FedRAMP сертификаты: бұл не, ол не үшін маңызды және кімде бар

Kimberly Parker

29-05-2023 Стратегия
  • Мұны Бөлісіңіз
Kimberly Parker

Бұзылған атақты камера роликтері. Мемлекетке негізделген кибершпиондық. Және олардың арасындағы бәрі. Деректерді қорғаудың кең ауқымы бар. Бұл бұлтқа негізделген қызметтерді пайдаланатын немесе ұсынатын әрбір адам үшін маңызды мәселе.

Үкімет деректері тартылған кезде, бұл алаңдаушылықтар ұлттық қауіпсіздік деңгейіне жетуі мүмкін. Сондықтан АҚШ үкіметі федералдық агенттіктер пайдаланатын барлық бұлттық қызметтерді FedRAMP деп аталатын қауіпсіздік стандарттарының мұқият жиынтығына сай болуын талап етеді.

Сонымен FedRAMP деген не және ол нені білдіреді? Сіз білу үшін дұрыс жердесіз.

Бонус: Әлеуметтік желідегі қатысуыңызды қалай өсіруге болатыны туралы кәсіби кеңестері бар әлеуметтік медиа стратегиясының қадамдық нұсқаулығын оқыңыз.

FedRAMP дегеніміз не?

FedRAMP «Тәуекелдер мен авторизацияны басқарудың федералдық бағдарламасы» дегенді білдіреді. Ол АҚШ федералды агенттіктері пайдаланатын бұлттық өнімдер мен қызметтер үшін қауіпсіздікті бағалауды және рұқсатты стандарттайды.

Мақсат федералды деректердің бұлтта жоғары деңгейде тұрақты қорғалуын қамтамасыз ету.

FedRAMP алу. авторизация - бұл маңызды бизнес. Қажетті қауіпсіздік деңгейі заңмен бекітілген. Қолданыстағы 14 заң мен ережелер, 19 стандарт пен нұсқаулық құжаттар бар. Бұл әлемдегі ең қатал бағдарламалық қамтамасыз етудің қызмет ретіндегі сертификаттарының бірі.

Міне, қысқаша кіріспе:

FedRAMP 2012 жылдан бері жұмыс істейді. Бұлттық технологиялар шынымен де сол кезде.Adobe Sign авторизациясы.

@Adobe Sign бағдарламасының FedRAMP бейімделгеннен FedRAMP қалыпты мүсіндерге көшу үшін қалай жұмыс істейтіні туралы толығырақ мына жерден қараңыз: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 тамыз, 2020 жыл

Рұқсат қызмет провайдері емес, қызмет екенін есте сақтаңыз. Adobe сияқты, бірнеше бұлтқа негізделген шешімді ұсынсаңыз, сізге бірнеше рұқсат алу қажет болуы мүмкін.

Slack

Осы жылдың мамырында рұқсат етілген Slack-те 21 FedRAMP рұқсаты бар. Өнім орташа деңгейде рұқсат етілген. Оны агенттіктер пайдаланады, соның ішінде:

  • Ауруларды бақылау және қорғау орталықтары,
  • Федералды байланыс комиссиясы және
  • Ұлттық ғылым қоры.

АҚШ-тың мемлекеттік секторы біздің жаңа FedRAMP Moderate авторизациясының арқасында енді Slack-те өз жұмысының көп бөлігін басқара алады. Қауіпсіздіктің осы қатаң талаптарын орындау арқылы біз Slack-ті қолданатын кез келген басқа компания үшін де қауіпсіздікті сақтаймыз. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 2020 жылдың 13 тамызы

Slack бастапқыда FedRAMP бейімделген рұқсатын алды. Содан кейін олар Ардагерлер істері жөніндегі департаментпен серіктес бола отырып, Moderate авторизациясын іздеді.

Slack өзінің веб-сайтында жеке сектор клиенттері үшін осы рұқсаттың қауіпсіздік артықшылықтарына назар аударады:

«Бұл соңғы авторизация қауіпсізірек тәжірибеге аударыладыFedRAMP рұқсат берген ортаны қажет етпейтін жеке сектордағы бизнесті қоса, бос тұтынушылар. Slack коммерциялық ұсыныстарын пайдаланатын барлық тұтынушылар FedRAMP сертификатына қол жеткізу үшін қажетті күшейтілген қауіпсіздік шараларын пайдалана алады.»

