FedRAMP-sertifiointi: mitä se on, miksi sillä on merkitystä ja kenellä on se?

Kimberly Parker

29-05-2023 Strategia
  • Jaa Tämä
Kimberly Parker

Julkkisten hakkeroidut kamerarullat, valtiollinen tietoverkkovakoilu ja kaikki siltä väliltä. Tietoturvalla on valtavasti erilaisia sovelluksia, ja se on suuri huolenaihe kaikille, jotka käyttävät tai toimittavat pilvipalveluja.

Kun kyse on valtionhallinnon tiedoista, nämä huolenaiheet voivat yltää kansallisen turvallisuuden tasolle. Siksi Yhdysvaltain hallitus edellyttää, että kaikkien liittovaltion virastojen käyttämien pilvipalvelujen on täytettävä tarkat turvallisuusstandardit, jotka tunnetaan nimellä FedRAMP.

Mikä FedRAMP on ja mitä se pitää sisällään? Olet oikeassa paikassa saadaksesi lisätietoja.

Bonus: Lue vaiheittainen sosiaalisen median strategiaopas, jossa on ammattilaisten vinkkejä sosiaalisen median läsnäolon kasvattamiseen.

Mikä on FedRAMP?

FedRAMP on lyhenne sanoista "Federal Risk and Authorization Management Program." Se standardoi Yhdysvaltojen liittovaltion virastojen käyttämien pilvituotteiden ja -palveluiden turvallisuusarvioinnin ja -valtuutuksen.

Tavoitteena on varmistaa, että liittovaltion tiedot ovat pilvipalvelussa jatkuvasti korkeatasoisesti suojattuja.

FedRAMP-sertifioinnin saaminen on vakava asia. Vaadittu turvallisuustaso on lakisääteinen. Sovellettavia lakeja ja asetuksia on 14, ja lisäksi on 19 standardia ja ohjeasiakirjaa. Kyseessä on yksi maailman tiukimmista ohjelmisto-ohjelmistopalvelusertifioinneista.

Tässä lyhyt esittely:

FedRAMP on ollut käytössä vuodesta 2012 lähtien, jolloin pilviteknologiat alkoivat todella korvata vanhentuneita sidottuja ohjelmistoratkaisuja. Se syntyi Yhdysvaltain hallituksen "Cloud First" -strategian pohjalta. Kyseinen strategia edellytti, että virastojen on ensisijaisesti harkittava pilvipohjaisia ratkaisuja.

Ennen FedRAMPia pilvipalvelujen tarjoajien oli laadittava lupapaketti jokaiselle virastolle, jonka kanssa ne halusivat tehdä yhteistyötä. Vaatimukset eivät olleet johdonmukaisia, ja sekä palveluntarjoajien että virastojen oli tehtävä paljon päällekkäistä työtä.

FedRAMP-järjestelmä toi johdonmukaisuutta ja virtaviivaisti prosessia.

Nyt arvioinnit ja vaatimukset ovat standardoituja. Useat valtionhallinnon virastot voivat käyttää uudelleen palveluntarjoajan FedRAMP-valtuutuksen turvapakettia.

FedRAMPin käyttöönotto oli aluksi hidasta. Neljän ensimmäisen vuoden aikana hyväksyttiin vain 20 pilvipalvelutarjontaa. Vuodesta 2018 lähtien tahti on kuitenkin kiihtynyt, ja nyt FedRAMPin hyväksymiä pilvituotteita on 204.

Lähde: FedRAMP

FedRAMPia valvoo yhteinen valtuutuslautakunta (Joint Authorization Board, JAB), joka koostuu seuraavien tahojen edustajista:

  • sisäisen turvallisuuden ministeriö
  • General Services Administration, ja
  • puolustusministeriö.

Ohjelman on hyväksynyt Yhdysvaltain hallituksen Federal Chief Information Officers Council.

Miksi FedRAMP-sertifiointi on tärkeää?

Kaikki pilvipalvelut, joissa säilytetään liittovaltion tietoja, edellyttävät FedRAMP-lupaa. Jos siis haluat työskennellä liittovaltion viranomaisten kanssa, FedRAMP-lupa on tärkeä osa turvallisuussuunnitelmaasi.

