FedRAMP sertifikavimas: kas tai yra, kodėl jis svarbus ir kas jį turi

Kimberly Parker

29-05-2023 Strategija
  • Pasidalinti
Kimberly Parker

Įsilaužimai į įžymybių kamerų įrašus. Valstybinis kibernetinis šnipinėjimas. Ir viskas tarp jų. Duomenų saugumas turi daugybę pritaikymo sričių. Jis kelia didelį susirūpinimą visiems, kurie naudojasi debesijos paslaugomis arba jas teikia.

Kai tai susiję su vyriausybiniais duomenimis, šie rūpesčiai gali pasiekti nacionalinio saugumo lygį. Todėl JAV vyriausybė reikalauja, kad visos federalinių agentūrų naudojamos debesijos paslaugos atitiktų kruopštų saugumo standartų rinkinį, vadinamą FedRAMP.

Taigi, kas yra FedRAMP ir ką tai reiškia? Jūs esate tinkamoje vietoje, kad tai sužinotumėte.

Premija: Perskaitykite žingsnis po žingsnio socialinės žiniasklaidos strategijos vadovą, kuriame rasite profesionalių patarimų, kaip padidinti savo dalyvavimą socialinėje žiniasklaidoje.

Kas yra FedRAMP?

FedRAMP reiškia "Federalinę rizikos ir autorizacijos valdymo programą". Ja standartizuojamas JAV federalinių agentūrų naudojamų debesijos produktų ir paslaugų saugumo vertinimas ir autorizacija.

Tikslas - užtikrinti, kad federaliniai duomenys debesyje būtų nuolat saugomi aukštu lygiu.

Gauti FedRAMP leidimą yra rimtas reikalas. Reikalaujamas saugumo lygis yra nustatytas įstatymu. 14 taikomų įstatymų ir reglamentų, taip pat 19 standartų ir rekomendacinių dokumentų. Tai vienas iš griežčiausių programinės įrangos kaip paslaugos sertifikavimų pasaulyje.

Štai trumpas įvadas:

"FedRAMP" veikia nuo 2012 m. Tuomet debesijos technologijos iš tikrųjų pradėjo keisti pasenusius pririštus programinės įrangos sprendimus. Ji atsirado dėl JAV vyriausybės strategijos "Pirmiausia debesija". Pagal šią strategiją agentūros pirmiausia turėjo rinktis debesija pagrįstus sprendimus.

Iki "FedRAMP" debesijos paslaugų teikėjai kiekvienai agentūrai, su kuria norėjo dirbti, turėjo parengti leidimų paketą. Reikalavimai nebuvo nuoseklūs. Ir teikėjams, ir agentūroms reikėjo dubliuotis.

FedRAMP užtikrino nuoseklumą ir supaprastino procesą.

Dabar vertinimai ir reikalavimai yra standartizuoti. Kelios vyriausybinės agentūros gali pakartotinai naudoti paslaugų teikėjo FedRAMP įgaliojimų saugumo paketą.

Iš pradžių FedRAMP įsisavinimas buvo lėtas. Per pirmuosius ketverius metus buvo patvirtinta tik 20 debesijos paslaugų pasiūlymų. Tačiau nuo 2018 m. tempas tikrai padidėjo ir dabar yra 204 FedRAMP patvirtinti debesijos produktai.

Šaltinis: FedRAMP

FedRAMP kontroliuoja Jungtinė leidimų valdyba (JAB). Valdybą sudaro atstovai iš:

  • Tėvynės saugumo departamentas
  • Bendrųjų paslaugų administracija ir
  • Gynybos departamentas.

Programą patvirtino JAV vyriausybės Federalinė vyriausybinė vyriausiųjų informacijos pareigūnų taryba.

Kodėl svarbus FedRAMP sertifikavimas?

Visoms debesijos paslaugoms, kuriose saugomi federaliniai duomenys, reikalingas FedRAMP leidimas. Taigi, jei norite dirbti su federaline vyriausybe, FedRAMP leidimas yra svarbi jūsų saugumo plano dalis.

FedRAMP yra svarbus, nes juo užtikrinamas nuoseklus vyriausybės debesijos paslaugų saugumas ir nuoseklus šio saugumo vertinimas bei stebėsena. Juo nustatomi vieningi standartai visoms vyriausybės agentūroms ir visiems debesijos paslaugų teikėjams.

