FedRAMP-certificering: wat is het, waarom is het belangrijk en wie heeft het?

Kimberly Parker

29-05-2023 Strategie
  • Deel Dit
Kimberly Parker

Gehackte camerarollen van beroemdheden. Cyberespionage door de staat. En alles daartussenin. Gegevensbeveiliging heeft enorm veel toepassingen. En het is een grote zorg voor iedereen die clouddiensten gebruikt of levert.

Wanneer het om overheidsgegevens gaat, kunnen deze zorgen het niveau van nationale veiligheid bereiken. Daarom eist de Amerikaanse overheid dat alle clouddiensten die door federale instanties worden gebruikt, voldoen aan een nauwgezette reeks beveiligingsnormen die bekend staan als FedRAMP.

Wat is FedRAMP nu precies en wat houdt het in? U bent op de juiste plaats om dat uit te zoeken.

Bonus: Lees de stap-voor-stap social media strategiegids met professionele tips over hoe u uw social media aanwezigheid kunt laten groeien.

Wat is FedRAMP?

FedRAMP staat voor "Federal Risk and Authorization Management Program" en standaardiseert de veiligheidsbeoordeling en -autorisatie voor cloudproducten en -diensten die door Amerikaanse federale instanties worden gebruikt.

Het doel is ervoor te zorgen dat federale gegevens consequent op een hoog niveau worden beschermd in de cloud.

FedRAMP toestemming krijgen is een serieuze zaak. Het vereiste beveiligingsniveau is wettelijk verplicht. Er zijn 14 toepasselijke wetten en regels, samen met 19 normen en richtlijnen. Het is een van de strengste software-as-a-service certificeringen ter wereld.

Hier is een snelle introductie:

FedRAMP bestaat al sinds 2012, toen cloudtechnologieën verouderde softwareoplossingen begonnen te vervangen. Het kwam voort uit de "Cloud First"-strategie van de Amerikaanse overheid, die eiste dat agentschappen cloudgebaseerde oplossingen als eerste keuze zouden beschouwen.

Vóór FedRAMP moesten aanbieders van clouddiensten een machtigingspakket opstellen voor elke instantie waarmee zij wilden samenwerken. De vereisten waren niet consistent. En er was veel dubbel werk voor zowel aanbieders als instanties.

FedRAMP zorgde voor consistentie en stroomlijnde het proces.

Nu zijn de evaluaties en vereisten gestandaardiseerd. Meerdere overheidsinstellingen kunnen het FedRAMP-machtigingsbeveiligingspakket van de provider hergebruiken.

De eerste FedRAMP-opname verliep langzaam. In de eerste vier jaar werden slechts 20 clouddienstaanbiedingen geautoriseerd. Maar sinds 2018 is het tempo echt gestegen en zijn er nu 204 FedRAMP geautoriseerde cloudproducten.

Bron: FedRAMP

FedRAMP wordt gecontroleerd door een Joint Authorization Board (JAB). De raad bestaat uit vertegenwoordigers van:

  • het ministerie van binnenlandse veiligheid
  • de General Services Administration, en
  • het ministerie van defensie.

Het programma wordt onderschreven door de Federal Chief Information Officers Council van de Amerikaanse overheid.

Waarom is FedRAMP certificering belangrijk?

Voor alle clouddiensten die federale gegevens bevatten is FedRAMP-autorisatie vereist. Als u met de federale overheid wilt werken, is FedRAMP-autorisatie dus een belangrijk onderdeel van uw beveiligingsplan.

FedRAMP is belangrijk omdat het zorgt voor consistentie in de beveiliging van de clouddiensten van de overheid - en omdat het zorgt voor consistentie in de evaluatie van en het toezicht op die beveiliging. Het biedt één set normen voor alle overheidsinstellingen en alle cloudaanbieders.

Leveranciers van clouddiensten die FedRAMP-geautoriseerd zijn, staan vermeld in de FedRAMP Marketplace. Deze marketplace is de eerste plaats waar overheidsinstellingen kijken wanneer zij een nieuwe cloud-gebaseerde oplossing willen aanschaffen. Het is veel gemakkelijker en sneller voor een instelling om een product te gebruiken dat al geautoriseerd is, dan om het autorisatieproces te starten met een nieuwe leverancier.

Een vermelding op de FedRAMP marktplaats maakt u dus veel meer kans op extra opdrachten van overheidsinstellingen, maar het kan ook uw profiel in de particuliere sector verbeteren.

Dat komt omdat de FedRAMP marktplaats zichtbaar is voor het publiek. Elk bedrijf in de particuliere sector kan de lijst van door FedRAMP goedgekeurde oplossingen doornemen.