FedRAMP on tärkeä, koska sillä varmistetaan johdonmukaisuus hallituksen pilvipalveluiden tietoturvassa - ja koska sillä varmistetaan johdonmukaisuus tietoturvan arvioinnissa ja seurannassa. Se tarjoaa yhtenäiset standardit kaikille hallituksen virastoille ja pilvipalvelujen tarjoajille.

FedRAMP-valtuutuksen saaneet pilvipalveluntarjoajat on lueteltu FedRAMP Marketplace -markkinapaikalla. Tämä markkinapaikka on ensimmäinen paikka, johon valtionhallinnon virastot katsovat, kun ne haluavat hankkia uuden pilvipohjaisen ratkaisun. Viraston on paljon helpompaa ja nopeampaa käyttää tuotetta, joka on jo valtuutettu, kuin aloittaa valtuutusprosessi uuden toimittajan kanssa.

FedRAMP-markkinapaikan listaus lisää siis todennäköisyyttäsi saada lisätoimeksiantoja valtion virastoilta, mutta se voi myös parantaa profiiliasi yksityisellä sektorilla.

Tämä johtuu siitä, että FedRAMP-markkinapaikka on yleisön nähtävillä. Kuka tahansa yksityisen sektorin yritys voi selata FedRAMP-valtuutettujen ratkaisujen luetteloa.

Se on loistava resurssi, kun he etsivät turvallista pilvituotetta tai -palvelua.

FedRAMP-valtuutus voi lisätä asiakkaan luottamusta turvallisuusprotokolliin, sillä se on jatkuva sitoumus korkeimpien turvallisuusstandardien noudattamiseen.

FedRAMP-valtuutus lisää merkittävästi uskottavuuttasi myös FedRAMP Marketplacen ulkopuolella. Voit jakaa FedRAMP-valtuutuksesi sosiaalisessa mediassa ja verkkosivustollasi.

Totuus on, että suurin osa asiakkaistasi ei luultavasti tiedä, mikä FedRAMP on. He eivät välitä siitä, onko sinulla valtuutus vai ei. Mutta niille suurille asiakkaille, jotka ymmärtävät FedRAMPin - sekä julkisella että yksityisellä sektorilla - valtuutuksen puute voi olla ratkaiseva tekijä.

Mitä FedRAMP-sertifioinnin saaminen edellyttää?

FedRAMP-valtuutuksen voi saada kahdella eri tavalla.

1. Yhteinen valtuutuslautakunta (JAB) Väliaikainen toimintakelpoisuus.

Tässä prosessissa tekninen lautakunta antaa väliaikaisen luvan, jolloin virastot tietävät, että riski on tarkistettu.

Se on tärkeä ensimmäinen hyväksyntä, mutta jokaisen viraston, joka haluaa käyttää palvelua, on vielä myönnettävä oma toimilupansa.

Tämä prosessi soveltuu parhaiten pilvipalvelujen tarjoajille, joiden riski on korkea tai kohtalainen (syvennymme riskitasoihin seuraavassa osiossa).

Tässä on visuaalinen yleiskatsaus JAB-prosessiin:

Lähde: FedRAMP

2. Viraston toimintavaltuudet

Tässä prosessissa pilvipalvelujen tarjoaja luo suhteen tiettyyn liittovaltion virastoon. Kyseinen virasto on mukana koko prosessin ajan. Jos prosessi on onnistunut, virasto antaa toimintavaltuutuksen (Authority to Operate).

Lähde: FedRAMP

FedRAMP-valtuutuksen vaiheet

Riippumatta siitä, minkä tyyppistä valtuutusta käytät, FedRAMP-valtuutukseen kuuluu neljä päävaihetta:

  1. Pakettien kehittäminen. Ensin järjestetään valtuutuksen aloituskokous. Sitten palveluntarjoaja täyttää järjestelmän turvallisuussuunnitelman. Seuraavaksi FedRAMPin hyväksymä kolmannen osapuolen arviointiorganisaatio laatii turvallisuuden arviointisuunnitelman.
  2. Arviointi. Arviointiorganisaatio toimittaa turvallisuusarviointiraportin. Palveluntarjoaja laatii toimintasuunnitelman & välitavoitteet.
  3. Valtuutus. JAB tai valtuuttava virasto päättää, onko kuvattu riski hyväksyttävissä. Jos vastaus on myönteinen, se toimittaa valtuutuskirjeen FedRAMP-hankkeen hallinnointitoimistolle. Tämän jälkeen palveluntarjoaja sisällytetään FedRAMP Marketplaceen.
  4. Seuranta. Palveluntarjoaja lähettää kuukausittain turvallisuusseurannan tulokset jokaiselle palvelua käyttävälle virastolle.

