FedRAMP sertifikācija: kas tas ir, kāpēc tas ir svarīgi un kam tas ir piešķirts

Kimberly Parker

29-05-2023 Stratēģija
  • Dalīties Ar Šo
Kimberly Parker

Uzlauztas slavenību kameru kameras. Valsts kiberspiegošana. Un viss pārējais. Datu drošībai ir ļoti plašs pielietojumu klāsts. Un tā ir galvenā problēma ikvienam, kas izmanto vai piegādā mākoņpakalpojumus.

Ja runa ir par valdības datiem, šīs bažas var sasniegt valsts drošības līmeni. Tāpēc ASV valdība pieprasa, lai visi mākoņpakalpojumi, ko izmanto federālās aģentūras, atbilstu rūpīgam drošības standartu kopumam, kas pazīstams kā FedRAMP.

Kas ir FedRAMP un ko tas nozīmē? Jūs atrodaties īstajā vietā, lai to uzzinātu.

Bonuss: Izlasiet soli pa solim izstrādātu sociālo plašsaziņas līdzekļu stratēģijas ceļvedi ar profesionāļu padomiem, kā paplašināt savu klātbūtni sociālajos plašsaziņas līdzekļos.

Kas ir FedRAMP?

FedRAMP ir "Federālā riska un autorizācijas pārvaldības programma" (Federal Risk and Authorization Management Program), kas standartizē ASV federālo aģentūru izmantoto mākoņdatošanas produktu un pakalpojumu drošības novērtējumu un autorizāciju.

Mērķis ir pārliecināties, ka federālie dati mākonī tiek konsekventi aizsargāti augstā līmenī.

FedRAMP atļaujas saņemšana ir nopietna lieta. Nepieciešamais drošības līmenis ir noteikts ar likumu. Ir 14 piemērojamie likumi un noteikumi, kā arī 19 standarti un vadlīniju dokumenti. Tas ir viens no stingrākajiem programmatūras kā pakalpojuma sertifikācijas veidiem pasaulē.

Lūk, īss ievads:

FedRAMP darbojas kopš 2012. gada. Tas ir laiks, kad mākoņtehnoloģijas sāka aizstāt novecojušos piesaistītos programmatūras risinājumus. Tā radās, īstenojot ASV valdības stratēģiju "Cloud First" (Mākoņi vispirms). Šī stratēģija paredzēja, ka aģentūrām vispirms jāizvēlas uz mākoņiem balstīti risinājumi.

Pirms FedRAMP mākoņpakalpojumu sniedzējiem bija jāsagatavo atļauju pakete katrai aģentūrai, ar kuru viņi vēlējās sadarboties. Prasības nebija konsekventas. Un gan pakalpojumu sniedzējiem, gan aģentūrām bija daudz dublējoša darba.

FedRAMP ieviesa konsekvenci un racionalizēja procesu.

Tagad novērtējumi un prasības ir standartizētas. Vairākas valdības aģentūras var atkārtoti izmantot pakalpojumu sniedzēja FedRAMP autorizācijas drošības paketi.

Sākotnēji FedRAMP ieviešana bija lēna. Pirmajos četros gados tika autorizēti tikai 20 mākoņpakalpojumu piedāvājumi. Taču kopš 2018. gada temps patiešām ir paātrinājies, un pašlaik ir 204 FedRAMP autorizēti mākoņpakalpojumi.

Avots: FedRAMP

FedRAMP darbību kontrolē Apvienotā autorizācijas padome (JAB), kuras sastāvā ir pārstāvji no:

  • Iekšzemes drošības departaments
  • Vispārējo pakalpojumu administrācija un
  • Aizsardzības ministrija.

Programmu ir apstiprinājusi ASV valdības Federālā informācijas vadītāju padome.

Kāpēc FedRAMP sertifikācija ir svarīga?

Visiem mākoņpakalpojumiem, kuros tiek glabāti federālie dati, ir nepieciešama FedRAMP autorizācija. Tātad, ja vēlaties strādāt ar federālo valdību, FedRAMP autorizācija ir svarīga jūsu drošības plāna daļa.

FedRAMP ir svarīgs, jo tas nodrošina valdības mākoņpakalpojumu drošības konsekvenci un konsekvenci šīs drošības novērtēšanā un uzraudzībā. Tas nodrošina vienotu standartu kopumu visām valdības aģentūrām un visiem mākoņpakalpojumu sniedzējiem.

