FedRAMP certifikat: što je to, zašto je važan i tko ga ima

Kimberly Parker

29-05-2023 Strategija
  • Podijeli Ovo
Kimberly Parker

Hakirani snimci fotoaparata slavnih. Državna kibernetička špijunaža. I sve između. Sigurnost podataka ima veliki raspon primjena. I to je glavna briga za sve koji koriste ili isporučuju usluge temeljene na oblaku.

Kada su uključeni državni podaci, te brige mogu doseći razinu nacionalne sigurnosti. Zato američka vlada zahtijeva da sve usluge u oblaku koje koriste savezne agencije ispunjavaju precizan skup sigurnosnih standarda poznatih kao FedRAMP.

Dakle, što je FedRAMP i što on podrazumijeva? Na pravom ste mjestu da saznate.

Bonus: Pročitajte vodič za strategiju društvenih medija korak po korak sa savjetima stručnjaka o tome kako povećati svoju prisutnost na društvenim medijima.

Što je FedRAMP?

FedRAMP je kratica za "Federalni program upravljanja rizikom i autorizacijom". Standardizira sigurnosnu procjenu i autorizaciju za proizvode i usluge u oblaku koje koriste savezne agencije SAD-a.

Cilj je osigurati da su federalni podaci dosljedno zaštićeni na visokoj razini u oblaku.

Dobijanje FedRAMP-a autorizacija je ozbiljan posao. Potrebna razina sigurnosti određena je zakonom. Postoji 14 primjenjivih zakona i propisa, zajedno s 19 standarda i dokumenata sa smjernicama. To je jedan od najstrožih certifikata softvera kao usluge na svijetu.

Evo kratkog uvoda:

FedRAMP postoji od 2012. Tada su tehnologije u oblaku stvarnoautorizacija za Adobe Sign.

Ovdje saznajte više o tome kako @Adobe Sign radi na prelasku s FedRAMP Tailored na FedRAMP Moderate: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12. kolovoza 2020.

Zapamtite da je usluga, a ne pružatelj usluge, taj koji dobiva autorizaciju. Kao i Adobe, možda ćete morati tražiti više autorizacija ako nudite više od jednog rješenja temeljenog na oblaku.

Slack

Odobren u svibnju ove godine, Slack ima 21 FedRAMP autorizaciju. Proizvod je odobren na umjerenoj razini. Koriste ga agencije uključujući:

  • Centre za kontrolu i zaštitu bolesti,
  • Saveznu komisiju za komunikacije i
  • Nacionalnu znanstvenu zakladu.

Američki javni sektor sada može obavljati veći dio svog posla u Slacku, zahvaljujući našem novom odobrenju FedRAMP Moderate. I ispunjavajući te stroge sigurnosne zahtjeve, održavamo stvari sigurnima i za svaku drugu tvrtku koja koristi Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13. kolovoza 2020.

Slack je izvorno dobio autorizaciju FedRAMP Tailored. Zatim su proveli umjerenu autorizaciju u partnerstvu s Odjelom za pitanja veterana.

Slack skreće pozornost na sigurnosne prednosti ove autorizacije za klijente iz privatnog sektora na svojoj web stranici:

“Ovo najnovija autorizacija znači sigurnije iskustvo zaSlack korisnici, uključujući tvrtke iz privatnog sektora kojima nije potrebno FedRAMP-ovlašteno okruženje. Svi korisnici koji koriste Slackove komercijalne ponude mogu imati koristi od pojačanih sigurnosnih mjera potrebnih za postizanje FedRAMP certifikata.”

Trello Enterprise Cloud

Trello je upravo dobio Li-SaaS autorizaciju u rujnu. Trello za sada koristi samo General Services Administration. No tvrtka to želi promijeniti, kao što se vidi u njihovim objavama na društvenim mrežama o njihovom novom FedRAMP statusu:

🏛️Uz FedRAMP odobrenje tvrtke Trello, vaša agencija sada može koristiti Trello za povećanje produktivnosti, razbijanje timskih silosa i poticanje suradnja. //t.co/GWYgaj9jfY

— Trello (@trello) 12. listopada 2020.

Zendesk

Također ovlašten u svibnju, Zendesk koriste:

  • Ministarstvo energetike,
  • Savezna agencija za stambeno financiranje
  • FHFA Ured glavnog inspektora i
  • Uprava za opće usluge.

Zendesk korisnička podrška i platforma Help Desk ima Li-Saas ovlaštenje.