Het is een geweldige bron wanneer zij op zoek zijn naar een veilig cloudproduct of -dienst.

FedRAMP-autorisatie kan elke klant meer vertrouwen geven in de beveiligingsprotocollen. Het vertegenwoordigt een voortdurende inzet om aan de hoogste beveiligingsnormen te voldoen.

FedRAMP autorisatie verhoogt uw geloofwaardigheid op het gebied van beveiliging ook buiten de FedRAMP Marketplace. U kunt uw FedRAMP autorisatie delen op sociale media en op uw website.

De waarheid is dat de meeste van uw klanten waarschijnlijk niet weten wat FedRAMP is. Het maakt hen niet uit of u geautoriseerd bent of niet. Maar voor die grote klanten die FedRAMP wel begrijpen - in zowel de publieke als de private sector - kan het ontbreken van autorisatie een deal-breaker zijn.

Wat is er nodig om FedRAMP gecertificeerd te zijn?

Er zijn twee verschillende manieren om FedRAMP geautoriseerd te worden.

1. Joint Authorization Board (JAB) Voorlopige exploitatievergunning

In dit proces geeft de JAB een voorlopige vergunning af. Dat laat de agentschappen weten dat het risico is beoordeeld.

Het is een belangrijke eerste goedkeuring. Maar elk agentschap dat de dienst wil gebruiken moet nog steeds zijn eigen Authority to Operate afgeven.

Dit proces is het meest geschikt voor aanbieders van clouddiensten met een hoog of matig risico. (In de volgende paragraaf duiken we in de risiconiveaus).

Hier is een visueel overzicht van het JAB-proces:

Bron: FedRAMP

2. Autoriteit van het agentschap

In dit proces gaat de aanbieder van clouddiensten een relatie aan met een specifiek federaal agentschap. Dat agentschap is bij het hele proces betrokken. Als het proces succesvol is, geeft het agentschap een Authority to Operate-brief af.

Bron: FedRAMP

Stappen naar FedRAMP autorisatie

Welk type autorisatie u ook nastreeft, FedRAMP autorisatie omvat vier belangrijke stappen:

  1. Pakketontwikkeling. Eerst is er een startbijeenkomst voor autorisatie. Daarna vult de leverancier een systeembeveiligingsplan in. Vervolgens ontwikkelt een door FedRAMP goedgekeurde derde partij een Security Assessment Plan.
  2. Beoordeling. De beoordelingsorganisatie dient een rapport over de beveiligingsbeoordeling in. De aanbieder stelt een Plan van Aanpak & Mijlpalen op.
  3. Machtiging. De JAB of de machtigende instantie besluit of het beschreven risico aanvaardbaar is. Zo ja, dan dienen zij een Authority to Operate brief in bij het FedRAMP project management office. De aanbieder wordt vervolgens opgenomen in de FedRAMP Marketplace.
  4. Toezicht. De dienstverlener stuurt maandelijks een overzicht van de beveiliging naar elk agentschap dat gebruik maakt van de dienst.

FedRAMP autorisatie best practices

Het proces om FedRAMP-autorisatie te verkrijgen kan zwaar zijn, maar het is in het belang van alle betrokkenen dat aanbieders van clouddiensten slagen zodra ze het autorisatieproces starten.

FedRAMP heeft verschillende kleine en startende bedrijven geïnterviewd over hun ervaringen tijdens het autorisatieproces. Dit zijn hun zeven beste tips om het autorisatieproces succesvol te doorlopen:

  1. Begrijpen hoe uw product aansluit bij FedRAMP - inclusief een kloofanalyse.
  2. Zorg voor organisatorische steun en betrokkenheid - ook van het uitvoerende team en de technische teams.
  3. Zoek een agentschapspartner - een die uw product gebruikt of dat wil gaan doen.
  4. Besteed tijd aan het nauwkeurig bepalen van je grens. Dat houdt in:
    • interne componenten
    • verbindingen met externe diensten, en
    • de stroom van informatie en metadata.
  5. Zie FedRAMP als een doorlopend programma, niet als een project met een begin- en einddatum. Diensten moeten voortdurend worden gecontroleerd.
  6. Overweeg zorgvuldig uw autorisatie-aanpak. Voor meerdere producten kunnen meerdere autorisaties nodig zijn.
  7. De FedRAMP PMO is een waardevolle bron. Zij kunnen technische vragen beantwoorden en u helpen bij het plannen van uw strategie.

    FedRAMP biedt sjablonen om aanbieders van clouddiensten te helpen zich voor te bereiden op FedRAMP-compliance.

    Wat zijn de categorieën van FedRAMP compliance?

