Pensijilan FedRAMP: Apakah Itu, Mengapa Ia Penting, dan Siapa Memilikinya

Kimberly Parker

29-05-2023 Strategi
  • Berkongsi Ini
Kimberly Parker

Gulungan kamera selebriti yang digodam. pengintipan siber berasaskan negeri. Dan segala-galanya di antara. Keselamatan data mempunyai pelbagai jenis aplikasi. Dan ini adalah kebimbangan utama bagi semua orang yang menggunakan atau membekalkan perkhidmatan berasaskan awan.

Apabila data kerajaan terlibat, kebimbangan tersebut boleh mencapai tahap keselamatan negara. Itulah sebabnya kerajaan A.S. menghendaki semua perkhidmatan awan yang digunakan oleh agensi persekutuan untuk memenuhi satu set piawaian keselamatan yang teliti yang dikenali sebagai FedRAMP.

Jadi, apakah itu FedRAMP dan apakah yang diperlukan? Anda berada di tempat yang betul untuk mengetahui.

Bonus: Baca panduan strategi media sosial langkah demi langkah dengan petua profesional tentang cara mengembangkan kehadiran media sosial anda.

Apakah itu FedRAMP?

FedRAMP bermaksud "Program Pengurusan Risiko dan Kebenaran Persekutuan." Ia menyeragamkan penilaian keselamatan dan kebenaran untuk produk dan perkhidmatan awan yang digunakan oleh agensi persekutuan A.S..

Matlamatnya adalah untuk memastikan data persekutuan dilindungi secara konsisten pada tahap tinggi dalam awan.

Mendapatkan FedRAMP kebenaran adalah perniagaan yang serius. Tahap keselamatan yang diperlukan adalah dimandatkan oleh undang-undang. Terdapat 14 undang-undang dan peraturan yang terpakai, bersama-sama dengan 19 piawaian dan dokumen panduan. Ia merupakan salah satu pensijilan perisian-sebagai-perkhidmatan yang paling ketat di dunia.

Berikut ialah pengenalan pantas:

FedRAMP telah wujud sejak 2012. Pada masa itulah teknologi awan benar-benarkebenaran untuk Adobe Sign.

Ketahui lebih lanjut tentang cara @Adobe Sign berfungsi untuk beralih daripada FedRAMP Tailored kepada FedRAMP Moderate patung di sini: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 Ogos 2020

Ingat bahawa perkhidmatan, bukan penyedia perkhidmatan, yang mendapat kebenaran. Seperti Adobe, anda mungkin perlu meneruskan berbilang kebenaran jika anda menawarkan lebih daripada satu penyelesaian berasaskan awan.

Slack

Diizinkan pada bulan Mei tahun ini, Slack mempunyai 21 keizinan FedRAMP. Produk dibenarkan pada tahap Sederhana. Ia digunakan oleh agensi termasuk:

  • Pusat Kawalan dan Perlindungan Penyakit,
  • Suruhanjaya Komunikasi Persekutuan dan
  • Yayasan Sains Kebangsaan.

Sektor awam A.S. kini boleh menjalankan lebih banyak kerja mereka dalam Slack, terima kasih kepada kebenaran FedRAMP Moderate baharu kami. Dan dengan memenuhi keperluan keselamatan yang ketat itu, kami juga memastikan keadaan selamat untuk setiap syarikat lain yang menggunakan Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13 Ogos 2020

Slack pada asalnya menerima kebenaran FedRAMP Tailored. Kemudian, mereka mengejar kebenaran Sederhana dengan bekerjasama dengan Jabatan Hal Ehwal Veteran.

Slack memastikan untuk menarik perhatian kepada faedah keselamatan kebenaran ini untuk pelanggan sektor swasta di tapak webnya:

“Ini kebenaran terkini diterjemahkan kepada pengalaman yang lebih selamat untukPelanggan yang lemah, termasuk perniagaan sektor swasta yang tidak memerlukan persekitaran yang dibenarkan FedRAMP. Semua pelanggan yang menggunakan tawaran komersial Slack boleh mendapat manfaat daripada langkah keselamatan yang dipertingkatkan yang diperlukan untuk mencapai pensijilan FedRAMP.”

