FedRAMP Ziurtagiria: zer da, zergatik garrantzitsua den eta nork duen

Kimberly Parker

29-05-2023 Estrategia
  • Partekatu Hau
Kimberly Parker

Ospetsuen kamera-erroiluak pirateatu dituzte. Estatuan oinarritutako ziberespioitza. Eta tartean dena. Datuen segurtasunak aplikazio sorta handia du. Eta hodeian oinarritutako zerbitzuak erabiltzen edo hornitzen dituzten guztien kezka nagusia da.

Gobernuaren datuak tartean daudenean, kezka horiek segurtasun nazionalaren mailara irits daitezke. Horregatik, AEBetako gobernuak agentzia federalek erabiltzen dituzten hodeiko zerbitzu guztiek FedRAMP izenez ezagutzen den segurtasun-estandarren multzo zehatza betetzea eskatzen du.

Beraz, zer da FedRAMP eta zer dakar? Leku egokian zaude jakiteko.

Hobaria: Irakurri urratsez urrats sare sozialetako estrategia-gida zure sare sozialen presentzia hazteko aholku profesionalekin.

Zer da FedRAMP?

FedRAMP "Federal Risk and Authorization Management Program" esan nahi du. AEBetako agentzia federalek erabiltzen dituzten hodeiko produktu eta zerbitzuen segurtasun-ebaluazioa eta baimena estandarizatzen ditu.

Helburua da datu federalak etengabe babestuta daudela hodeian maila altuan.

FedRAMP lortzea. baimena negozio serioa da. Behar den segurtasun-maila legeak agintzen du. 14 lege eta arau aplikagarri daude, 19 estandar eta orientabide dokumenturekin batera. Munduan dagoen software-zerbitzu gisako ziurtagiririk zorrotzenetako bat da.

Hona hemen sarrera azkar bat:

FedRAMP 2012tik dago martxan. Hodeiko teknologiak benetan.Adobe Sign-erako baimena.

Lortu informazio gehiago @Adobe Sign FedRAMP Tailored-tik FedRAMP Moderate estatuetara pasatzeko nola funtzionatzen duen, hemen: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 2020ko abuztuaren 12a

Gogoratu zerbitzua dela, ez zerbitzu hornitzailea, baimena lortzen duena. Adobe bezala, baliteke hainbat baimen lortu behar izatea hodeian oinarritutako irtenbide bat baino gehiago eskaintzen baduzu.

Slack

Aurtengo maiatzean baimenduta, Slack-ek 21 FedRAMP baimen ditu. Produktua maila moderatuan baimenduta dago. Besteak beste, agentziek erabiltzen dute:

  • Gaixotasunen Kontrolerako eta Babesteko Zentroak,
  • Komunikazio Batzorde Federalak eta
  • Zientziaren Fundazio Nazionalak.

AEBetako sektore publikoak orain bere lan gehiago egin dezake Slack-en, gure FedRAMP Moderate baimen berriari esker. Eta segurtasun-baldintza zorrotz horiek betez, gauzak seguru mantentzen ditugu Slack erabiltzen duten beste enpresa guztientzat ere. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 2020ko abuztuaren 13a

Slack-ek FedRAMP Tailored baimena jaso zuen hasieran. Gero, baimen moderatua lortu zuten Beteranoen Gaietarako Departamentuarekin lankidetzan.

Slack-ek ziurtatzen du bere webgunean sektore pribatuko bezeroentzako baimen honek dituen segurtasun onurak deitzen dituela:

“Hau azken baimena esperientzia seguruagoa bihurtzen daSlack bezeroak, FedRAMP-ek baimendutako ingurunerik behar ez duten sektore pribatuko negozioak barne. Slack-en eskaintza komertzialak erabiltzen dituzten bezero guztiek FedRAMP ziurtagiria lortzeko beharrezkoak diren segurtasun neurri handien onura izan dezakete. Trello orain arte Zerbitzu Orokorren Administrazioak bakarrik erabiltzen du. Baina konpainia hori aldatu nahi du, FedRAMP egoera berriari buruzko beren mezu sozialetan ikusten den bezala:

