Сертификација FedRAMP: Што е тоа, зошто е важно и кој го има

Kimberly Parker

29-05-2023 Стратегија
  • Споделете Го Ова
Kimberly Parker

Хакирани ролни фотоапарати на познати личности. Државна сајбер шпионажа. И сè помеѓу. Безбедноста на податоците има огромен опсег на апликации. И тоа е голема грижа за сите што користат или обезбедуваат услуги базирани на облак.

Кога се вклучени владини податоци, тие грижи може да достигнат ниво на национална безбедност. Затоа владата на САД бара од сите облак услуги што ги користат федералните агенции да исполнуваат прецизен сет на безбедносни стандарди познати како FedRAMP.

Па што е FedRAMP и што подразбира тоа? Вие сте на вистинското место за да дознаете.

Бонус: Прочитајте го чекор-по-чекор водичот за стратегија за социјалните медиуми со професионални совети за тоа како да го зголемите вашето присуство на социјалните мрежи.

Што е FedRAMP?

FedRAMP е кратенка за „Федерална програма за управување со ризик и авторизација“. Ја стандардизира безбедносната проценка и овластувањето за облак производите и услугите што ги користат федералните агенции на САД.

Целта е да се осигураме дека федералните податоци се постојано заштитени на високо ниво во облакот.

Добивање на FedRAMP овластувањето е сериозна работа. Нивото на потребна безбедност е наложено со закон. Постојат 14 важечки закони и регулативи, заедно со 19 стандарди и документи за упатства. Тоа е една од најригорозните сертификати за софтвер како услуга во светот.

Еве брз вовед:

FedRAMP постои од 2012 година. Тоа е кога облак технологиите навистинаовластување за Adobe Sign.

Дознајте повеќе за тоа како @Adobe Sign работи за да се пресели од FedRAMP Tailored во FedRAMP Moderate статуи овде: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 август 2020 година

Запомнете дека услугата, а не давателот на услугата добива овластување. Како и Adobe, можеби ќе треба да продолжите со повеќе овластувања ако понудите повеќе од едно решение базирано на облак.

Slack

Овластен во мај оваа година, Slack има 21 FedRAMP овластувања. Производот е овластен на умерено ниво. Се користи од агенции, вклучувајќи ги:

  • Центрите за контрола и заштита на болести,
  • Федералната комисија за комуникации и
  • Националната научна фондација.

Јавниот сектор на САД сега може да работи повеќе од својата работа во Slack, благодарение на нашата нова FedRAMP Moderate овластување. И со исполнување на тие строги безбедносни барања, ги чуваме работите безбедни и за секоја друга компанија што користи Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13 август 2020 година

Slack првично доби овластување прилагодено на FedRAMP. Потоа, тие продолжија со Умерено овластување преку партнерство со Одделот за прашања на ветераните.

Slack се погрижи да привлече внимание на безбедносните придобивки од ова овластување за клиентите од приватниот сектор на својата веб-страница:

„Ова најновото овластување се преведува на посигурно искуство заЗапуштени клиенти, вклучително и бизниси од приватниот сектор за кои не е потребна околина овластена од FedRAMP. Сите клиенти кои ги користат комерцијалните понуди на Slack можат да имаат корист од зголемените безбедносни мерки потребни за да се постигне FedRAMP сертификација.“

Trello Enterprise Cloud

Trello штотуку доби овластување за Li-SaaS во септември. Trello досега се користи само од Администрацијата за општи услуги. Но, компанијата бара да го промени тоа, како што се гледа во нивните социјални објави за нивниот нов статус FedRAMP:

соработка. //t.co/GWYgaj9jfY

— Trello (@trello) 12 октомври 2020 година

Zendesk

Исто така овластено во мај, Zendesk се користи од:

  • Одделот за енергетика,
  • Федералната агенција за финансии за домување
  • Канцеларијата FHFA на Генералниот инспектор и
  • Управата за општи услуги.

Платформата за поддршка на корисници и бирото за помош на Zendesk има овластување Li-Saas.