Debesijos paslaugų teikėjai, turintys FedRAMP leidimą, yra įtraukti į FedRAMP rinkos sąrašą. Ši rinka yra pirmoji vieta, į kurią vyriausybinės agentūros kreipiasi, kai nori įsigyti naują debesija pagrįstą sprendimą. Agentūrai daug lengviau ir greičiau naudoti jau patvirtintą produktą, nei pradėti autorizavimo procesą su nauju tiekėju.

Taigi, įtraukus jus į "FedRAMP" rinkos sąrašą, yra daug didesnė tikimybė gauti papildomų paslaugų iš vyriausybinių agentūrų. Tačiau tai taip pat gali pagerinti jūsų profilį privačiame sektoriuje.

Taip yra todėl, kad "FedRAMP" rinka yra viešai matoma. Bet kuri privataus sektoriaus įmonė gali peržiūrėti "FedRAMP" patvirtintų sprendimų sąrašą.

Tai puikus šaltinis, kai jie ieško saugaus debesijos produkto ar paslaugos šaltinio.

FedRAMP leidimas gali padėti bet kuriam klientui labiau pasitikėti saugumo protokolais. Jis reiškia nuolatinį įsipareigojimą laikytis aukščiausių saugumo standartų.

"FedRAMP" leidimas gerokai padidina jūsų patikimumą saugumo srityje ir už "FedRAMP Marketplace" ribų. Savo "FedRAMP" leidimu galite dalytis socialinėje žiniasklaidoje ir savo svetainėje.

Tiesa ta, kad dauguma jūsų klientų tikriausiai nežino, kas yra "FedRAMP". Jiems nerūpi, ar esate įgalioti, ar ne. Tačiau tiems dideliems klientams, kurie supranta "FedRAMP", tiek viešajame, tiek privačiajame sektoriuose, įgaliojimų neturėjimas gali būti kliūtis sudaryti sandorį.

Ko reikia, kad gautumėte FedRAMP sertifikatą?

Yra du skirtingi būdai, kaip gauti "FedRAMP" leidimą.

1. Jungtinės leidimų valdybos (JAB) laikinasis leidimas vykdyti veiklą

Vykstant šiam procesui, JPG išduoda laikiną leidimą. Tai leidžia agentūroms žinoti, kad rizika buvo peržiūrėta.

Tai svarbus pirmasis patvirtinimas. Tačiau kiekviena agentūra, norinti naudotis šia paslauga, vis tiek turi išduoti savo įgaliojimą veikti.

Šis procesas geriausiai tinka debesijos paslaugų teikėjams, kurių rizika yra didelė arba vidutinė (apie rizikos lygius kalbėsime kitame skyriuje).

Pateikiame vaizdinę JAB proceso apžvalgą:

Šaltinis: FedRAMP

2. Agentūros įgaliojimai vykdyti veiklą

Šio proceso metu debesijos paslaugų teikėjas užmezga santykius su konkrečia federaline agentūra. Ši agentūra dalyvauja visame procese. Jei procesas sėkmingas, agentūra išduoda įgaliojimą vykdyti veiklą.

Šaltinis: FedRAMP

FedRAMP autorizacijos žingsniai

Nepriklausomai nuo to, kokio tipo autorizaciją vykdote, FedRAMP autorizacija apima keturis pagrindinius etapus:

  1. Paketo kūrimas. Pirmiausia rengiamas įvadinis autorizacijos susitikimas. Tuomet paslaugų teikėjas parengia sistemos saugumo planą. Tada FedRAMP patvirtinta trečiosios šalies vertinimo organizacija parengia saugumo vertinimo planą.
  2. Vertinimas. Vertinimo organizacija pateikia saugumo vertinimo ataskaitą. Paslaugų teikėjas sukuria veiksmų planą & amp; etapai.
  3. Įgaliojimas. JAB arba įgaliojimus suteikianti agentūra nusprendžia, ar aprašyta rizika yra priimtina. Jei taip, jie pateikia FedRAMP projekto valdymo biurui raštą dėl leidimo vykdyti veiklą. Tuomet paslaugų teikėjas įtraukiamas į FedRAMP "Marketplace" sąrašą.
  4. Stebėsena. Paslaugos teikėjas kas mėnesį siunčia saugumo stebėsenos rezultatus kiekvienai paslauga besinaudojančiai agentūrai.