Awan Perusahaan Trello

Trello baru sahaja diberikan kebenaran Li-SaaS pada bulan September. Trello setakat ini hanya digunakan oleh Pentadbiran Perkhidmatan Am. Tetapi syarikat sedang berusaha untuk mengubahnya, seperti yang dilihat dalam siaran sosial mereka tentang status FedRAMP baharu mereka:

🏛️Dengan kebenaran FedRAMP Trello, agensi anda kini boleh menggunakan Trello untuk meningkatkan produktiviti, memecahkan silo pasukan dan memupuk kerjasama. //t.co/GWYgaj9jfY

— Trello (@trello) 12 Oktober 2020

Zendesk

Turut diberi kuasa pada bulan Mei, Zendesk digunakan oleh:

  • Jabatan Tenaga,
  • Agensi Kewangan Perumahan Persekutuan
  • Pejabat FHFA Ketua Polis Negara, dan
  • Pentadbiran Perkhidmatan Am.

Platform Meja Bantuan dan Sokongan Pelanggan Zendesk mempunyai keizinan Li-Saas.

Mulai hari ini kami boleh memudahkan lagi agensi kerajaan bekerjasama dengan kami kerana @Zendesk kini diberi kuasa FedRAMP. Jutaan terima kasih kepada semua pasukan di dalam dan di luar Zendesk atas usaha yang dilakukan. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22 Mei 2020

FedRAMP untuk pengurusan media sosial

SMMExpert ialah FedRAMPdiberi kuasa. Agensi kerajaan kini boleh bekerjasama dengan peneraju global dalam pengurusan media sosial dengan mudah untuk melibatkan diri dengan rakyat, mengurus komunikasi krisis dan menyampaikan perkhidmatan serta maklumat melalui media sosial.

Minta Demo

mula menggantikan penyelesaian perisian tertambat yang lapuk. Ia lahir daripada strategi "Cloud First" kerajaan A.S. Strategi itu memerlukan agensi melihat penyelesaian berasaskan awan sebagai pilihan pertama.

Sebelum FedRAMP, penyedia perkhidmatan awan perlu menyediakan pakej kebenaran untuk setiap agensi yang mereka mahu bekerjasama. Keperluan tidak konsisten. Dan terdapat banyak usaha pendua untuk kedua-dua penyedia dan agensi.

FedRAMP memperkenalkan konsistensi dan memperkemas proses.

Kini, penilaian dan keperluan diseragamkan. Berbilang agensi kerajaan boleh menggunakan semula pakej keselamatan kebenaran FedRAMP penyedia.

Pengambilan FedRAMP awal adalah perlahan. Hanya 20 tawaran perkhidmatan awan telah dibenarkan dalam empat tahun pertama. Tetapi kadarnya telah meningkat sejak 2018 dan kini terdapat 204 produk awan yang dibenarkan FedRAMP.

Sumber: FedRAMP

FedRAMP dikawal oleh Lembaga Kebenaran Bersama (JAB). Lembaga itu terdiri daripada wakil daripada:

  • Jabatan Keselamatan Dalam Negeri
  • Pentadbiran Perkhidmatan Am, dan
  • Jabatan Pertahanan.

Program ini disokong oleh Majlis Ketua Pegawai Maklumat Persekutuan kerajaan A.S.

Mengapa pensijilan FedRAMP penting?

Semua perkhidmatan awan yang memegang data persekutuan memerlukan kebenaran FedRAMP. Jadi, jika anda ingin bekerja dengankerajaan persekutuan, kebenaran FedRAMP ialah bahagian penting dalam pelan keselamatan anda.

FedRAMP adalah penting kerana ia memastikan ketekalan dalam keselamatan perkhidmatan awan kerajaan—dan kerana ia memastikan ketekalan dalam menilai dan memantau keselamatan tersebut. Ia menyediakan satu set standard untuk semua agensi kerajaan dan semua penyedia awan.

Penyedia perkhidmatan awan yang diberi kuasa FedRAMP disenaraikan dalam Pasaran FedRAMP. Pasaran ini ialah tempat pertama agensi kerajaan melihat apabila mereka ingin mendapatkan penyelesaian berasaskan awan baharu. Lebih mudah dan pantas bagi agensi menggunakan produk yang telah dibenarkan daripada memulakan proses kebenaran dengan vendor baharu.