Mākoņpakalpojumu sniedzēji, kas ir autorizēti FedRAMP, ir iekļauti FedRAMP Marketplace. Šis tirgus ir pirmā vieta, kur valdības aģentūras meklē jaunu mākoņpakalpojumu risinājumu. Aģentūrai ir daudz vieglāk un ātrāk izmantot jau autorizētu produktu, nekā sākt autorizācijas procesu ar jaunu piegādātāju.

Tāpēc, ja esat iekļauts FedRAMP tirgū, ir daudz lielāka iespēja saņemt papildu pakalpojumus no valsts aģentūrām. Taču tas var arī uzlabot jūsu profilu privātajā sektorā.

Tas ir tāpēc, ka FedRAMP tirgus ir publiski pieejams. Jebkurš privātā sektora uzņēmums var pārlūkot FedRAMP autorizēto risinājumu sarakstu.

Tas ir lielisks resurss, kad viņi meklē drošu mākoņa produktu vai pakalpojumu.

FedRAMP autorizācija ikvienam klientam var sniegt lielāku pārliecību par drošības protokoliem. Tā apliecina pastāvīgu apņemšanos ievērot visaugstākos drošības standartus.

FedRAMP autorizācija ievērojami palielina jūsu drošības uzticamību arī ārpus FedRAMP Marketplace. Jūs varat dalīties ar savu FedRAMP autorizāciju sociālajos tīklos un savā tīmekļa vietnē.

Patiesība ir tāda, ka lielākā daļa jūsu klientu, iespējams, nezina, kas ir FedRAMP. Viņiem ir vienalga, vai esat autorizēts vai nē. Taču tiem lielajiem klientiem, kuri saprot FedRAMP - gan valsts, gan privātajā sektorā -, autorizācijas trūkums var būt šķērslis darījuma noslēgšanai.

Kas ir nepieciešams, lai iegūtu FedRAMP sertifikātu?

Ir divi dažādi veidi, kā iegūt FedRAMP atļauju.

1. Apvienotā atļauju izsniegšanas padome (JAB) Pagaidu darbības atļauja

Šajā procesā JAB izsniedz pagaidu atļauju. Tas ļauj aģentūrām zināt, ka risks ir pārskatīts.

Tas ir svarīgs pirmais apstiprinājums. Taču katrai aģentūrai, kas vēlas izmantot šo pakalpojumu, joprojām ir jāizsniedz sava darbības atļauja.

Šis process ir vislabāk piemērots mākoņpakalpojumu sniedzējiem ar augstu vai vidēju risku (riska līmeņus aplūkosim nākamajā sadaļā).)

Šeit ir sniegts vizuāls pārskats par JAB procesu:

Avots: FedRAMP

2. Aģentūras darbības pilnvaras

Šajā procesā mākoņpakalpojumu sniedzējs nodibina attiecības ar konkrētu federālo aģentūru. Šī aģentūra ir iesaistīta visā procesā. Ja process ir sekmīgs, aģentūra izsniedz atļauju darboties.

Avots: FedRAMP

FedRAMP autorizācijas soļi

Neatkarīgi no tā, kādu autorizācijas veidu izmantojat, FedRAMP autorizācija ietver četrus galvenos posmus:

  1. Paketes izstrāde. Vispirms notiek autorizācijas uzsākšanas sanāksme. Pēc tam pakalpojumu sniedzējs aizpilda sistēmas drošības plānu. Tad FedRAMP apstiprināta trešās puses novērtēšanas organizācija izstrādā drošības novērtēšanas plānu.
  2. Novērtēšana. Novērtēšanas organizācija iesniedz drošības novērtējuma ziņojumu. Pakalpojumu sniedzējs izveido rīcības plānu & amp; starpposma mērķus.
  3. Pilnvarojums. JAB vai pilnvarojošā iestāde izlemj, vai aprakstītais risks ir pieņemams. Ja atbilde ir "jā", tā iesniedz FedRAMP projekta vadības birojam pilnvarojuma vēstuli darboties. Pēc tam pakalpojumu sniedzējs tiek iekļauts FedRAMP Marketplace.
  4. Uzraudzība. Pakalpojumu sniedzējs katru mēnesi nosūta drošības uzraudzības rezultātus katrai aģentūrai, kas izmanto šo pakalpojumu.