🏛️Trello-ren FedRAMP baimenarekin, zure agentziak Trello erabil dezake orain produktibitatea areagotzeko, talde siloak hausteko eta sustatzeko. lankidetza. //t.co/GWYgaj9jfY

— Trello (@trello) 2020ko urriaren 12a

Zendesk

Maiatzean ere baimenduta, Zendesk honako hauek erabiltzen dute:

  • Energia Departamentua,
  • Etxebizitza Finantzatzeko Agentzia Federala
  • Inspektore Nagusiaren FHFA Bulegoa eta
  • Zerbitzu Orokorren Administrazioa.

Zendesk Bezeroarentzako Arreta eta Laguntza Mahaiaren plataformak Li-Saas baimena du.

Gaurtik aurrera, gobernu-agentziek gurekin lan egitea asko erraztu ahal izango dugu @Zendesk FedRAMP baimenduta baitago. Mila esker Zendesk barruko eta kanpoko talde guztiei honetan egindako esfortzuagatik. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 2020ko maiatzaren 22a

FedRAMP sare sozialen kudeaketarako

SMMExpert FedRAMP dabaimenduta. Gobernu-agentziek orain erraz lan egin dezakete sare sozialen kudeaketan mundu mailako liderrekin herritarrekin harremanetan jartzeko, krisi-komunikazioak kudeatzeko eta zerbitzuak eta informazioa sare sozialen bidez emateko.

Eskatu Demo bat

zaharkitutako estekaturiko software irtenbideak ordezkatzen hasi zen. AEBetako gobernuaren "Cloud First" estrategiatik sortu zen. Estrategia hark agentziei hodeian oinarritutako soluzioak lehen aukera gisa aztertzea eskatzen zuen.

FedRAMP baino lehen, hodeiko zerbitzu hornitzaileek baimen-pakete bat prestatu behar zuten lan egin nahi zuten agentzia bakoitzerako. Eskakizunak ez ziren koherenteak. Eta bikoiztutako ahalegin handia egin zen bai hornitzaileentzat bai agentzientzat.

FedRAMPek koherentzia sartu zuen eta prozesua erraztu zuen.

Orain, ebaluazioak eta eskakizunak estandarizatuta daude. Hainbat gobernu-agentzia hornitzailearen FedRAMP baimen-segurtasun paketea berrerabil dezakete.

Hasierako FedRAMP hartzea motela izan zen. Hodeiko 20 zerbitzu-eskaintza baino ez ziren baimendu lehen lau urteetan. Baina erritmoak gora egin du 2018az geroztik, eta orain 204 FedRAMP-ek hodeiko produktu baimenduak daude.

Iturria: FedRAMP

FedRAMP Joint Authorization Board (JAB) batek kontrolatzen du. Kontseilua honako ordezkariek osatzen dute:

  • Barne Segurtasun Saila
  • Zerbitzu Orokorren Administrazioa eta
  • Defentsa Saila.

Programa AEBetako Gobernuko Federal Chief Information Officers Council-ek onartzen du.

Zergatik da garrantzitsua FedRAMP ziurtagiria?

Datu federalak dituzten hodeiko zerbitzu guztiek FedRAMP baimena behar dute. Beraz, lan egin nahi baduzugobernu federalak, FedRAMP baimena zure segurtasun-planaren zati garrantzitsu bat da.

FedRAMP garrantzitsua da gobernuaren hodeiko zerbitzuen segurtasunaren koherentzia bermatzen duelako, eta segurtasun hori ebaluatzeko eta kontrolatzeko koherentzia bermatzen duelako. Estandar multzo bat eskaintzen du gobernu-agentzia guztientzat eta hodeiko hornitzaile guztientzat.

FedRAMP baimenduta dauden hodeiko zerbitzu-hornitzaileak FedRAMP Marketplace-n zerrendatzen dira. Merkatu hau gobernu agentziek hodeian oinarritutako irtenbide berri bat lortu nahi dutenean bilatzen duten lehen tokian da. Agentzia batek askoz errazagoa eta azkarragoa da dagoeneko baimenduta duen produktu bat erabiltzea saltzaile berri batekin baimen-prozesua hastea baino.