FedRAMP autorizacijos geroji praktika

"FedRAMP" įgaliojimų gavimo procesas gali būti sunkus. Tačiau visi suinteresuoti, kad debesijos paslaugų teikėjai, pradėję įgaliojimų gavimo procesą, būtų sėkmingi.

Siekdama padėti, "FedRAMP" apklausė kelias mažąsias įmones ir pradedančiąsias įmones apie patirtį, įgytą atliekant autorizaciją. Pateikiame septynis geriausius jų patarimus, kaip sėkmingai įveikti autorizacijos procesą:

  1. Supraskite, kaip jūsų produktas atitinka "FedRAMP", įskaitant spragų analizę.
  2. Gaukite organizacijos pritarimą ir įsipareigojimą, įskaitant vadovų komandos ir techninių komandų atstovus.
  3. Susiraskite agentūros partnerį, kuris naudoja jūsų produktą arba yra pasiryžęs tai daryti.
  4. Skirkite laiko tiksliai apibrėžti savo ribas. Tai apima:
    • vidiniai komponentai
    • ryšiai su išorinėmis paslaugomis ir
    • informacijos ir metaduomenų srautą.
  5. Į FedRAMP žiūrėkite kaip į tęstinę programą, o ne tik kaip į projektą, kurio pradžia ir pabaiga yra numatyta. Paslaugos turi būti nuolat stebimos.
  6. Atidžiai apsvarstykite autorizavimo metodą. Keliems produktams gali prireikti kelių autorizacijų.
  7. FedRAMP PMO yra vertingas šaltinis. Jie gali atsakyti į techninius klausimus ir padėti planuoti strategiją.

    "FedRAMP" siūlo šablonus, kurie padeda debesijos paslaugų teikėjams pasirengti atitikti "FedRAMP" reikalavimus.

    Kokios yra FedRAMP atitikties kategorijos?

    "FedRAMP" siūlo keturis poveikio lygius, skirtus skirtingo pobūdžio rizikos paslaugoms. Jie pagrįsti galimu saugumo pažeidimo poveikiu trijose skirtingose srityse.

    • Konfidencialumas: privatumo ir nuosavybės teise priklausančios informacijos apsauga.
    • Sąžiningumas: Apsauga nuo informacijos pakeitimo ar sunaikinimo.
    • Prieinamumas: savalaikė ir patikima prieiga prie duomenų.

    Pirmieji trys poveikio lygiai pagrįsti Nacionalinio standartų ir technologijų instituto (NIST) Federaliniu informacijos apdorojimo standartu (FIPS) 199. Ketvirtasis lygis pagrįstas NIST specialiuoju leidiniu 800-37. Poveikio lygiai yra šie:

    • Didelis, remiantis 421 kontroliniu tyrimu. "Konfidencialumo, vientisumo ar prieinamumo praradimas gali turėti didelį ar katastrofišką neigiamą poveikį organizacijos operacijoms, organizacijos turtui ar asmenims." Tai paprastai taikoma teisėsaugos, pagalbos tarnybų, finansų ir sveikatos sistemoms.
    • Vidutinio sunkumo, remiantis 325 kontroliniais patikrinimais. "Konfidencialumo, vientisumo ar prieinamumo praradimas gali turėti rimtą neigiamą poveikį organizacijos veiklai, organizacijos turtui ar asmenims." Beveik 80 proc. patvirtintų FedRAMP taikomųjų programų yra vidutinio poveikio lygio.
    • Mažas, remiantis 125 kontroliniais patikrinimais. "Galima tikėtis, kad konfidencialumo, vientisumo ar prieinamumo praradimas turės ribotą neigiamą poveikį organizacijos veiklai, organizacijos turtui ar asmenims."
    • Mažo poveikio programinė įranga kaip paslauga (LI-SaaS), pagrįsta 36 kontrolės priemonėmis ... "Sistemoms, kurių naudojimo būdai, pavyzdžiui, bendradarbiavimo priemonės, projektų valdymo programos ir priemonės, padedančios kurti atvirąjį kodą, kelia mažą riziką." Ši kategorija taip pat vadinama "FedRAMP Tailored".