Jadi, penyenaraian dalam pasaran FedRAMP menjadikan anda lebih berkemungkinan mendapat perniagaan tambahan daripada Agensi-agensi kerajaan. Tetapi ia juga boleh meningkatkan profil anda dalam sektor swasta.

Itu kerana pasaran FedRAMP kelihatan kepada orang ramai. Mana-mana syarikat sektor swasta boleh menatal senarai penyelesaian yang dibenarkan FedRAMP.

Ia merupakan sumber yang hebat apabila mereka ingin mendapatkan produk atau perkhidmatan awan yang selamat.

Keizinan FedRAMP boleh membuat mana-mana pelanggan lebih yakin tentang protokol keselamatan. Ia mewakili komitmen berterusan untuk memenuhi standard keselamatan tertinggi.

Keizinan FedRAMP meningkatkan kredibiliti keselamatan anda dengan ketaradi luar Pasaran FedRAMP juga. Anda boleh berkongsi kebenaran FedRAMP anda di media sosial dan di tapak web anda.

Sebenarnya kebanyakan pelanggan anda mungkin tidak tahu apa itu FedRAMP. Mereka tidak kisah sama ada anda diberi kuasa atau tidak. Tetapi bagi pelanggan besar yang memahami FedRAMP – dalam kedua-dua sektor awam dan swasta – kekurangan kebenaran mungkin menjadi pemecah perjanjian.

Apakah yang diperlukan untuk diperakui FedRAMP?

Di sana ialah dua cara berbeza untuk menjadi FedRAMP dibenarkan.

1. Pihak Berkuasa Sementara Lembaga Kebenaran Bersama (JAB) untuk Beroperasi

Dalam proses ini, JAB mengeluarkan kebenaran sementara. Itu membolehkan agensi mengetahui risiko telah disemak.

Ini adalah kelulusan pertama yang penting. Tetapi mana-mana agensi yang ingin menggunakan perkhidmatan itu masih perlu mengeluarkan Kuasa Beroperasi mereka sendiri.

Proses ini paling sesuai untuk penyedia perkhidmatan awan yang mempunyai risiko tinggi atau sederhana. (Kami akan menyelami tahap risiko dalam bahagian seterusnya.)

Berikut ialah gambaran keseluruhan visual proses JAB:

Sumber: FedRAMP

2. Pihak Berkuasa Agensi untuk Beroperasi

Dalam proses ini, penyedia perkhidmatan awan mewujudkan hubungan dengan agensi persekutuan tertentu. Agensi itu terlibat sepanjang proses. Jika proses itu berjaya, agensi mengeluarkan surat Kuasa Beroperasi.

Sumber: FedRAMP

Langkah ke kebenaran FedRAMP

Tidak kira jenis kebenaran yang anda laksanakan, kebenaran FedRAMP melibatkan empat langkah utama:

  1. Pembangunan pakej. Pertama, terdapat mesyuarat permulaan kebenaran. Kemudian pembekal melengkapkan Pelan Keselamatan Sistem. Seterusnya, organisasi penilaian pihak ketiga yang diluluskan oleh FedRAMP membangunkan Pelan Penilaian Keselamatan.
  2. Penilaian. Organisasi penilaian menyerahkan laporan Penilaian Keselamatan. Pembekal mencipta Pelan Tindakan & Pencapaian.
  3. Keizinan. JAB atau agensi pemberi kuasa memutuskan sama ada risiko seperti yang diterangkan boleh diterima. Jika ya, mereka menyerahkan surat Kuasa Beroperasi kepada pejabat pengurusan projek FedRAMP. Pembekal kemudiannya disenaraikan dalam Pasaran FedRAMP.
  4. Pemantauan. Pembekal menghantar penghantaran pemantauan keselamatan bulanan kepada setiap agensi yang menggunakan perkhidmatan tersebut.

Keizinan FedRAMP terbaik amalan

Proses untuk mencapai kebenaran FedRAMP boleh menjadi sukar. Tetapi adalah demi kepentingan terbaik semua orang yang terlibat agar penyedia perkhidmatan awan berjaya setelah mereka memulakan proses kebenaran.