FedRAMP-valtuutuksen parhaat käytännöt

FedRAMP-valtuutuksen saaminen voi olla vaikea prosessi, mutta on kaikkien osapuolten edun mukaista, että pilvipalvelujen tarjoajat onnistuvat valtuutusprosessin käynnistämisen jälkeen.

FedRAMP haastatteli useita pienyrityksiä ja start-up-yrityksiä lupamenettelyn aikana saaduista kokemuksista. Tässä on heidän seitsemän parasta vinkkiään lupamenettelyn läpiviemiseen:

  1. Ymmärrä, miten tuotteesi vastaa FedRAMPin vaatimuksia - mukaan lukien puuteanalyysi.
  2. Hanki organisaation hyväksyntä ja sitoutuminen - myös johtoryhmältä ja teknisiltä tiimeiltä.
  3. Etsi yhteistyökumppani - sellainen, joka käyttää tuotteitasi tai on sitoutunut käyttämään niitä.
  4. Vietä aikaa määrittelemällä rajojasi tarkasti. Tämä sisältää:
    • sisäiset komponentit
    • yhteydet ulkoisiin palveluihin ja
    • tietojen ja metatietojen kulku.
  5. Ajattele FedRAMPia pikemminkin jatkuvana ohjelmana kuin pelkkänä projektina, jolla on alku- ja loppupäivä. Palveluja on seurattava jatkuvasti.
  6. Harkitse tarkkaan lupamenettelyäsi. Useat tuotteet saattavat vaatia useita lupia.
  7. FedRAMP PMO on arvokas resurssi, joka voi vastata teknisiin kysymyksiin ja auttaa sinua strategian suunnittelussa.

    FedRAMP tarjoaa malleja, joiden avulla pilvipalvelujen tarjoajat voivat valmistautua FedRAMP-vaatimustenmukaisuuteen.

    Mitkä ovat FedRAMP-vaatimustenmukaisuuden luokat?

    FedRAMP tarjoaa neljä vaikutustasoa palveluille, joihin liittyy erilaisia riskejä. Ne perustuvat tietoturvaloukkauksen mahdollisiin vaikutuksiin kolmella eri alueella.

    • Luottamuksellisuus: Yksityisyyden ja omistusoikeuden alaisten tietojen suojaaminen.
    • Rehellisyys: Suojaus tietojen muuttamista tai tuhoamista vastaan.
    • Saatavuus: Oikea-aikainen ja luotettava pääsy tietoihin.

    Kolme ensimmäistä vaikutustasoa perustuvat National Institute of Standards and Technologyn (NIST) Federal Information Processing Standard (FIPS) 199:een. Neljäs perustuu NIST Special Publication 800-37:ään. Vaikutustasot ovat seuraavat:

    • Korkea, perustuu 421 tarkastukseen. "Luottamuksellisuuden, eheyden tai käytettävyyden menetyksellä voidaan odottaa olevan vakava tai katastrofaalinen haitallinen vaikutus organisaation toimintaan, organisaation omaisuuteen tai yksilöihin." Tämä koskee yleensä lainvalvonta-, hätäpalvelu-, rahoitus- ja terveydenhuoltojärjestelmiä.
    • Kohtalainen, perustuu 325 tarkastukseen. "Luottamuksellisuuden, eheyden tai käytettävyyden menetyksellä voidaan odottaa olevan vakavia haitallisia vaikutuksia organisaation toimintaan, organisaation omaisuuteen tai yksilöihin." Lähes 80 prosenttia hyväksytyistä FedRAMP-sovelluksista on kohtalaisen vaikutuksen tasolla.
    • Alhainen, perustuu 125 tarkastukseen. "Luottamuksellisuuden, eheyden tai käytettävyyden menetyksellä voidaan odottaa olevan rajoitettu haitallinen vaikutus organisaation toimintaan, organisaation omaisuuteen tai yksilöihin."
    • Vähävaikutteinen Software-as-a-Service (LI-SaaS), joka perustuu 36 valvontaan. "Järjestelmille, joihin liittyy alhainen riski, kuten yhteistyövälineille, projektinhallintasovelluksille ja avoimen lähdekoodin kehittämistä tukeville työkaluille." Tämä luokka tunnetaan myös nimellä FedRAMP Tailored.