Trello Enterprise Cloud

Trello-ға Li-SaaS рұқсаты қыркүйек айында ғана берілді. Trello-ны әзірге тек жалпы қызметтер әкімшілігі пайдаланады. Бірақ компания өзінің жаңа FedRAMP мәртебесі туралы әлеуметтік жазбаларында көрсетілгендей, мұны өзгертуге тырысуда:

🏛️Trello-ның FedRAMP рұқсатымен сіздің агенттік енді Trello-ны өнімділікті арттыру, топ силостарын бұзу және қолдау үшін пайдалана алады. ынтымақтастық. //t.co/GWYgaj9jfY

— Trello (@trello) 12 қазан, 2020 жыл

Zendesk

Сонымен қатар мамыр айында рұқсат етілген, Zendesk келесілер пайдаланады:

  • Энергетика департаменті,
  • Тұрғын үйді қаржыландырудың Федералдық агенттігі
  • FHFA Бас инспекторының кеңсесі және
  • Жалпы қызметтер басқармасы.

Zendesk тұтынушыларды қолдау және анықтамалық қызмет платформасында Li-Saas авторизациясы бар.

Бүгіннен бастап біз мемлекеттік органдардың бізбен жұмыс істеуін айтарлықтай жеңілдете аламыз, өйткені @Zendesk енді FedRAMP рұқсатына ие. Zendesk ішіндегі және сыртындағы барлық командаларға осыған күш салғаны үшін үлкен рахмет. //t.co/A0HVwjhGsv

— Миккел Сване (@mikkelsvane) 2020 жылдың 22 мамыры

Әлеуметтік медианы басқаруға арналған FedRAMP

SMMexpert - FedRAMPуәкілетті. Мемлекеттік органдар енді азаматтармен араласу, дағдарыстық коммуникацияларды басқару және әлеуметтік медиа арқылы қызметтер мен ақпаратты жеткізу үшін әлеуметтік медианы басқару саласындағы жаһандық көшбасшымен оңай жұмыс істей алады.

Демо нұсқасын сұрау

ескірген байланыстырылған бағдарламалық шешімдерді ауыстыра бастады. Ол АҚШ үкіметінің «Бірінші бұлтты» стратегиясынан туған. Бұл стратегия агенттіктерден бұлтқа негізделген шешімдерді бірінші таңдау ретінде қарастыруды талап етті.

FedRAMP алдында бұлттық қызмет провайдерлері жұмыс істегісі келетін әрбір агенттік үшін авторизация пакетін дайындауы керек болды. Талаптар сәйкес келмеді. Және провайдерлер үшін де, агенттіктер үшін де көп қайталанатын күш болды.

FedRAMP жүйелілікті енгізіп, процесті оңтайландырды.

Енді бағалаулар мен талаптар стандартталған. Бірнеше мемлекеттік агенттіктер провайдердің FedRAMP авторизациясының қауіпсіздік пакетін қайта пайдалана алады.

Бастапқы FedRAMP қабылдауы баяу болды. Алғашқы төрт жылда тек 20 бұлттық қызмет ұсынысына рұқсат берілді. Бірақ 2018 жылдан бері қарқын шынымен өсті және қазір 204 FedRAMP рұқсат етілген бұлттық өнімдер бар.

Дереккөз: FedRAMP

FedRAMP Бірлескен авторизациялық кеңеспен (JAB) бақыланады. Басқарма мыналардың өкілдерінен тұрады:

  • Ұлттық қауіпсіздік департаменті
  • Жалпы қызметтер басқармасы және
  • Қорғаныс министрлігі
    • <. 12>

    Бағдарламаны АҚШ үкіметінің Федералдық Бас ақпарат қызметкерлері кеңесі мақұлдайды.

    FedRAMP сертификаты неліктен маңызды?

    Федералдық деректерге ие барлық бұлттық қызметтер FedRAMP рұқсатын талап етеді. Сонымен, егер сіз онымен жұмыс істегіңіз келсефедералдық үкімет үшін FedRAMP рұқсаты қауіпсіздік жоспарының маңызды бөлігі болып табылады.

    FedRAMP маңызды, себебі ол үкіметтің бұлттық қызметтерінің қауіпсіздігін қамтамасыз етеді және сол қауіпсіздікті бағалау мен бақылаудағы жүйелілікті қамтамасыз етеді. Ол барлық мемлекеттік мекемелер мен барлық бұлттық провайдерлер үшін бір стандарттар жинағын қамтамасыз етеді.