Од денес можеме многу да им олесниме на владините агенции да работат со нас бидејќи @Zendesk сега е овластен за FedRAMP. Голема благодарност до сите тимови внатре и надвор од Зендеск за вложениот труд во ова. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22 мај 2020 година

FedRAMP за управување со социјалните медиуми

SMMEexpert е FedRAMPовластени. Владините агенции сега можат лесно да соработуваат со глобалниот лидер во управувањето со социјалните медиуми за да се вклучат со граѓаните, да управуваат со кризни комуникации и да испорачуваат услуги и информации преку социјалните медиуми.

Побарајте демо

почна да ги заменува застарените врзани софтверски решенија. Се роди од стратегијата на американската влада „Прво во облак“. Таа стратегија бараше од агенциите да гледаат на решенија базирани на облак како прв избор.

Пред FedRAMP, давателите на облак услуги мораа да подготват пакет за овластување за секоја агенција со која сакаа да работат. Барањата не беа конзистентни. И имаше многу дупликат напор и за провајдерите и за агенциите.

FedRAMP воведе конзистентност и го рационализираше процесот.

Сега, евалуациите и барањата се стандардизирани. Повеќе владини агенции може повторно да го користат безбедносниот пакет за овластување FedRAMP на давателот.

Почетното прифаќање на FedRAMP беше бавно. Само 20 понуди на облак услуги беа одобрени во првите четири години. Но, темпото навистина се зголеми од 2018 година, и сега има 204 овластени производи за облак од FedRAMP.

Извор: FedRAMP

FedRAMP е контролиран од Заеднички одбор за авторизација (JAB). Одборот е составен од претставници од:

  • Одделот за домашна безбедност
  • Управата за општи служби и
  • одделот за одбрана.
    • <10 12>

    Програмата е одобрена од страна на Сојузниот совет на главни офицери за информации на владата на САД.

    Зошто е важна сертификацијата FedRAMP?

    За сите облак услуги што имаат федерални податоци бараат овластување од FedRAMP. Значи, ако сакате да работите софедералната влада, овластувањето на FedRAMP е важен дел од вашиот безбедносен план.

    FedRAMP е важен затоа што обезбедува доследност во безбедноста на владините облак услуги - и затоа што обезбедува доследност во оценувањето и следењето на таа безбедност. Обезбедува еден сет на стандарди за сите владини агенции и сите даватели на облак.

    Обезбедувачите на услуги во облак кои се овластени за FedRAMP се наведени на пазарот на FedRAMP. Овој пазар е првото место на кое владините агенции гледаат кога сакаат да набават ново решение базирано на облак. Многу е полесно и побрзо агенцијата да користи производ кој е веќе овластен отколку да го започне процесот на овластување со нов продавач.

    Значи, огласот на пазарот FedRAMP ве прави многу поголеми шанси да добиете дополнителен бизнис од владини агенции. Но, може да го подобри и вашиот профил во приватниот сектор.

    Тоа е затоа што пазарот на FedRAMP е видлив за јавноста. Секоја компанија од приватниот сектор може да се движи низ списокот на овластени решенија за FedRAMP.

    Тоа е одличен ресурс кога тие бараат да набават безбеден производ или услуга во облак.

    Овластувањето на FedRAMP може да направи секој клиент посигурни за безбедносните протоколи. Претставува постојана посветеност за исполнување на највисоките безбедносни стандарди.

    Овластувањето FedRAMP значително го зајакнува вашиот безбедносен кредибилитетнадвор од пазарот FedRAMP, исто така. Можете да го споделите вашето овластување FedRAMP на социјалните медиуми и на вашата веб-локација.

    Вистината е дека повеќето од вашите клиенти веројатно не знаат што е FedRAMP. Не им е грижа дали си овластен или не. Но, за оние големи клиенти кои навистина го разбираат FedRAMP - и во јавниот и во приватниот сектор - недостатокот на овластување може да биде неуспех.

    Што е потребно за да се добие FedRAMP сертифициран?

    Таму се два различни начини да се овласти за FedRAMP.

    1. Заеднички одбор за овластување (JAB) привремено овластување за работа

    Во овој процес, JAB издава привремено овластување. Тоа им овозможува на агенциите да знаат дека ризикот е прегледан.

    Тоа е важно прво одобрување. Но, секоја агенција што сака да ја користи услугата сè уште треба да издаде свој авторитет за работа.

    Овој процес најдобро одговара за давателите на облак услуги со висок или умерен ризик. (Ќе ги разгледаме нивоата на ризик во следниот дел.)