    Viimeinen luokka lisättiin vuonna 2017, jotta virastojen olisi helpompi hyväksyä "matalan riskin käyttötapauksia". FedRAMP Tailored -luokkaan pääsemiseksi palveluntarjoajan on vastattava myöntävästi kuuteen kysymykseen, jotka on julkaistu FedRAMP Tailored -käytännön sivulla:

    • Toimiiko palvelu pilviympäristössä?
    • Onko pilvipalvelu täysin toimiva?
    • Onko pilvipalvelu NIST SP 800-145, The NIST Definition of Cloud Computing, määritelmän mukainen Software as a Service (SaaS)?
    • Pilvipalvelu ei sisällä henkilökohtaisesti tunnistettavia tietoja (PII), lukuun ottamatta niitä, joita tarvitaan kirjautumismahdollisuuden tarjoamiseen (käyttäjätunnus, salasana ja sähköpostiosoite)?
    • Onko pilvipalvelu FIPS PUB 199:n (Standards for Security Categorization of Federal Information and Information Systems) määrittelemä vähäinen turvallisuusvaikutus?
    • Onko pilvipalvelu isännöity FedRAMPin hyväksymässä Platform as a Service (PaaS) tai Infrastructure as a Service (IaaS) -palvelussa, vai tarjoaako CSP taustalla olevan pilvi-infrastruktuurin?

    Muista, että FedRAMP-vaatimustenmukaisuuden saavuttaminen ei ole kertaluonteinen tehtävä. Muistatko FedRAMP-valtuutuksen seurantavaiheen? Se tarkoittaa, että sinun on toimitettava säännöllisesti tietoturvatarkastuksia varmistaaksesi, että olet pysy FedRAMP-yhteensopiva.

    Bonus: Lue vaiheittainen sosiaalisen median strategiaopas, jossa on ammattilaisten vinkkejä sosiaalisen median läsnäolon kasvattamiseen.

    Hanki ilmainen opas heti!

    Esimerkkejä FedRAMP-sertifioiduista tuotteista

    FedRAMP-valtuutettuja tuotteita ja palveluja on monenlaisia. Tässä on muutamia esimerkkejä pilvipalveluntarjoajilta, jotka tunnet ja joita saatat jo käyttää itse.

    Amazon Web Services

    FedRAMP Marketplace -markkinapaikalla on kaksi AWS-luetteloa: AWS GovCloud on hyväksytty korkealla tasolla ja AWS US East/West on hyväksytty kohtalaisella tasolla.

    Kuulitko? AWS GovCloud (US) -asiakkaat voivat käyttää #AmazonEFS:ää tehtäväkriittisiin tiedostojen työtehtäviin FedRAMP High -valtuutuksen ansiosta. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) lokakuu 18, 2019

    AWS GovCloudilla on 292 valtuutusta ja AWS US East/Westillä 250. Tämä on paljon enemmän kuin millään muulla FedRAMP Marketplacen listalla.

    Adobe Analytics

    Adobe Analytics hyväksyttiin vuonna 2019. Sitä käyttävät Centers for Disease Control and Prevention ja Department of Health and Human Services. Se on hyväksytty LI-SaaS-tasolla.

    Adobella on itse asiassa useita LI-SaaS-tasolla hyväksyttyjä tuotteita (kuten Adobe Campaign ja Adobe Document Cloud). Heillä on myös muutama tuote, jotka on hyväksytty kohtalaisella tasolla:

    • Adobe Connectin hallinnoidut palvelut
    • Adobe Experience Managerin hallinnoidut palvelut.

    Adobe on parhaillaan siirtymässä FedRAMP Tailored -valtuutuksesta FedRAMP Moderate -valtuutukseen Adobe Signin osalta.

    Lue lisää siitä, miten @Adobe Sign pyrkii siirtymään FedRAMP Tailored -standardista FedRAMP Moderate -standardiin täällä: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) elokuu 12, 2020

    Muista, että valtuutuksen saa palvelu, ei palveluntarjoaja. Kuten Adobe, saatat joutua hakemaan useita valtuutuksia, jos tarjoat useampaa kuin yhtä pilvipohjaista ratkaisua.