    FedRAMP biedt vier impactniveaus voor diensten met verschillende soorten risico's. Ze zijn gebaseerd op de mogelijke gevolgen van een inbreuk op de beveiliging op drie verschillende gebieden.

    • Vertrouwelijkheid: Bescherming van privacy en eigendomsinformatie.
    • Integriteit: Bescherming tegen wijziging of vernietiging van informatie.
    • Beschikbaarheid: Tijdige en betrouwbare toegang tot gegevens.

    De eerste drie impactniveaus zijn gebaseerd op Federal Information Processing Standard (FIPS) 199 van het National Institute of Standards and Technology (NIST). Het vierde is gebaseerd op NIST Special Publication 800-37. De impactniveaus zijn:

    • Hoog, gebaseerd op 421 controles. "Het verlies van vertrouwelijkheid, integriteit of beschikbaarheid zou een ernstig of catastrofaal negatief effect kunnen hebben op de activiteiten van de organisatie, de activa van de organisatie of personen." Dit geldt gewoonlijk voor wetshandhaving, hulpdiensten, financiële en gezondheidssystemen.
    • Matig, gebaseerd op 325 controles. "Het verlies van vertrouwelijkheid, integriteit of beschikbaarheid zou een ernstig negatief effect kunnen hebben op de activiteiten van de organisatie, de activa van de organisatie of personen." Bijna 80 procent van de goedgekeurde FedRAMP-toepassingen heeft een matige impact.
    • Laag, gebaseerd op 125 controles. "Het verlies van vertrouwelijkheid, integriteit of beschikbaarheid kan naar verwachting een beperkt negatief effect hebben op organisatorische operaties, organisatorische activa of personen."
    • Low-Impact Software-as-a-Service (LI-SaaS), gebaseerd op 36 controles. Voor "systemen met een laag risico voor toepassingen zoals samenwerkingstools, projectbeheertoepassingen en tools die helpen bij de ontwikkeling van open-sourcecode". Deze categorie staat ook bekend als FedRAMP Tailored.

    Deze laatste categorie werd in 2017 toegevoegd om het voor agentschappen gemakkelijker te maken "low-risk use cases" goed te keuren. Om in aanmerking te komen voor FedRAMP Tailored moet de leverancier zes vragen met ja beantwoorden. Deze staan op de FedRAMP Tailored beleidspagina:

    • Werkt de dienst in een cloud-omgeving?
    • Is de clouddienst volledig operationeel?
    • Is de clouddienst een Software as a Service (SaaS), zoals gedefinieerd in NIST SP 800-145, The NIST Definition of Cloud Computing?
    • De clouddienst bevat geen persoonlijk identificeerbare informatie (PII), behalve voor zover nodig om een inlogmogelijkheid te bieden (gebruikersnaam, wachtwoord en e-mailadres)?
    • Is de clouddienst van geringe invloed op de veiligheid, zoals gedefinieerd in FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • Wordt de clouddienst gehost binnen een door FedRAMP goedgekeurd Platform as a Service (PaaS) of Infrastructure as a Service (IaaS), of levert de CSP de onderliggende cloudinfrastructuur?

    Vergeet niet dat FedRAMP-compliance geen eenmalige taak is. Herinner je je het stadium van toezicht op de FedRAMP-autorisatie? Dat betekent dat je regelmatig beveiligingsaudits moet uitvoeren om ervoor te zorgen dat je blijf FedRAMP compliant.

    Bonus: Lees de stap-voor-stap social media strategie gids met pro tips over hoe u uw social media aanwezigheid kunt laten groeien.

    Ontvang nu de gratis gids!

    Voorbeelden van FedRAMP gecertificeerde producten

    Er zijn vele soorten FedRAMP geautoriseerde producten en diensten. Hier volgen enkele voorbeelden van aanbieders van clouddiensten die u kent en misschien zelf al gebruikt.

    Amazon Web Services

    Er zijn twee AWS-lijsten in de FedRAMP Marketplace. AWS GovCloud is geautoriseerd op het niveau High. AWS US East/West is geautoriseerd op het niveau Moderate.

    Heeft u het al gehoord? Klanten van AWS GovCloud (VS) kunnen #AmazonEFS gebruiken voor bedrijfskritische bestandsbelasting dankzij de onlangs verkregen FedRAMP High-autorisatie. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS voor de overheid (@AWS_Gov) 18 oktober 2019

    AWS GovCloud heeft maar liefst 292 machtigingen en AWS US East/West 250. Dat is veel meer dan elke andere vermelding in de FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics is geautoriseerd in 2019. Het wordt gebruikt door de Centers for Disease Control and Prevention en het Department of Health and Human Services. Het is geautoriseerd op LI-SaaS niveau.