    Еве визуелен преглед на процесот JAB:

    Извор: FedRAMP

    2. Овластување на агенцијата за работа

    Во овој процес, давателот на облак услуги воспоставува врска со одредена федерална агенција. Таа агенција е вклучена во текот на целиот процес. Ако процесот е успешен, агенцијата издава писмо за овластување за работа.

    Извор: FedRAMP

    Чекори до овластување FedRAMP

    Без разлика кој тип на овластување го барате, овластувањето на FedRAMP вклучува четири главни чекори:

    1. Развој на пакет. Прво, има почетен состанок за овластување. Потоа давателот го комплетира планот за безбедност на системот. Потоа, организација за проценка од трета страна одобрена од FedRAMP развива План за проценка на безбедноста.
    2. Проценка. Организацијата за проценка поднесува извештај за проценка на безбедноста. Давателот создава Акционен план & засилувач; Пресвртници.
    3. Овластување. JAB или агенцијата за овластување одлучува дали ризикот како што е опишан е прифатлив. Ако одговорот е да, тие поднесуваат писмо за овластување за работа до канцеларијата за управување со проекти на FedRAMP. Потоа, давателот е наведен на пазарот FedRAMP.
    4. Мониторинг. Давателот испраќа месечни испораки за безбедносно следење до секоја агенција што ја користи услугата.

    Најдобро овластување FedRAMP практики

    Процесот на постигнување овластување од FedRAMP може да биде тежок. Но, во најдобар интерес на сите вклучени е давателите на услуги во облак да успеат откако ќе го започнат процесот на овластување.

    За да помогне, FedRAMP интервјуираше неколку мали бизниси и старт-ап за лекциите научени за време на овластувањето. Еве ги нивните седум најдобри совети за успешно навигација во процесот на авторизација:

    1. Разберете како вашиотмапи на производи на FedRAMP – вклучително и анализа на празнината.
    2. Добијте организациско купување и посветеност – вклучително и од извршниот тим и техничките тимови.
    3. Најдете партнер од агенцијата – оној што го користи вашиот производ или е посветен на тоа.
    4. Потрошете време прецизно дефинирајќи ја вашата граница. Тоа вклучува:
      • внатрешни компоненти
      • врски со надворешни услуги и
      • проток на информации и метаподатоци.
    5. Размислете FedRAMP како континуирана програма, наместо само проект со датум на почеток и крај. Услугите мора постојано да се следат.
    6. Внимателно разгледајте го вашиот пристап за овластување. За повеќе производи може да бидат потребни повеќе овластувања.
    7. FedRAMP PMO е вреден ресурс. Тие можат да одговорат на технички прашања и да ви помогнат да ја планирате вашата стратегија.

    FedRAMP нуди шаблони за да им помогне на давателите на облак услуги да се подготват за усогласеност со FedRAMP.

    Кои се категориите за усогласеност со FedRAMP?

    FedRAMP нуди четири нивоа на влијание за услуги со различни видови на ризик. Тие се засноваат на потенцијалните влијанија од прекршување на безбедноста во три различни области.

    • Доверливост: Заштита за приватност и сопственички информации.
    • Интегритет: Заштита од модификација или уништување на информации.
    • Достапност: Навремен и сигурен пристап до податоците.

    Првите тринивоата на влијание се засноваат на Федералниот стандард за обработка на информации (FIPS) 199 од Националниот институт за стандарди и технологија (NIST). Четвртиот е заснован на NIST Special Publication 800-37. Нивоата на влијание се:

    • Високи, врз основа на 421 контрола. „Губењето на доверливост, интегритет или достапност може да се очекува да има сериозен или катастрофален негативен ефект врз организациските операции, организациски средства или поединци“. Ова обично се однесува на органите за спроведување на законот, службите за итни случаи, финансиските и здравствените системи.
    • Умерено, врз основа на 325 контроли. „Загубата на доверливост, интегритет или достапност може да се очекува да има сериозен негативен ефект врз организациските операции, организациски средства или поединци“. Речиси 80 проценти од одобрените FedRAMP апликации се на умерено ниво на влијание.
    • Ниско, врз основа на 125 контроли. „Загубата на доверливост, интегритет или достапност може да се очекува да има ограничена негативно влијание врз организациските операции, организациски средства или поединци.“
    • Софтвер со ниско влијание како услуга (LI-SaaS), базиран на 36 контроли . За „системи со низок ризик за употреба како што се алатки за соработка, апликации за управување со проекти и алатки кои помагаат да се развие код со отворен код“. Оваа категорија е позната и како FedRAMP Tailored.