    Slack

    Tämän vuoden toukokuussa hyväksytyllä Slackilla on 21 FedRAMP-valtuutusta. Tuote on hyväksytty kohtalaisella tasolla. Sitä käyttävät muun muassa seuraavat virastot:

    • Centers for Disease Control and Protection,
    • Federal Communications Commission ja
    • National Science Foundation.

    Yhdysvaltain julkinen sektori voi nyt tehdä enemmän töitä Slackissa uuden FedRAMP Moderate -valtuutuksemme ansiosta. Ja täyttämällä nämä tiukat turvallisuusvaatimukset pidämme asiat turvassa myös kaikille muille Slackia käyttäville yrityksille. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) elokuu 13, 2020

    Slack sai alun perin FedRAMP Tailored -valtuutuksen, minkä jälkeen se haki maltillista valtuutusta tekemällä yhteistyötä veteraaniasioiden ministeriön kanssa.

    Slack kiinnittää verkkosivustollaan huomiota tämän valtuutuksen turvallisuusetuihin yksityisen sektorin asiakkaille:

    "Tämä viimeisin valtuutus merkitsee turvallisempaa kokemusta Slackin asiakkaille, mukaan lukien yksityisen sektorin yritykset, jotka eivät tarvitse FedRAMP-hyväksyttyä ympäristöä. Kaikki asiakkaat, jotka käyttävät Slackin kaupallisia tarjouksia, voivat hyötyä FedRAMP-sertifioinnin edellyttämistä tiukemmista turvatoimista."

    Trello Enterprise Cloud

    Trellolle myönnettiin Li-SaaS-valtuutus vasta syyskuussa. Trello on toistaiseksi vain General Services Administrationin käytössä. Yhtiö pyrkii kuitenkin muuttamaan tämän, kuten sen sosiaalisista viesteistä uudesta FedRAMP-statuksesta käy ilmi:

    🏛️Trellon FedRAMP-valtuutuksen ansiosta virastosi voi nyt käyttää Trelloa tuottavuuden lisäämiseen, tiimisiilojen purkamiseen ja yhteistyön edistämiseen. //t.co/GWYgaj9jfY

    - Trello (@trello) lokakuu 12, 2020

    Zendesk

    Toukokuussa hyväksyttiin myös, että Zendeskiä käyttävät:

    • energiaministeriö,
    • Federal Housing Finance Agency
    • FHFA:n rahoitustarkastustoimisto, ja
    • General Services Administration.

    Zendeskin asiakastuki- ja help desk -alustalla on Li-Saas-valtuutus.

    Tästä päivästä lähtien voimme helpottaa valtion virastojen yhteistyötä kanssamme, sillä @Zendesk on nyt FedRAMP-valtuutettu. Suuret kiitokset kaikille tiimeille Zendeskin sisällä ja sen ulkopuolella tämän eteen tehdystä työstä. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) May 22, 2020

    FedRAMP sosiaalisen median hallintaa varten

    SMMExpertillä on FedRAMP-hyväksyntä. Valtion virastot voivat nyt helposti työskennellä sosiaalisen median hallinnan maailmanlaajuisen johtajan kanssa kansalaisten kanssa, hallita kriisiviestintää ja tarjota palveluja ja tietoa sosiaalisen median kautta.

    Pyydä demo

    Edellinen viesti Täydellinen sosiaalisen median tyyliopas brändillesi vuonna 2023
    Seuraava postaus 8 vinkkiä virheettömään Instagram Takeoveriin

    Kimberly Parker on kokenut digitaalisen markkinoinnin ammattilainen, jolla on yli 10 vuoden kokemus alalta. Oman sosiaalisen median markkinointitoimistonsa perustajana hän on auttanut lukuisia yrityksiä eri toimialoilla luomaan ja kasvattamaan online-läsnäoloaan tehokkaiden sosiaalisen median strategioiden avulla. Kimberly on myös tuottelias kirjoittaja, ja hän on kirjoittanut sosiaalista mediaa ja digitaalista markkinointia koskeviin artikkeleihin useisiin maineikkaisiin julkaisuihin. Vapaa-ajallaan hän tykkää kokeilla uusia reseptejä keittiössä ja käydä pitkillä lenkillä koiransa kanssa.