Beraz, FedRAMP merkatuan zerrendatzeak askoz litekeena da negozio gehigarriak lortzeko. gobernu-agentziak. Baina zure profila ere hobetu dezake sektore pribatuan.

FedRAMP merkatua publikoarentzat ikusgai dagoelako da hori. Sektore pribatuko edozein konpainiak FedRAMP baimendutako soluzioen zerrendara joan daiteke.

Baliabide bikaina da hodeiko produktu edo zerbitzu seguru bat bilatu nahi duenean.

FedRAMP baimenak edozein bezero bihur dezake. konfiantza gehiago segurtasun-protokoloei buruz. Segurtasun estandar gorenak betetzeko etengabeko konpromisoa adierazten du.

FedRAMP baimenak zure segurtasun-sinesgarritasuna nabarmen areagotzen du.FedRAMP Marketplace-tik haratago ere. Zure FedRAMP baimena sare sozialetan eta zure webgunean parteka dezakezu.

Egia da zure bezero gehienek ziurrenik ez dakitela zer den FedRAMP. Berdin zaie baimenduta zauden ala ez. Baina FedRAMP ulertzen duten bezero handi horientzat –sektore publikoan zein pribatuan– baimenik eza akordio-hauste bat izan daiteke.

Zer behar da FedRAMP ziurtagiria izateko?

Hor dago. FedRAMP baimendua izateko bi modu desberdin dira.

1. Joint Authorization Board (JAB) Funtzionatzeko behin-behineko agintaritza

Prozesu honetan, JABk behin-behineko baimena ematen du. Horri esker, agentziei arriskua berrikusi dela jakinarazten zaie.

Lehen onespen garrantzitsua da. Baina zerbitzua erabili nahi duen edozein agentziek funtzionatzeko bere baimena eman behar dute oraindik.

Prozesu hau arrisku handia edo moderatua duten hodeiko zerbitzu hornitzaileentzat da egokiena. (Hurrengo atalean arrisku-mailetan murgilduko gara.)

Hona hemen JAB prozesuaren ikuspegi orokor bat:

Iturria: FedRAMP

2. Funtzionatzeko Agentziaren Agintaritza

Prozesu honetan, hodeiko zerbitzuen hornitzaileak harreman bat ezartzen du agentzia federal zehatz batekin. Agentzia horrek prozesu osoan parte hartzen du. Prozesua arrakastatsua bada, agentziak Funtzionatzeko Agintaritzaren gutuna igortzen du.

Iturria: FedRAMP

FedRAMP baimena lortzeko urratsak

Esan nahi duzun baimen mota edozein dela ere, FedRAMP baimenak lau urrats nagusi ditu:

  1. Paketeen garapena. Lehenik eta behin, baimenaren hasierako bilera bat dago. Ondoren, hornitzaileak Sistemaren Segurtasun Plana osatzen du. Ondoren, FedRAMP-ek onartutako hirugarrenen ebaluazio-erakunde batek Segurtasuna Ebaluatzeko Plan bat garatzen du.
  2. Ebaluazioa. Ebaluazio-erakundeak Segurtasunaren Ebaluazio-txostena bidaltzen du. Hornitzaileak Ekintza Plana & Mugarriak.
  3. Baimena. JAB edo erakunde baimentzaileak erabakitzen du deskribatutako arriskua onargarria den ala ez. Baiezkoa bada, Funtzionatzeko Agintaritzaren gutun bat aurkezten diote FedRAMP proiektuaren kudeaketa bulegoari. Ondoren, hornitzailea FedRAMP Marketplace-n zerrendatzen da.
  4. Segimendua. Hornitzaileak hilero bidaltzen dizkio segurtasun-monitorizazio-zerbitzuak zerbitzua erabiltzen duen agentzia bakoitzari.

FedRAMP baimena onena. praktikak

FedRAMP baimena lortzeko prozesua gogorra izan daiteke. Baina parte hartzen duten guztien onerako da hodeiko zerbitzu-hornitzaileek baimentze-prozesua hasten dutenean arrakasta izatea.