FedRAMP autorizācijas labākā prakse

FedRAMP autorizācijas iegūšanas process var būt grūts. Taču tas ir visu iesaistīto interesēs, lai mākoņpakalpojumu sniedzēji gūtu panākumus, tiklīdz viņi uzsāk autorizācijas procesu.

Lai palīdzētu, FedRAMP intervēja vairākus mazos uzņēmumus un jaunuzņēmumus par pieredzi, kas gūta autorizācijas procesā. Šeit ir sniegti septiņi labākie padomi, kā veiksmīgi pārvarēt autorizācijas procesu:

  1. Izpratne par to, kā jūsu produkts atbilst FedRAMP, tostarp trūkumu analīze.
  2. Iegūstiet organizācijas atbalstu un apņemšanos, tostarp no vadītāju komandas un tehniskajām komandām.
  3. Atrodiet aģentūras partneri - tādu, kas izmanto jūsu produktu vai ir apņēmies to darīt.
  4. Pavadiet laiku, lai precīzi noteiktu savas robežas. Tas ietver:
    • iekšējās sastāvdaļas
    • savienojumi ar ārējiem pakalpojumiem un
    • informācijas un metadatu plūsmu.
  5. Domājiet par FedRAMP kā par nepārtrauktu programmu, nevis tikai projektu ar sākuma un beigu datumu. Pakalpojumi ir nepārtraukti jāuzrauga.
  6. Rūpīgi apsveriet autorizācijas pieeju. Vairākiem produktiem var būt nepieciešamas vairākas autorizācijas.
  7. FedRAMP PMO ir vērtīgs resurss, kas var atbildēt uz tehniskiem jautājumiem un palīdzēt jums plānot stratēģiju.

    FedRAMP piedāvā veidnes, lai palīdzētu mākoņpakalpojumu sniedzējiem sagatavoties FedRAMP atbilstības nodrošināšanai.

    Kādas ir FedRAMP atbilstības kategorijas?

    FedRAMP piedāvā četrus ietekmes līmeņus dažāda veida riskiem pakļautiem pakalpojumiem. Tie ir balstīti uz drošības pārkāpuma iespējamo ietekmi trīs dažādās jomās.

    • Konfidencialitāte: Privātuma un īpašumtiesību aizsargātība.
    • Integritāte: Aizsardzība pret informācijas pārveidošanu vai iznīcināšanu.
    • Pieejamība: savlaicīga un uzticama piekļuve datiem.

    Pirmie trīs ietekmes līmeņi ir balstīti uz Nacionālā standartu un tehnoloģiju institūta (NIST) federālo informācijas apstrādes standartu (FIPS) 199. Ceturtais līmenis ir balstīts uz NIST speciālo publikāciju 800-37. Ietekmes līmeņi ir šādi:

    • Augsts, pamatojoties uz 421 kontroles gadījumu. "Konfidencialitātes, integritātes vai pieejamības zaudējums varētu radīt smagu vai katastrofālu negatīvu ietekmi uz organizācijas darbībām, organizācijas aktīviem vai indivīdiem." Tas parasti attiecas uz tiesībaizsardzības, neatliekamās palīdzības dienestiem, finanšu un veselības aprūpes sistēmām.
    • Mēreni, pamatojoties uz 325 kontrolēm. "Konfidencialitātes, integritātes vai pieejamības zaudējums varētu radīt nopietnu negatīvu ietekmi uz organizācijas darbību, organizācijas aktīviem vai indivīdiem." Gandrīz 80 procenti apstiprināto FedRAMP lietojumprogrammu ir vidējas ietekmes līmenī.
    • Zems, pamatojoties uz 125 kontrolēm. "Var sagaidīt, ka konfidencialitātes, integritātes vai pieejamības zaudējums varētu radīt ierobežotu negatīvu ietekmi uz organizācijas darbībām, organizācijas aktīviem vai personām."
    • Mazas ietekmes programmatūra kā pakalpojums (LI-SaaS), kas balstīta uz 36 kontrolēm. . "Sistēmām, kas ir zema riska lietojumiem, piemēram, sadarbības rīkiem, projektu pārvaldības lietojumprogrammām un rīkiem, kas palīdz izstrādāt atvērtā koda kodu." Šī kategorija ir pazīstama arī kā FedRAMP Tailored.