Untuk membantu, FedRAMP menemu bual beberapa perniagaan kecil dan syarikat baru tentang pelajaran yang dipelajari semasa kebenaran. Berikut ialah tujuh petua terbaik mereka untuk berjaya menavigasi proses kebenaran:

  1. Fahami cara andapeta produk ke FedRAMP – termasuk analisis jurang.
  2. Dapatkan pembelian dan komitmen organisasi – termasuk daripada pasukan eksekutif dan pasukan teknikal.
  3. Cari rakan kongsi agensi – yang menggunakan produk anda atau komited untuk berbuat demikian.
  4. Luangkan masa dengan tepat menentukan sempadan anda. Itu termasuk:
    • komponen dalaman
    • sambungan kepada perkhidmatan luaran dan
    • aliran maklumat dan metadata.
  5. Fikirkan FedRAMP sebagai program berterusan, bukan sekadar projek dengan tarikh mula dan tamat. Perkhidmatan mesti dipantau secara berterusan.
  6. Pertimbangkan pendekatan kebenaran anda dengan berhati-hati. Berbilang produk mungkin memerlukan berbilang kebenaran.
  7. PMO FedRAMP ialah sumber yang berharga. Mereka boleh menjawab soalan teknikal dan membantu anda merancang strategi anda.

    FedRAMP menawarkan templat untuk membantu penyedia perkhidmatan awan bersedia untuk pematuhan FedRAMP.

    Apakah kategori pematuhan FedRAMP?

    FedRAMP menawarkan empat tahap impak untuk perkhidmatan dengan pelbagai jenis risiko. Ia berdasarkan potensi kesan pelanggaran keselamatan di tiga kawasan berbeza.

    • Kerahsiaan: Perlindungan untuk privasi dan maklumat proprietari.
    • Integriti: Perlindungan terhadap pengubahsuaian atau pemusnahan maklumat.
    • Ketersediaan: Akses data yang tepat pada masanya dan boleh dipercayai.

    Tiga yang pertamatahap impak adalah berdasarkan Piawaian Pemprosesan Maklumat Persekutuan (FIPS) 199 daripada Institut Piawaian dan Teknologi Kebangsaan (NIST). Yang keempat adalah berdasarkan NIST Special Publication 800-37. Tahap impak ialah:

    • Tinggi, berdasarkan kawalan 421. “Kehilangan kerahsiaan, integriti atau ketersediaan boleh dijangka mempunyai kesan buruk yang teruk atau bencana ke atas organisasi operasi, aset organisasi atau individu.” Ini biasanya terpakai kepada penguatkuasaan undang-undang, perkhidmatan kecemasan, kewangan dan sistem kesihatan.
    • Sederhana, berdasarkan kawalan 325. “Kehilangan kerahsiaan, integriti atau ketersediaan boleh dijangkakan kesan buruk yang serius terhadap operasi organisasi, aset organisasi atau individu.” Hampir 80 peratus daripada aplikasi FedRAMP yang diluluskan berada pada tahap impak sederhana.
    • Rendah, berdasarkan 125 kawalan. “Kehilangan kerahsiaan, integriti atau ketersediaan boleh dijangka mempunyai had yang terhad kesan buruk terhadap operasi organisasi, aset organisasi atau individu.”
    • Perisian-sebagai-Perkhidmatan-Rendah-Impak (LI-SaaS), berdasarkan 36 kawalan . Untuk "sistem yang berisiko rendah untuk kegunaan seperti alat kerjasama, aplikasi pengurusan projek dan alat yang membantu membangunkan kod sumber terbuka." Kategori ini juga dikenali sebagai FedRAMP Tailored.