    Последнава категорија е додадена во 2017 г.за да им се олесни на агенциите да одобруваат „случаи за употреба со низок ризик“. За да се квалификува за FedRAMP Tailored, давателот мора да одговори со да на шест прашања. Овие се објавени на страницата за политики приспособени на FedRAMP:

    • Дали услугата работи во опкружување облак?
    • Дали услугата облак е целосно оперативна?
    • Дали е облакот сервисирајте софтвер како услуга (SaaS), како што е дефинирано со NIST SP 800-145, Дефиниција на NIST за Cloud Computing?
    • Облакот услугата не содржи информации за лична идентификација (PII), освен ако е потребно за да се обезбеди можност за најава (корисничко име, лозинка и адреса на е-пошта)?
    • Дали услугата облак има ниско безбедносно влијание, како што е дефинирано со FIPS PUB 199, Стандарди за безбедносна категоризација на федералните информациски и информациски системи?
    • Дали услугата облак е хостирана во рамките на овластена од FedRAMP Платформа како услуга (PaaS) или Infrastructure as a Service (IaaS), или CSP ја обезбедува основната инфраструктура на облак?

    Имајте на ум дека постигнувањето усогласеност со FedRAMP не е еднократна задача. Се сеќавате на фазата на следење на авторизацијата на FedRAMP? Тоа значи дека ќе треба да поднесувате редовни безбедносни контроли за да се осигурате дека останувате во согласност со FedRAMP.

    Бонус: Прочитајте го чекор-по-чекор водичот за стратегија за социјалните медиуми со професионални совети за тоа како да го зголемите вашето присуство на социјалните мрежи.

    Добијте го бесплатниот водич веднаш!

    Примери на FedRAMP сертифициранипроизводи

    Постојат многу видови на FedRAMP овластени производи и услуги. Еве неколку примери од даватели на облак услуги што ги познавате и можеби веќе ги користите самите.

    Веб-услуги на Amazon

    Постојат два огласи за AWS на пазарот FedRAMP. AWS GovCloud е овластен на високо ниво. AWS US East/West е овластен на умерено ниво.

    Дали слушнавте? Клиентите на AWS GovCloud (САД) можат да користат #AmazonEFS за работни оптоварувања на датотеки кои се клучни за мисијата, благодарение на неодамна постигнатото овластување FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS за Владата (@AWS_Gov) 18 октомври 2019 година

    AWS GovCloud има неверојатни 292 овластувања. AWS US East/West има 250 овластувања. Тоа е многу повеќе од кој било друг оглас на пазарот FedRAMP.

    Adobe Analytics

    Adobe Analytics беше овластена во 2019 година. Ја користат Центрите за контрола и превенција на болести и Министерството за здравство и Човечки услуги. Тој е овластен на ниво LI-SaaS.

    Adobe всушност има неколку производи овластени на ниво LI-SaaS. (Како Adobe Campaign и Adobe Document Cloud.) Тие исто така имаат неколку производи овластени на умерено ниво:

    • Adobe Connect Managed Services
    • Adobe Experience Manager Managed Services.

    Adobe моментално е во процес на преминување од овластување прилагодено на FedRAMP на FedRAMP Moderate

Претходен пост Совршен водич за стил на социјалните медиуми за вашиот бренд во 2023 година
Следен пост 8 совети за беспрекорно преземање на Инстаграм

Кимберли Паркер е искусен професионалец за дигитален маркетинг со повеќе од 10 години искуство во индустријата. Како основач на сопствената агенција за маркетинг на социјалните медиуми, таа им помогна на многу бизниси во различни индустрии да го воспостават и да го зголемат своето онлајн присуство преку ефективни стратегии за социјалните медиуми. Кимберли е исто така плоден писател, со написи за социјалните медиуми и дигитален маркетинг во неколку реномирани публикации. Во слободното време сака да експериментира со нови рецепти во кујната и да оди на долги прошетки со своето куче.