Od danas možemo znatno olakšati vladinim agencijama rad s nama jer je @Zendesk sada ovlašten za FedRAMP. Veliko hvala svim timovima unutar i izvan Zendeska na trudu koji su uložili u ovo. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22. svibnja 2020.

FedRAMP za upravljanje društvenim medijima

SMMExpert je FedRAMPovlašteni. Državne agencije sada mogu jednostavno surađivati ​​s globalnim liderom u upravljanju društvenim medijima kako bi se uključile u kontakt s građanima, upravljale kriznim komunikacijama i pružale usluge i informacije putem društvenih medija.

Zatražite demonstraciju

počeo zamjenjivati ​​zastarjela tethered softverska rješenja. Rođen je iz strategije američke vlade "prvo oblak". Ta je strategija zahtijevala od agencija da gledaju na rješenja temeljena na oblaku kao na prvi izbor.

Prije FedRAMP-a, pružatelji usluga u oblaku morali su pripremiti paket autorizacije za svaku agenciju s kojom su željeli raditi. Zahtjevi nisu bili dosljedni. I bilo je puno dvostrukih napora za pružatelje i agencije.

FedRAMP je uveo dosljednost i pojednostavio proces.

Sada su evaluacije i zahtjevi standardizirani. Više državnih agencija može ponovno koristiti FedRAMP sigurnosni paket za autorizaciju pružatelja usluga.

Početno usvajanje FedRAMP-a bilo je sporo. U prve četiri godine odobreno je samo 20 ponuda usluga u oblaku. Ali tempo se stvarno ubrzao od 2018. i sada postoje 204 FedRAMP ovlaštena proizvoda u oblaku.

Izvor: FedRAMP

FedRAMP kontrolira Zajednički autorizacijski odbor (JAB). Odbor se sastoji od predstavnika:

  • Ministarstva domovinske sigurnosti
  • Uprave za opće službe i
  • Ministarstva obrane.

Program je odobrilo Vijeće federalnih direktora za informiranje vlade SAD-a.

Zašto je FedRAMP certifikacija važna?

Sve usluge u oblaku koje drže savezne podatke zahtijevaju FedRAMP autorizaciju. Dakle, ako želite raditi ssavezne vlade, autorizacija FedRAMP-a važan je dio vašeg sigurnosnog plana.

FedRAMP je važan jer osigurava dosljednost u sigurnosti vladinih usluga u oblaku—i zato što osigurava dosljednost u procjeni i praćenju te sigurnosti. Pruža jedan skup standarda za sve vladine agencije i sve pružatelje usluga u oblaku.

Pružatelji usluga u oblaku koji su ovlašteni za FedRAMP navedeni su na FedRAMP tržištu. Ovo tržište prvo je mjesto na koje vladine agencije traže kada žele pronaći novo rješenje temeljeno na oblaku. Agenciji je puno lakše i brže koristiti proizvod koji je već ovlašten nego pokrenuti postupak autorizacije s novim dobavljačem.

Dakle, uvrštavanje na tržište FedRAMP povećava vjerojatnost da ćete dobiti dodatne poslove od vladine agencije. Ali također može poboljšati vaš profil u privatnom sektoru.

To je zato što je FedRAMP tržište vidljivo javnosti. Bilo koja tvrtka iz privatnog sektora može se pomicati kroz popis ovlaštenih rješenja za FedRAMP.

To je sjajan resurs kada žele nabaviti sigurni proizvod ili uslugu u oblaku.

FedRAMP autorizacija može učiniti svakog klijenta sigurniji u sigurnosne protokole. Predstavlja stalnu predanost ispunjavanju najviših sigurnosnih standarda.

FedRAMP autorizacija značajno povećava vaš sigurnosni kredibilitetizvan FedRAMP Marketplacea, također. Svoju FedRAMP autorizaciju možete podijeliti na društvenim medijima i na svojoj web stranici.

Istina je da većina vaših klijenata vjerojatno ne zna što je FedRAMP. Nije ih briga jeste li ovlašteni ili ne. Ali za one velike klijente koji razumiju FedRAMP – iu javnom i u privatnom sektoru – nedostatak autorizacije može biti problem.

Što je potrebno da biste dobili FedRAMP certifikat?

Postoji dva su različita načina da postanete ovlašteni za FedRAMP.

1. Zajedničko ovlaštenje (JAB) Privremeno tijelo za rad

U ovom procesu, JAB izdaje privremeno ovlaštenje. To agencijama daje do znanja da je rizik pregledan.

To je važno prvo odobrenje. Ali svaka agencija koja želi koristiti uslugu i dalje mora izdati vlastito ovlaštenje za rad.