    Adobe heeft verschillende producten geautoriseerd op LI-SaaS niveau (zoals Adobe Campaign en Adobe Document Cloud). Ze hebben ook een aantal producten geautoriseerd op Moderate niveau:

    • Adobe Connect Managed Services
    • Adobe Experience Manager Managed Services.

    Adobe is momenteel bezig met de overgang van FedRAMP Tailored autorisatie naar FedRAMP Moderate autorisatie voor Adobe Sign.

    Lees hier meer over hoe @Adobe Sign werkt aan de overgang van FedRAMP Tailored naar FedRAMP Moderate statussen: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 augustus 2020

    Vergeet niet dat het de dienst is, niet de dienstverlener, die toestemming krijgt. Net als Adobe moet u wellicht meerdere vergunningen aanvragen als u meer dan één cloud-gebaseerde oplossing aanbiedt.

    Slack

    Geautoriseerd in mei van dit jaar, heeft Slack 21 FedRAMP autorisaties. Het product is geautoriseerd op het Moderate niveau. Het wordt gebruikt door agentschappen waaronder:

    • de Centers for Disease Control and Protection,
    • de Federal Communications Commission, en
    • de National Science Foundation.

    De Amerikaanse publieke sector kan nu meer van hun werk in Slack doen, dankzij onze nieuwe FedRAMP Moderate-autorisatie. En door aan deze strenge beveiligingseisen te voldoen, houden we de zaken ook veilig voor elk ander bedrijf dat Slack gebruikt. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 augustus 2020

    Slack kreeg oorspronkelijk FedRAMP Tailored autorisatie. Daarna streefden ze Moderate autorisatie na door samen te werken met het Department of Veterans Affairs.

    Slack vestigt op zijn website de aandacht op de veiligheidsvoordelen van deze machtiging voor klanten uit de particuliere sector:

    "Deze nieuwste autorisatie vertaalt zich in een veiligere ervaring voor klanten van Slack, inclusief bedrijven uit de private sector die geen FedRAMP-geautoriseerde omgeving nodig hebben. Alle klanten die gebruik maken van het commerciële aanbod van Slack kunnen profiteren van de verhoogde beveiligingsmaatregelen die nodig zijn om FedRAMP-certificering te behalen."

    Trello Enterprise Cloud

    Trello heeft net in september een Li-SaaS vergunning gekregen. Trello wordt tot nu toe alleen gebruikt door de General Services Administration. Maar het bedrijf wil daar verandering in brengen, zoals blijkt uit hun sociale berichten over hun nieuwe FedRAMP status:

    🏛️Met de FedRAMP-autorisatie van Trello kan uw agentschap Trello nu gebruiken om de productiviteit te verhogen, teamsilo's te doorbreken en samenwerking te bevorderen. //t.co/GWYgaj9jfY

    - Trello (@trello) 12 oktober 2020

    Zendesk

    Ook geautoriseerd in mei, wordt Zendesk gebruikt door:

    • het ministerie van energie,
    • de Federal Housing Finance Agency
    • het FHFA Office of the Inspector General, en
    • de General Services Administration.

    Het Zendesk Customer Support en Help Desk Platform heeft een Li-Saas autorisatie.

    Vanaf vandaag kunnen we het voor overheidsinstanties een stuk makkelijker maken om met ons te werken aangezien @Zendesk nu FedRAMP geautoriseerd is. Veel dank aan alle teams binnen en buiten Zendesk voor de moeite die hierin is gestoken. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 22 mei 2020

    FedRAMP voor beheer van sociale media

    SMMExpert is FedRAMP geautoriseerd. Overheidsinstellingen kunnen nu eenvoudig samenwerken met de wereldwijde leider in social media management om in contact te komen met burgers, crisiscommunicatie te beheren en diensten en informatie te leveren via social media.

    Vraag een demo aan

    Vorige post De perfecte social media stijlgids voor uw merk in 2023
    Volgende bericht 8 tips voor een vlekkeloze Instagram Takeover

    Kimberly Parker is een doorgewinterde digitale marketingprofessional met meer dan 10 jaar ervaring in de branche. Als oprichter van haar eigen marketingbureau voor sociale media heeft ze tal van bedrijven in verschillende sectoren geholpen hun online aanwezigheid op te bouwen en te laten groeien door middel van effectieve socialemediastrategieën. Kimberly is ook een productief schrijver en heeft artikelen over sociale media en digitale marketing bijgedragen aan verschillende gerenommeerde publicaties. In haar vrije tijd experimenteert ze graag met nieuwe recepten in de keuken en maakt ze lange wandelingen met haar hond.