    FedRAMP рұқсаты бар бұлттық қызмет провайдерлері FedRAMP Marketplace тізімінде берілген. Бұл нарық - бұлтқа негізделген жаңа шешімді алу үшін мемлекеттік органдар іздейтін бірінші орын. Жаңа жеткізушімен авторизациялау процесін бастағанға қарағанда, агенттік үшін рұқсаты бар өнімді пайдалану әлдеқайда оңай және жылдамырақ.

    Сонымен, FedRAMP нарығындағы листинг сізге қосымша бизнесті алу ықтималдығын арттырады. мемлекеттік органдар. Бірақ ол жеке сектордағы профиліңізді де жақсарта алады.

    Бұл FedRAMP нарығы көпшілікке көрінетіндіктен. Кез келген жеке сектор компаниясы FedRAMP рұқсат етілген шешімдерінің тізімін айналдыра алады.

    Бұл қауіпсіз бұлттық өнім немесе қызмет көзін іздеген кезде тамаша ресурс.

    FedRAMP авторизациясы кез келген клиентті жасай алады. қауіпсіздік протоколдарына сенімдірек. Ол ең жоғары қауіпсіздік стандарттарына сай тұрақты міндеттемені білдіреді.

    FedRAMP авторизациясы қауіпсіздік сенімділігін айтарлықтай арттырады.FedRAMP Marketplace-тен тыс. FedRAMP рұқсатын әлеуметтік желілерде және веб-сайтта бөлісуге болады.

    Шынында, сіздің клиенттеріңіздің көпшілігі FedRAMP не екенін білмеуі мүмкін. Олар сіздің рұқсатыңыз бар ма, жоқ па маңызды емес. Бірақ FedRAMP-ті түсінетін ірі клиенттер үшін – мемлекеттік және жеке секторда – авторизацияның болмауы мәміле бұзуы мүмкін.

    FedRAMP сертификатын алу үшін не қажет?

    Онда FedRAMP авторизациясының екі түрлі жолы бар.

    1. Бірлескен авторизациялық кеңестің (JAB) жұмыс істеуге уақытша өкілеттігі

    Бұл процесте JAB уақытша рұқсат береді. Бұл агенттіктерге тәуекелдің қаралғанын білуге ​​мүмкіндік береді.

    Бұл маңызды бірінші мақұлдау. Бірақ қызметті пайдаланғысы келетін кез келген агенттік әлі де өзінің жұмыс істеу өкілеттігін беруі керек.

    Бұл процесс тәуекелі жоғары немесе орташа бұлттық қызметтерді жеткізушілер үшін қолайлы. (Тәуекел деңгейлерін келесі бөлімде қарастырамыз.)

    Міне, JAB процесінің көрнекі шолуы:

    Дереккөз: FedRAMP

    2. Агенттіктің жұмыс істеу органы

    Бұл процесте бұлттық қызметтер провайдері белгілі бір федералды агенттікпен қарым-қатынас орнатады. Бұл агенттік бүкіл процеске қатысады. Процесс сәтті болса, агенттік Өкілеттілік хатын береді.

    Дереккөз: FedRAMP

    FedRAMP авторизациясының қадамдары

    Қандай авторизация түріне қарамастан, FedRAMP авторизациясы төрт негізгі қадамды қамтиды:

    1. Пакет әзірлеу. Біріншіден, рұқсат беруді бастау жиналысы бар. Содан кейін провайдер Жүйе қауіпсіздік жоспарын толтырады. Содан кейін FedRAMP мақұлдаған үшінші тарап бағалау ұйымы Қауіпсіздікті бағалау жоспарын әзірлейді.
    2. Бағалау. Бағалау ұйымы Қауіпсіздікті бағалау есебін ұсынады. Провайдер әрекет жоспарын жасайды & AMP; Маңызды кезеңдер.
    3. Рұқсат ету. JAB немесе уәкілетті агенттік сипатталған тәуекелдің қолайлы екенін шешеді. Егер иә болса, олар FedRAMP жобаларын басқару кеңсесіне Операциялық өкілеттік туралы хат жібереді. Одан кейін провайдер FedRAMP Marketplace тізімінде көрсетіледі.
    4. Мониторинг. Провайдер ай сайынғы қауіпсіздік мониторингінің нәтижелерін қызметті пайдаланатын әрбір агенттікке жібереді.

    FedRAMP авторизациясы ең жақсы тәжірибелер

    FedRAMP авторизациясына қол жеткізу процесі қиын болуы мүмкін. Бірақ бұлттық қызмет провайдерлерінің авторизациялау процесін бастағаннан кейін олардың табысқа жетуі барлық қатысушылардың мүддесі үшін қажет.

