jalutuskäike teha.