Laguntzeko, FedRAMP-ek hainbat enpresa txiki eta startup elkarrizketatu zituen baimena garaian ikasitako ikasgaiei buruz. Hona hemen baimen-prozesuan arrakastaz nabigatzeko dituzten zazpi aholku onenak:

  1. Ulertu nola zureproduktuen mapak FedRAMP-era (hutsuneen analisia barne).
  2. Lortu antolakuntzaren onarpena eta konpromisoa (talde exekutibotik eta talde teknikoetatik barne).
  3. Bilatu agentziako bazkide bat, zure produktua erabiltzen ari dena. edo horretarako konpromisoa hartu du.
  4. Eman denbora zure muga zehaztasunez definitzen. Horrek barne hartzen ditu:
    • barne osagaiak
    • kanpoko zerbitzuetarako konexioak eta
    • informazio eta metadatuen fluxua.
  5. Pentsa FedRAMP etengabeko programa gisa, hasiera eta amaiera data duen proiektu bat baino. Zerbitzuak etengabe kontrolatu behar dira.
  6. Kontuan izan arretaz zure baimenaren ikuspegia. Produktu anitzek hainbat baimen eska ditzakete.
  7. FedRAMP PMO baliabide baliotsua da. Galdera teknikoak erantzun ditzakete eta zure estrategia planifikatzen lagunduko dizute.

    FedRAMPek txantiloiak eskaintzen ditu hodeiko zerbitzu-hornitzaileak FedRAMP betetzeko prestatzen laguntzeko.

    Zeintzuk dira kategoriak. FedRAMP-ek betetzen duen?

    FedRAMPek lau inpaktu maila eskaintzen ditu arrisku mota desberdinak dituzten zerbitzuetarako. Segurtasun-hauste batek hiru eremu ezberdinetan izan ditzakeen eraginetan oinarritzen dira.

    • Konfidentzialtasuna: Pribatutasunerako eta jabetzako informazioaren babesak.
    • Osotasuna: Informazioa aldatzearen edo suntsitzearen aurkako babesak.
    • Eskuragarritasuna: Datuetarako sarbide puntuala eta fidagarria.

    Lehenengo hirurak.inpaktu-mailak Federal Information Processing Standard (FIPS) 199 National Institute of Standards and Technology (NIST) oinarrituta daude. Laugarrena NIST 800-37 Argitalpen Berezian oinarritzen da. Inpaktu-mailak hauek dira:

    • Altuak, 421 kontroletan oinarrituta. "Konfidentzialtasunaren, osotasunaren edo erabilgarritasunaren galerak antolakuntzan eragin kaltegarri larria edo katastrofikoa izatea espero liteke. eragiketak, antolakuntza-aktiboak edo pertsonak». Hau legea betearazteko, larrialdi-zerbitzuei, finantza- eta osasun-sistemetan aplikatzen da.
    • Modertua, 325 kontroletan oinarrituta. "Konfidentzialtasuna, osotasuna edo erabilgarritasuna galtzeak espero liteke. eragin kaltegarri larria antolakuntza-eragiketetan, antolakuntza-aktiboetan edo pertsonengan”. Onartutako FedRAMP aplikazioen ia 80 inpaktu moderatuan daude.
    • Baxua, 125 kontroletan oinarrituta. "Konfidentzialtasunaren, osotasunaren edo erabilgarritasunaren galerak muga mugatua izatea espero liteke. antolakuntza-eragiketetan, antolakuntza-aktiboetan edo pertsonengan eragin kaltegarria.”
    • Inpaktu txikiko Software-as-a-Service (LI-SaaS), 36 kontroletan oinarrituta . "Lankidetza tresnak, proiektuak kudeatzeko aplikazioak eta kode irekia garatzen laguntzen duten tresnetarako arrisku txikia duten sistemei dagokienez". Kategoria hau FedRAMP Tailored bezala ere ezagutzen da.