    Көмек беру үшін FedRAMP авторизациялау кезінде үйренген сабақтары туралы бірнеше шағын бизнес пен стартаптардан сұхбат алды. Мұнда авторизация процесін сәтті шарлау үшін олардың жеті ең жақсы кеңесі берілген:

    1. Сіздің қалай әрекет ететініңізді түсініңіз.FedRAMP-ке өнім карталары – олқылықтарды талдауды қоса.
    2. Ұйымдастырушылық келісім мен міндеттеме алыңыз, соның ішінде атқарушы топ пен техникалық топтардан.
    3. Өніміңізді пайдаланып жатқан агенттік серіктесті табыңыз. немесе мұны істеуге міндетті.
    4. Шекараңызды дәл анықтауға уақыт бөліңіз. Оған мыналар кіреді:
      • ішкі компоненттер
      • сыртқы қызметтерге қосылымдар және
      • ақпарат пен метадеректер ағыны.
    5. Ойланыңыз. FedRAMP тек басталу және аяқталу күні бар жоба емес, үздіксіз бағдарлама ретінде. Қызметтер үздіксіз бақылануы керек.
    6. Рұқсат ету тәсілін мұқият қарастырыңыз. Бірнеше өнім бірнеше рұқсаттарды қажет етуі мүмкін.
    7. FedRAMP PMO құнды ресурс болып табылады. Олар техникалық сұрақтарға жауап бере алады және стратегияңызды жоспарлауға көмектеседі.

    FedRAMP бұлттық қызмет провайдерлеріне FedRAMP сәйкестігіне дайындалуға көмектесетін үлгілерді ұсынады.

    Қандай санаттар бар FedRAMP сәйкестігі туралы ма?

    FedRAMP әртүрлі қауіп түрлері бар қызметтерге әсер етудің төрт деңгейін ұсынады. Олар үш түрлі саладағы қауіпсіздікті бұзудың ықтимал әсерлеріне негізделген.

    • Құпиялылық: Құпиялылық пен меншікті ақпаратты қорғау.
    • Тұтастық: Ақпаратты өзгертуден немесе жоюдан қорғау.
    • Қолжетімділік: Деректерге уақтылы және сенімді қол жеткізу.

    Алғашқы үшӘсер деңгейлері Ұлттық стандарттар мен технологиялар институтының (NIST) 199 Федералды ақпаратты өңдеу стандартына (FIPS) негізделген. Төртінші NIST 800-37 арнайы басылымына негізделген. Әсер деңгейлері:

    • Жоғары, 421 бақылауға негізделген. «Құпиялылықты, тұтастықты немесе қолжетімділікті жоғалту ұйымға ауыр немесе апатты жағымсыз әсер етеді деп күтуге болады. операциялар, ұйым активтері немесе жеке тұлғалар». Бұл әдетте құқық қорғау, төтенше жағдайлар қызметтері, қаржы және денсаулық сақтау жүйелеріне қатысты.
    • Орташа, 325 бақылауға негізделген. «Құпиялылық, тұтастық немесе қолжетімділік жоғалуы мүмкін деп күтуге болады. ұйымдық операцияларға, ұйым активтеріне немесе жеке тұлғаларға елеулі жағымсыз әсер ету. Бекітілген FedRAMP қолданбаларының 80 пайызға жуығы орташа әсер ету деңгейінде.
    • Төмен, 125 бақылауға негізделген. «Құпиялылықты, тұтастықты немесе қолжетімділікті жоғалту шектеулі болуы мүмкін деп күтуге болады. ұйымдық операцияларға, ұйымдық активтерге немесе жеке тұлғаларға кері әсер ету.»
    • Әсері төмен бағдарламалық құрал-қызмет ретінде (LI-SaaS), 36 бақылауға негізделген . «Бірлесу құралдары, жобаларды басқару қолданбалары және ашық бастапқы кодты әзірлеуге көмектесетін құралдар сияқты пайдалану қаупі төмен жүйелер үшін». Бұл санат сонымен қатар FedRAMP Tailored ретінде белгілі.