    Kategori terakhir ini telah ditambahkan pada 2017untuk memudahkan agensi meluluskan "kes penggunaan berisiko rendah." Untuk layak menerima FedRAMP Tailored, pembekal mesti menjawab ya kepada enam soalan. Ini disiarkan pada halaman dasar FedRAMP Tailored:

    • Adakah perkhidmatan tersebut beroperasi dalam persekitaran awan?
    • Adakah perkhidmatan awan beroperasi sepenuhnya?
    • Adakah awan perkhidmatan Perisian sebagai Perkhidmatan (SaaS), seperti yang ditakrifkan oleh NIST SP 800-145, Definisi NIST Pengkomputeran Awan?
    • Perkhidmatan awan tidak mengandungi maklumat pengenalan peribadi (PII), kecuali yang diperlukan untuk menyediakan keupayaan log masuk (nama pengguna, kata laluan dan alamat e-mel)?
    • Adakah perkhidmatan awan berimpak rendah keselamatan, seperti yang ditakrifkan oleh FIPS PUB 199, Piawaian untuk Pengkategorian Keselamatan bagi Sistem Maklumat dan Maklumat Persekutuan?
    • Adakah perkhidmatan awan dihoskan dalam Platform yang dibenarkan FedRAMP sebagai Perkhidmatan (PaaS) atau Infrastruktur sebagai Perkhidmatan (IaaS), atau adakah CSP menyediakan infrastruktur awan asas?

    Perlu diingat bahawa mencapai pematuhan FedRAMP bukanlah tugas sekali sahaja. Ingat peringkat Pemantauan kebenaran FedRAMP? Ini bermakna anda perlu menyerahkan audit keselamatan biasa untuk memastikan anda kekal mematuhi FedRAMP.

    Bonus: Baca panduan strategi media sosial langkah demi langkah dengan petua profesional tentang cara mengembangkan kehadiran media sosial anda.

    Dapatkan panduan percuma sekarang!

    Contoh FedRAMP diperakuiproduk

    Terdapat banyak jenis produk dan perkhidmatan yang dibenarkan FedRAMP. Berikut ialah beberapa contoh daripada pembekal perkhidmatan awan yang anda kenali dan mungkin sudah menggunakan sendiri.

    Perkhidmatan Web Amazon

    Terdapat dua penyenaraian AWS dalam Pasaran FedRAMP. AWS GovCloud diberi kuasa di peringkat Tinggi. AWS US Timur/Barat diberi kuasa pada tahap Sederhana.

    Adakah anda dengar? Pelanggan AWS GovCloud (AS) boleh menggunakan #AmazonEFS untuk beban kerja fail kritikal misi berkat pencapaian keizinan Tinggi FedRAMP baru-baru ini. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 18 Oktober 2019

    AWS GovCloud mempunyai 292 keizinan. AWS AS Timur/Barat mempunyai 250 kebenaran. Itu jauh lebih tinggi daripada penyenaraian lain dalam Pasaran FedRAMP.

    Analitis Adobe

    Analitis Adobe telah dibenarkan pada tahun 2019. Ia digunakan oleh Pusat Kawalan dan Pencegahan Penyakit serta Jabatan Kesihatan dan Perkhidmatan Manusia. Ia dibenarkan pada peringkat LI-SaaS.

    Adobe sebenarnya mempunyai beberapa produk yang dibenarkan pada peringkat LI-SaaS. (Seperti Adobe Campaign dan Adobe Document Cloud.) Mereka juga mempunyai beberapa produk yang dibenarkan pada tahap Sederhana:

    • Adobe Connect Managed Services
    • Adobe Experience Manager Managed Services.

    Adobe kini dalam proses beralih daripada kebenaran FedRAMP Disesuaikan kepada FedRAMP Moderate

    Catatan sebelum ini Panduan Gaya Media Sosial yang Sempurna untuk Jenama Anda pada 2023
    Post seterusnya 8 Petua untuk Pengambilalihan Instagram Tanpa Cacat

    Kimberly Parker ialah seorang profesional pemasaran digital berpengalaman dengan lebih 10 tahun pengalaman dalam industri. Sebagai pengasas agensi pemasaran media sosialnya sendiri, dia telah membantu banyak perniagaan merentas pelbagai industri mewujudkan dan mengembangkan kehadiran dalam talian mereka melalui strategi media sosial yang berkesan. Kimberly juga seorang penulis yang prolifik, telah menyumbangkan artikel di media sosial dan pemasaran digital kepada beberapa penerbitan terkemuka. Pada masa lapangnya, dia suka bereksperimen dengan resipi baharu di dapur dan pergi berjalan-jalan dengan anjingnya.