Ovaj je postupak najprikladniji za pružatelje usluga u oblaku s visokim ili umjerenim rizikom. (U sljedećem ćemo odjeljku zaroniti u razine rizika.)

Ovo je vizualni pregled JAB procesa:

Izvor: FedRAMP

2. Ovlaštenje agencije za rad

U ovom procesu pružatelj usluga u oblaku uspostavlja odnos s određenom federalnom agencijom. Ta je agencija uključena u cijeli proces. Ako je proces uspješan, agencija izdaje pismo ovlaštenja za rad.

Izvor: FedRAMP

Koraci do FedRAMP autorizacije

Bez obzira koju vrstu autorizacije tražite, FedRAMP autorizacija uključuje četiri glavna koraka:

  1. Razvoj paketa. Prvo, tu je početni sastanak za autorizaciju. Zatim pružatelj dovršava plan sigurnosti sustava. Zatim, organizacija treće strane za procjenu koju je odobrio FedRAMP razvija plan sigurnosne procjene.
  2. Procjena. Organizacija za procjenu podnosi izvješće o sigurnosnoj procjeni. Pružatelj stvara plan akcije & Prekretnice.
  3. Autorizacija. JAB ili agencija za autorizaciju odlučuje je li rizik kako je opisan prihvatljiv. Ako da, šalju pismo ovlaštenja za rad FedRAMP uredu za upravljanje projektima. Pružatelj je tada naveden na FedRAMP Marketplaceu.
  4. Nadgledanje. Pružatelj šalje mjesečne rezultate praćenja sigurnosti svakoj agenciji koja koristi uslugu.

FedRAMP autorizacija najbolje prakse

Proces dobivanja FedRAMP autorizacije može biti težak. Ali u najboljem je interesu svih uključenih da pružatelji usluga u oblaku uspiju nakon što započnu postupak autorizacije.

Kako bi pomogao, FedRAMP je intervjuirao nekoliko malih poduzeća i novoosnovanih poduzeća o lekcijama naučenim tijekom autorizacije. Evo njihovih sedam najboljih savjeta za uspješno upravljanje postupkom autorizacije:

  1. Razumite kako vašpreslikava proizvoda u FedRAMP – uključujući analizu nedostataka.
  2. Ostvarite organizacijsku potporu i predanost – uključujući izvršni tim i tehničke timove.
  3. Pronađite partnera agencije – onu koja koristi vaš proizvod ili je predan tome.
  4. Provedite vrijeme točno definirajući svoje granice. To uključuje:
    • unutarnje komponente
    • veze s vanjskim uslugama i
    • protok informacija i metapodataka.
  5. Zamislite FedRAMP kao kontinuirani program, a ne samo projekt s datumom početka i završetka. Usluge se moraju kontinuirano nadzirati.
  6. Pažljivo razmotrite svoj pristup autorizaciji. Za više proizvoda može biti potrebno više autorizacija.
  7. FedRAMP PMO je vrijedan resurs. Oni mogu odgovoriti na tehnička pitanja i pomoći vam u planiranju vaše strategije.

    FedRAMP nudi predloške koji pomažu pružateljima usluga u oblaku da se pripreme za usklađenost s FedRAMP-om.

    Koje su kategorije usklađenosti s FedRAMP?

    FedRAMP nudi četiri razine utjecaja za usluge s različitim vrstama rizika. Temelje se na mogućim učincima proboja sigurnosti u tri različita područja.

    • Povjerljivost: Zaštita privatnosti i vlasničkih informacija.
    • Integritet: Zaštita od modifikacije ili uništenja informacija.
    • Dostupnost: Pravovremen i pouzdan pristup podacima.

    Prva trirazine utjecaja temelje se na Federalnom standardu obrade informacija (FIPS) 199 Nacionalnog instituta za standarde i tehnologiju (NIST). Četvrti se temelji na posebnoj publikaciji NIST-a 800-37. Razine utjecaja su:

    • Visoka, na temelju 421 kontrole. „Gubitak povjerljivosti, integriteta ili dostupnosti mogao bi imati ozbiljan ili katastrofalan negativan učinak na organizacijsku operacije, organizacijsku imovinu ili pojedince.” To se obično odnosi na provedbu zakona, hitne službe, financijske i zdravstvene sustave.
    • Umjereno, na temelju 325 kontrola. "Može se očekivati ​​gubitak povjerljivosti, integriteta ili dostupnosti ozbiljan negativan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.” Gotovo 80 posto odobrenih FedRAMP aplikacija na razini je umjerenog utjecaja.
    • Nisko, na temelju 125 kontrola. „Gubitak povjerljivosti, integriteta ili dostupnosti mogao bi imati ograničeni učinak negativan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.”
    • Softver-kao-usluga s niskim utjecajem (LI-SaaS), na temelju 36 kontrola . Za "sustave koji su niskog rizika za upotrebu kao što su alati za suradnju, aplikacije za upravljanje projektima i alati koji pomažu u razvoju koda otvorenog koda." Ova je kategorija također poznata kao FedRAMP Tailored.