    Ši paskutinė kategorija buvo įtraukta 2017 m., kad agentūroms būtų lengviau patvirtinti "mažos rizikos naudojimo atvejus". Kad atitiktų "FedRAMP Tailored" reikalavimus, paslaugų teikėjas turi atsakyti teigiamai į šešis klausimus. Jie paskelbti "FedRAMP Tailored" politikos puslapyje:

    • Ar paslauga veikia debesijos aplinkoje?
    • Ar debesijos paslauga visiškai veikia?
    • Ar debesijos paslauga yra programinė įranga kaip paslauga (SaaS), kaip apibrėžta NIST SP 800-145, "Debesų kompiuterijos apibrėžimas" (The NIST Definition of Cloud Computing)?
    • Debesijos paslaugoje nėra asmenį identifikuojančios informacijos (PII), išskyrus tą, kuri reikalinga prisijungimo galimybei (vartotojo vardas, slaptažodis ir el. pašto adresas) suteikti?
    • Ar debesijos paslauga turi mažą poveikį saugumui, kaip apibrėžta FIPS PUB 199 "Federalinės informacijos ir informacinių sistemų saugumo kategorizavimo standartuose"?
    • Ar debesijos paslauga teikiama FedRAMP patvirtintos platformos kaip paslaugos (PaaS) arba infrastruktūros kaip paslaugos (IaaS) sistemoje, ar pagrindinę debesijos infrastruktūrą teikia CSP?

    Atminkite, kad FedRAMP atitikties užtikrinimas nėra vienkartinė užduotis. Prisimenate FedRAMP autorizacijos stebėsenos etapą? Tai reiškia, kad turėsite reguliariai atlikti saugumo auditus, kad užtikrintumėte, jog pasilikti atitinka FedRAMP reikalavimus.

    Premija: Perskaitykite žingsnis po žingsnio socialinės žiniasklaidos strategijos vadovą, kuriame rasite profesionalių patarimų, kaip padidinti savo dalyvavimą socialinėje žiniasklaidoje.

    Gaukite nemokamą vadovą dabar!

    FedRAMP sertifikuotų produktų pavyzdžiai

    Yra daugybė "FedRAMP" patvirtintų produktų ir paslaugų tipų. Pateikiame keletą jums žinomų debesijos paslaugų teikėjų pavyzdžių, kuriais galbūt jau naudojatės patys.

    "Amazon" žiniatinklio paslaugos

    FedRAMP "Marketplace" yra du AWS sąrašai. AWS "GovCloud" turi aukšto lygio leidimą. AWS "US East/West" turi vidutinio lygio leidimą.

    Ar girdėjote? "AWS GovCloud" (JAV) klientai gali naudoti #AmazonEFS kritinėms failų apkrovoms, nes neseniai gavo aukštą FedRAMP autorizaciją. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS vyriausybei (@AWS_Gov) Spalis 18, 2019

    "AWS GovCloud" turi net 292 leidimus, o "AWS US East/West" - 250. Tai gerokai daugiau nei bet kuriame kitame FedRAMP "Marketplace" sąraše.

    "Adobe Analytics

    Programą "Adobe Analytics" leista naudoti 2019 m. Ją naudoja Ligų kontrolės ir prevencijos centrai bei Sveikatos ir socialinių paslaugų departamentas. Ji leista naudoti LI-SaaS lygmeniu.

    "Adobe" iš tikrųjų turi keletą produktų, kuriems suteiktas LI-SaaS lygmuo (pvz., "Adobe Campaign" ir "Adobe Document Cloud"):

    • "Adobe Connect" valdomos paslaugos
    • "Adobe Experience Manager" valdomos paslaugos.

    Šiuo metu "Adobe" pereina nuo "FedRAMP Tailored authorization" prie "FedRAMP Moderate authorization", skirto "Adobe Sign".

    Sužinokite daugiau apie tai, kaip @Adobe Sign siekia pereiti nuo FedRAMP Tailored prie FedRAMP Moderate statutų čia: //t.co/cYjihF9KkP

    - "AdobeSecurity" (@AdobeSecurity) rugpjūčio 12, 2020

    Atminkite, kad autorizacija suteikiama paslaugai, o ne paslaugos teikėjui. Kaip ir "Adobe", jei siūlote daugiau nei vieną debesijos sprendimą, jums gali tekti prašyti kelių autorizacijų.