    Pēdējā kategorija tika pievienota 2017. gadā, lai aģentūrām būtu vieglāk apstiprināt "zema riska lietojuma gadījumus". Lai kvalificētos FedRAMP Tailored, pakalpojumu sniedzējam jāatbild "jā" uz sešiem jautājumiem. Tie ir publicēti FedRAMP Tailored politikas lapā:

    • Vai pakalpojums darbojas mākoņa vidē?
    • Vai mākoņpakalpojums darbojas pilnībā?
    • Vai mākoņpakalpojums ir programmatūra kā pakalpojums (SaaS), kā definēts NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Mākoņpakalpojums nesatur personiski identificējamu informāciju (PII), izņemot to, kas nepieciešama, lai nodrošinātu pieteikšanās iespēju (lietotājvārds, parole un e-pasta adrese)?
    • Vai mākoņpakalpojums ir ar zemu drošības ietekmi, kā definēts FIPS PUB 199 "Federālās informācijas un informācijas sistēmu drošības kategorizācijas standarti"?
    • Vai mākoņpakalpojums tiek izvietots FedRAMP autorizētā platformā kā pakalpojums (PaaS) vai infrastruktūrā kā pakalpojums (IaaS), vai arī mākoņpakalpojuma pamatā esošo infrastruktūru nodrošina CSP?

    Paturiet prātā, ka FedRAMP atbilstības panākšana nav vienreizējs uzdevums. Atcerieties FedRAMP autorizācijas monitoringa posmu? Tas nozīmē, ka jums būs regulāri jāiesniedz drošības auditi, lai pārliecinātos, ka jūs. palikt atbilst FedRAMP prasībām.

    Bonuss: Izlasiet soli pa solim izstrādātu sociālo plašsaziņas līdzekļu stratēģijas ceļvedi ar profesionāļu padomiem, kā paplašināt savu klātbūtni sociālajos plašsaziņas līdzekļos.

    Iegūstiet bezmaksas ceļvedi tieši tagad!

    FedRAMP sertificētu produktu piemēri

    Ir daudz veidu FedRAMP autorizētu produktu un pakalpojumu. Šeit ir daži piemēri no mākoņpakalpojumu sniedzējiem, kurus jūs zināt un kurus, iespējams, jau izmantojat.

    Amazon Web Services

    FedRAMP Marketplace ir divi AWS saraksti. AWS GovCloud ir autorizēts augstā līmenī. AWS US East/West ir autorizēts vidējā līmenī.

    Vai dzirdējāt? AWS GovCloud (ASV) klienti var izmantot #AmazonEFS kritiski svarīgām failu slodzēm, pateicoties nesen iegūtai augstajai FedRAMP autorizācijai. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS valdībai (@AWS_Gov) oktobris 18, 2019

    AWS GovCloud ir 292 atļaujas. AWS US East/West ir 250 atļaujas. Tas ir daudz vairāk nekā jebkurā citā FedRAMP Marketplace sarakstā.

    Adobe Analytics

    Adobe Analytics tika autorizēta 2019. gadā. To izmanto Slimību kontroles un profilakses centri un Veselības un sociālo pakalpojumu ministrija. Tā ir autorizēta LI-SaaS līmenī.

    Uzņēmumam Adobe faktiski ir vairāki produkti, kas ir autorizēti LI-SaaS līmenī (piemēram, Adobe Campaign un Adobe Document Cloud).) Uzņēmumam ir arī daži produkti, kas ir autorizēti mērenā līmenī:

    • Adobe Connect pārvaldītie pakalpojumi
    • Adobe Experience Manager pārvaldītie pakalpojumi.

    Adobe pašlaik veic pāreju no FedRAMP Tailored autorizācijas uz FedRAMP Moderate autorizāciju Adobe Sign.

    Uzziniet vairāk par to, kā @Adobe Sign strādā, lai pārietu no FedRAMP Tailored uz FedRAMP Moderate statūtiem, šeit: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) August 12, 2020

    Atcerieties, ka autorizāciju saņem pakalpojums, nevis pakalpojuma sniedzējs. Tāpat kā Adobe, ja piedāvājat vairāk nekā vienu mākoņrisinājumu, jums, iespējams, būs nepieciešams saņemt vairākas autorizācijas.