    Azken kategoria hau 2017an gehitu zen.agentziek "arrisku baxuko erabilera kasuak" onartzea errazteko. FedRAMP Tailored izateko, hornitzaileak sei galderari baietz erantzun behar die. Hauek FedRAMP Tailored politiken orrian argitaratzen dira:

    • Zerbitzuak hodeiko ingurune batean funtzionatzen du?
    • Hodeiko zerbitzua guztiz funtzionatzen al da?
    • Hodeia al dago? Zerbitzu-zerbitzu gisa (SaaS) zerbitzua eman, NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Hodeiko zerbitzuak ez du pertsonalki identifikatzeko informaziorik (PII), eskaintzeko behar den moduan izan ezik. Saioa hasteko gaitasuna (erabiltzaile-izena, pasahitza eta helbide elektronikoa)?
    • Hodeiko zerbitzuak segurtasun-eragin baxua du, FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems-ek definitzen duen moduan?
    • Hodeiko zerbitzua FedRAMP-ek baimendutako Plataforma Zerbitzu gisa (PaaS) edo Zerbitzu gisa Azpiegitura (IaaS) batean dago ostatatuta, edo CSP-k hornitzen al du hodeiko azpiegitura azpian?

    Kontuan izan FedRAMP betetzea lortzea ez dela zeregin bakarra. Gogoratzen al duzu FedRAMP baimenaren Jarraipen fasea? Horrek esan nahi du segurtasun-ikuskaritza erregularrak bidali beharko dituzula egon FedRAMP betetzen duzula ziurtatzeko.

    Hobaria: Irakurri urratsez urrats sare sozialetako estrategia-gida zure sare sozialen presentzia hazteko aholku profesionalekin.

    Eskuratu doako gida oraintxe bertan!

    FedRAMP ziurtatutako adibideakproduktuak

    FedRAMP baimendutako produktu eta zerbitzu mota asko daude. Hona hemen ezagutzen dituzun eta zuk zeuk erabiltzen dituzun hodeiko zerbitzu hornitzaileen adibide batzuk.

    Amazon Web Services

    FedRAMP Marketplace-n AWS bi zerrenda daude. AWS GovCloud maila altuan baimenduta dago. AWS US East/West maila ertainean baimenduta dago.

    Entzun al duzu? AWS GovCloud (AEB) bezeroek #AmazonEFS erabil dezakete misio kritikoko fitxategien lan-kargak egiteko FedRAMP High baimena duela gutxi lortu dutelako. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 2019ko urriaren 18a

    AWS GovCloud-ek 292 baimen izugarri ditu. AWS US East/West 250 baimen ditu. Hori FedRAMP Marketplace-ko beste edozein zerrenda baino askoz gehiago da.

    Adobe Analytics

    Adobe Analytics 2019an baimendu zen. Gaixotasunen Kontrolerako eta Prebentziorako Zentroek eta Osasun eta Osasun Sailak erabiltzen dute. Giza Zerbitzuak. LI-SaaS mailan baimenduta dago.

    Adobe-k, egia esan, hainbat produktu ditu LI-SaaS mailan baimenduta. (Adobe Campaign eta Adobe Document Cloud bezala). Maila ertainean baimendutako pare bat produktu ere badituzte:

    • Adobe Connect Managed Services
    • Adobe Experience Manager Managed Services.

    Adobe FedRAMP Tailored baimenetik FedRAMP Moderate izatera pasatzeko prozesuan dago.

    Aurreko mezua 2023an zure markarako sare sozialen estilo gida ezin hobea
    Hurrengo mezua 8 Aholku akatsik gabeko Instagram hartzeko

    Kimberly Parker marketin digitaleko profesional ondua da, 10 urte baino gehiagoko esperientzia du industrian. Bere sare sozialetako marketin agentziaren sortzaile gisa, hainbat industriatako negozio ugariri lagundu die sareko presentzia ezartzen eta hazten, sare sozialetako estrategia eraginkorren bidez. Kimberly idazle oparoa ere bada, sare sozialei eta marketin digitalari buruzko artikuluak lagundu baititu hainbat argitalpen ospetsutan. Bere denbora librean, sukaldean errezeta berriekin esperimentatzea eta txakurrarekin ibilaldi luzeak egitea gustatzen zaio.