    "Slack"

    Šių metų gegužę "Slack" turi 21 FedRAMP leidimą. Produktas yra patvirtintas vidutiniu lygiu. Juo naudojasi tokios agentūros kaip:

    • ligų kontrolės ir apsaugos centrai,
    • Federalinė ryšių komisija ir
    • Nacionalinis mokslo fondas.

    JAV viešasis sektorius dabar gali daugiau savo darbo atlikti "Slack", nes gavome naują FedRAMP Moderate leidimą. Vykdydami šiuos griežtus saugumo reikalavimus, užtikriname saugumą ir visoms kitoms "Slack" naudojančioms įmonėms. //t.co/dlra7qVQ9F

    - "Slack" (@SlackHQ) rugpjūčio 13, 2020

    Iš pradžių "Slack" gavo "FedRAMP Tailored" įgaliojimą. Tada, bendradarbiaudami su Veteranų reikalų departamentu, jie siekė gauti "Moderate" įgaliojimą.

    "Slack" savo interneto svetainėje atkreipia dėmesį į šio leidimo naudą privataus sektoriaus klientų saugumui:

    "Šis naujausias leidimas reiškia saugesnę "Slack" klientų, įskaitant privataus sektoriaus įmones, kurioms nereikia "FedRAMP" patvirtintos aplinkos, patirtį. Visi "Slack" komerciniais pasiūlymais besinaudojantys klientai gali pasinaudoti sustiprintomis saugumo priemonėmis, kurių reikia norint gauti "FedRAMP" sertifikatą."

    "Trello Enterprise Cloud

    Rugsėjo mėn. "Trello" buvo suteiktas Li-SaaS leidimas. Kol kas "Trello" naudojasi tik Bendrųjų paslaugų administracija. Tačiau bendrovė siekia tai pakeisti, kaip matyti iš jos socialinių pranešimų apie naująjį FedRAMP statusą:

    🏛️Įgijusi "Trello" FedRAMP leidimą, jūsų agentūra dabar gali naudoti "Trello", kad padidintų produktyvumą, panaikintų komandų atskirtį ir paskatintų bendradarbiavimą. //t.co/GWYgaj9jfY

    - "Trello" (@trello) spalio 12, 2020

    "Zendesk"

    Gegužės mėnesį "Zendesk" naudojasi:

    • Energetikos departamentas,
    • Federalinė būsto finansavimo agentūra
    • FHFA generalinio inspektoriaus biurą ir
    • Bendrųjų paslaugų administracija.

    "Zendesk" klientų aptarnavimo ir pagalbos tarnybų platformoje yra "Li-Saas" leidimas.

    Nuo šiandien galime gerokai palengvinti vyriausybinių agentūrų darbą su mumis, nes @Zendesk dabar turi FedRAMP leidimą. Dėkojame visoms komandoms, dirbančioms "Zendesk" viduje ir išorėje, už įdėtas pastangas. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) gegužės 22, 2020

    FedRAMP socialinės žiniasklaidos valdymui

    "SMMExpert" turi FedRAMP leidimą. Dabar vyriausybinės agentūros gali lengvai bendradarbiauti su pasauliniu socialinės žiniasklaidos valdymo lyderiu, kad galėtų bendrauti su piliečiais, valdyti krizių komunikaciją ir teikti paslaugas bei informaciją per socialinę žiniasklaidą.

    Užsisakykite demonstracinę versiją

    Ankstesnis įrašas Tobulas socialinės žiniasklaidos stiliaus vadovas jūsų prekės ženklui 2023 m.
    Kitas įrašas 8 patarimai, kaip nepriekaištingai perimti "Instagram

    Kimberly Parker yra patyrusi skaitmeninės rinkodaros profesionalė, turinti daugiau nei 10 metų patirtį šioje srityje. Būdama savo socialinės žiniasklaidos rinkodaros agentūros įkūrėja, ji padėjo daugeliui įvairių pramonės šakų įmonių sukurti ir plėsti savo buvimą internete, naudodama veiksmingas socialinės žiniasklaidos strategijas. Kimberly taip pat yra produktyvi rašytoja, straipsniais apie socialinę žiniasklaidą ir skaitmeninę rinkodarą keliuose patikimuose leidiniuose. Laisvalaikiu ji mėgsta eksperimentuoti su naujais receptais virtuvėje ir leistis į ilgus pasivaikščiojimus su šunimi.