    Ova zadnja kategorija dodana je 2017.kako bi agencijama olakšali odobravanje "slučajeva upotrebe niskog rizika". Da bi se kvalificirao za FedRAMP Tailored, pružatelj usluga mora potvrdno odgovoriti na šest pitanja. Oni su objavljeni na stranici pravila FedRAMP Tailored:

    • Radi li usluga u okruženju oblaka?
    • Je li usluga oblaka u potpunosti operativna?
    • Je li oblak usluga softver kao usluga (SaaS), kako je definirano u NIST SP 800-145, NIST definicija računalstva u oblaku?
    • Usluga u oblaku ne sadrži podatke koji otkrivaju identitet (PII), osim ako je potrebno za pružanje mogućnost prijave (korisničko ime, lozinka i adresa e-pošte)?
    • Je li usluga u oblaku slabog utjecaja na sigurnost, kako je definirano u FIPS PUB 199, Standardi za sigurnosnu kategorizaciju saveznih informacija i informacijskih sustava?
    • Je li usluga u oblaku smještena unutar platforme kao usluge (PaaS) ili infrastrukture kao usluge (IaaS) koju je odobrio FedRAMP ili CSP pruža temeljnu infrastrukturu u oblaku?

    Imajte na umu da postizanje usklađenosti s FedRAMP-om nije jednokratan zadatak. Sjećate li se faze nadzora FedRAMP autorizacije? To znači da ćete morati podnositi redovite sigurnosne revizije kako biste bili sigurni da ostajete usklađeni s FedRAMP-om.

    Bonus: Pročitajte vodič za strategiju društvenih medija korak po korak sa savjetima stručnjaka o tome kako povećati svoju prisutnost na društvenim medijima.

    Dobijte besplatni vodič odmah!

    Primjeri FedRAMP certifikataproizvodi

    Postoje mnoge vrste FedRAMP ovlaštenih proizvoda i usluga. Evo nekoliko primjera pružatelja usluga u oblaku koje poznajete i koje možda već koristite.

    Amazon Web Services

    Postoje dva AWS popisa na FedRAMP Marketplaceu. AWS GovCloud ovlašten je na visokoj razini. AWS US East/West ovlašten je na umjerenoj razini.

    Jeste li čuli? Korisnici AWS GovCloud (SAD) mogu koristiti #AmazonEFS za kritična radna opterećenja datoteka zahvaljujući nedavnom postizanju visoke autorizacije FedRAMP. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 18. listopada 2019.

    AWS GovCloud ima nevjerojatnih 292 autorizacije. AWS US East/West ima 250 autorizacija. To je daleko više od bilo kojeg drugog popisa na FedRAMP Marketplaceu.

    Adobe Analytics

    Adobe Analytics autoriziran je 2019. Koriste ga Centri za kontrolu i prevenciju bolesti i Ministarstvo zdravlja i Ljudske usluge. Ovlašten je na razini LI-SaaS.

    Adobe zapravo ima nekoliko proizvoda ovlaštenih na razini LI-SaaS. (Poput Adobe Campaign i Adobe Document Cloud.) Također imaju nekoliko proizvoda ovlaštenih na umjerenoj razini:

    • Adobe Connect Managed Services
    • Adobe Experience Manager Managed Services.

    Adobe je trenutno u procesu prelaska s autorizacije FedRAMP Tailored na FedRAMP Moderate

    Prethodni post Savršen stilski vodič za društvene medije za vaš brend u 2023
    Sljedeći post 8 savjeta za besprijekorno preuzimanje Instagrama

    Kimberly Parker iskusna je stručnjakinja za digitalni marketing s više od 10 godina iskustva u industriji. Kao osnivačica vlastite agencije za marketing na društvenim mrežama, pomogla je brojnim tvrtkama u raznim industrijama da uspostave i povećaju svoju online prisutnost putem učinkovitih strategija društvenih medija. Kimberly je također plodna spisateljica, napisala je članke o društvenim medijima i digitalnom marketingu za nekoliko uglednih publikacija. U slobodno vrijeme voli eksperimentirati s novim receptima u kuhinji i ići u duge šetnje sa svojim psom.