    Slack

    Šī gada maijā Slack ir piešķirta 21 FedRAMP atļauja. Produkts ir autorizēts mērenā līmenī. To izmanto tādas aģentūras kā:

    • Slimību kontroles un aizsardzības centri,
    • Federālo sakaru komisiju un
    • Nacionālais zinātnes fonds.

    Pateicoties mūsu jaunajai FedRAMP Moderate autorizācijai, ASV publiskais sektors tagad var veikt lielāku daļu sava darba Slack vietnē. Un, izpildot šīs stingrās drošības prasības, mēs nodrošinām drošību arī visiem citiem uzņēmumiem, kas izmanto Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) augusts 13, 2020

    Sākotnēji Slack saņēma FedRAMP pielāgotu atļauju. Pēc tam, sadarbojoties ar Veterānu lietu departamentu, tika saņemta mērena atļauja.

    Slack savā tīmekļa vietnē pievērš uzmanību šīs atļaujas priekšrocībām privātā sektora klientu drošības jomā:

    "Šī jaunākā atļauja nozīmē drošāku pieredzi Slack klientiem, tostarp privātā sektora uzņēmumiem, kuriem nav nepieciešama FedRAMP autorizēta vide. Visi klienti, kas izmanto Slack komerciālos piedāvājumus, var gūt labumu no paaugstinātajiem drošības pasākumiem, kas nepieciešami, lai iegūtu FedRAMP sertifikātu.""

    Trello Enterprise Cloud

    Trello tikai septembrī tika piešķirta Li-SaaS atļauja. Trello līdz šim izmantoja tikai Vispārējā pakalpojumu administrācija. Taču uzņēmums vēlas to mainīt, kā redzams sociālajos ierakstos par jauno FedRAMP statusu:

    🏛️Saskaņā ar Trello FedRAMP autorizāciju jūsu aģentūra tagad var izmantot Trello, lai palielinātu produktivitāti, nojauktu komandas saikni un veicinātu sadarbību. //t.co/GWYgaj9jfY

    - Trello (@trello) oktobris 12, 2020

    Zendesk

    Maijā Zendesk izmanto arī:

    • Enerģētikas departaments,
    • Federālā mājokļu finansēšanas aģentūra
    • FHFA ģenerālinspektora birojs un
    • Vispārējā pakalpojumu administrācija.

    Zendesk klientu atbalsta un palīdzības dienesta platformai ir Li-Saas autorizācija.

    No šodienas mēs varam ievērojami atvieglot valdības aģentūrām sadarbību ar mums, jo @Zendesk tagad ir apstiprināts FedRAMP. Liels paldies visām komandām gan Zendesk iekšienē, gan ārpus tās par ieguldīto darbu. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) maijs 22, 2020

    FedRAMP sociālo mediju pārvaldībai

    SMMExpert ir saņēmis FedRAMP atļauju. Valdības iestādes tagad var viegli sadarboties ar pasaules līderi sociālo mediju pārvaldības jomā, lai sadarbotos ar iedzīvotājiem, pārvaldītu krīzes komunikāciju un sniegtu pakalpojumus un informāciju, izmantojot sociālos medijus.

    Pieprasīt demonstrējumu

    Iepriekšējais ieraksts Ideāls sociālo mediju stila ceļvedis jūsu zīmolam 2023. gadā
    Nākamais ieraksts 8 padomi nevainojamai Instagram pārņemšanai

    Kimberlija Pārkere ir pieredzējusi digitālā mārketinga profesionāle ar vairāk nekā 10 gadu pieredzi šajā nozarē. Būdama savas sociālo mediju mārketinga aģentūras dibinātāja, viņa ir palīdzējusi daudziem uzņēmumiem dažādās nozarēs izveidot un palielināt savu klātbūtni tiešsaistē, izmantojot efektīvas sociālo mediju stratēģijas. Kimberlija ir arī produktīva rakstniece, vairākās cienījamās publikācijās publicējusi rakstus par sociālajiem medijiem un digitālo mārketingu. Brīvajā laikā viņai patīk eksperimentēt ar jaunām receptēm virtuvē un doties garās pastaigās ar suni.