    Бұл соңғы санат 2017 жылы қосылғанагенттіктерге «төмен тәуекелді пайдалану жағдайларын» бекітуді жеңілдету. FedRAMP Tailored талаптарына сай болу үшін провайдер алты сұраққа иә деп жауап беруі керек. Олар FedRAMP Tailored саясат бетінде жарияланған:

    • Қызмет бұлттық ортада жұмыс істей ме?
    • Бұлттық қызмет толығымен жұмыс істей ме?
    • Бұлт па? NIST SP 800-145, NIST бұлтты есептеу анықтамасында анықталғандай, бағдарламалық құралға қызмет ретінде қызмет көрсету (SaaS). кіру мүмкіндігі (пайдаланушы аты, құпия сөз және электрондық пошта мекенжайы)?
    • FIPS PUB 199, Федералдық ақпараттық және ақпараттық жүйелердің қауіпсіздік санаттарына арналған стандарттармен анықталғандай бұлттық қызметтің қауіпсіздігі төмен бе?
    • Бұлттық қызмет FedRAMP рұқсат берген платформада қызмет ретінде (PaaS) немесе қызмет ретінде инфрақұрылымда (IaaS) орналастырылады ма, әлде CSP негізгі бұлттық инфрақұрылымды қамтамасыз ете ме?

    Есіңізде болсын FedRAMP сәйкестігіне қол жеткізу бір реттік тапсырма емес. FedRAMP авторизациясының бақылау кезеңі есіңізде ме? Бұл сізге FedRAMP-пен үйлесімді қал болу үшін тұрақты қауіпсіздік аудиттерін тапсыру керек дегенді білдіреді.

    Бонус: Әлеуметтік желідегі қатысуыңызды қалай өсіруге болатыны туралы кәсіби кеңестері бар әлеуметтік медиа стратегиясының қадамдық нұсқаулығын оқыңыз.

    Тегін гидті дәл қазір алыңыз!

    FedRAMP сертификатталған мысалдарыөнімдер

    FedRAMP рұқсат берген өнімдер мен қызметтердің көптеген түрлері бар. Мұнда сіз білетін және өзіңіз пайдалана алатын бұлттық қызмет провайдерлерінен бірнеше мысал келтірілген.

    Amazon Web Services

    FedRAMP Marketplace-те екі AWS тізімі бар. AWS GovCloud жоғары деңгейде рұқсат етілген. AWS US East/West қолданбасы орташа деңгейде рұқсат етілген.

    Сіз естідіңіз бе? AWS GovCloud (АҚШ) тұтынушылары жақында ғана қол жеткізген FedRAMP High авторизациясының арқасында миссия үшін маңызды файл жұмыс жүктемелері үшін #AmazonEFS пайдалана алады. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 18 қазан, 2019 жыл

    AWS GovCloud-тың 292 рұқсаты бар. AWS US East/West 250 рұқсаты бар. Бұл FedRAMP Marketplace-тегі кез келген басқа листингтен әлдеқайда көп.

    Adobe Analytics

    Adobe Analytics 2019 жылы рұқсат етілген. Оны Ауруларды бақылау және алдын алу орталықтары мен Денсаулық сақтау және департаменті пайдаланады. Адамдарға қызмет көрсету. Ол LI-SaaS деңгейінде рұқсат етілген.

    Adobe-да LI-SaaS деңгейінде рұқсат етілген бірнеше өнім бар. (Adobe Campaign және Adobe Document Cloud сияқты.) Сондай-ақ олардың орташа деңгейде рұқсат етілген бірнеше өнімдері бар:

    • Adobe Connect басқарылатын қызметтері
    • Adobe Experience Manager басқарылатын қызметтері.

    Adobe қазір FedRAMP бейімделген авторизациясынан FedRAMP Moderate нұсқасына көшу процесінде.

Алдыңғы пост 2023 жылы сіздің брендіңіз үшін тамаша әлеуметтік медиа стилі нұсқаулығы
Келесі пост Инстаграмды мінсіз алу үшін 8 кеңес

Кимберли Паркер - салада 10 жылдан астам тәжірибесі бар тәжірибелі цифрлық маркетинг маманы. Өзінің әлеуметтік медиа маркетинг агенттігінің негізін қалаушы ретінде ол әртүрлі салалардағы көптеген бизнеске тиімді әлеуметтік медиа стратегиялары арқылы олардың онлайн қатысуын құруға және өсіруге көмектесті. Кимберли сонымен қатар бірнеше беделді басылымдарға әлеуметтік желілер мен цифрлық маркетинг туралы мақалалар жазған жемісті жазушы. Ол бос уақытында асүйде жаңа рецепттермен тәжірибе жасап, итімен ұзақ серуендегенді ұнатады.