FedRAMP-sertifisering: Hva er det, hvorfor det betyr noe, og hvem som har det

Kimberly Parker

29-05-2023 Strategi
  • Dele Denne
Kimberly Parker

Hackede kameraruller for kjendiser. Statsbasert nettspionasje. Og alt i mellom. Datasikkerhet har et stort utvalg av applikasjoner. Og det er en stor bekymring for alle som bruker eller leverer skybaserte tjenester.

Når offentlige data er involvert, kan disse bekymringene nå nivået av nasjonal sikkerhet. Det er derfor den amerikanske regjeringen krever at alle skytjenester som brukes av føderale byråer, oppfyller et grundig sett med sikkerhetsstandarder kjent som FedRAMP.

Så hva er FedRAMP, og hva innebærer det? Du er på rett sted for å finne ut.

Bonus: Les trinn-for-trinn strategiveiledningen for sosiale medier med profesjonelle tips om hvordan du kan øke tilstedeværelsen på sosiale medier.

Hva er FedRAMP?

FedRAMP står for "Federal Risk and Authorization Management Program." Den standardiserer sikkerhetsvurdering og autorisasjon for skyprodukter og -tjenester som brukes av amerikanske føderale byråer.

Målet er å sørge for at føderale data er konsekvent beskyttet på et høyt nivå i skyen.

Få FedRAMP autorisasjon er seriøs sak. Sikkerhetsnivået som kreves er lovpålagt. Det er 14 gjeldende lover og forskrifter, sammen med 19 standarder og veiledningsdokumenter. Det er en av de mest strenge programvare-som-en-tjeneste-sertifiseringene i verden.

Her er en rask introduksjon:

FedRAMP har eksistert siden 2012. Det er da skyteknologier virkeligautorisasjon for Adobe Sign.

Les mer om hvordan @Adobe Sign jobber med å flytte fra FedRAMP skreddersydde til FedRAMP Moderate statuer her: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12. august 2020

Husk at det er tjenesten, ikke tjenesteleverandøren, som får autorisasjon. I likhet med Adobe, må du kanskje søke om flere autorisasjoner hvis du tilbyr mer enn én skybasert løsning.

Slack

Autorisert i mai i år har Slack 21 FedRAMP-autorisasjoner. Produktet er autorisert på moderat nivå. Den brukes av byråer, inkludert:

  • Centers for Disease Control and Protection,
  • Federal Communications Commission og
  • National Science Foundation.

Den amerikanske offentlige sektor kan nå drive mer av sitt arbeid i Slack, takket være vår nye FedRAMP Moderate-autorisasjon. Og ved å oppfylle disse strenge sikkerhetskravene, holder vi ting sikkert for alle andre selskaper som bruker Slack også. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13. august 2020

Slack mottok opprinnelig FedRAMP-tilpasset autorisasjon. Deretter forfulgte de moderat autorisasjon ved å samarbeide med Department of Veterans Affairs.

Slack sørger for å gjøre oppmerksom på sikkerhetsfordelene ved denne autorisasjonen for kunder i privat sektor:

“Dette siste autorisasjon oversettes til en sikrere opplevelse forSlakke kunder, inkludert bedrifter i privat sektor som ikke krever et FedRAMP-autorisert miljø. Alle kunder som bruker Slacks kommersielle tilbud kan dra nytte av de økte sikkerhetstiltakene som kreves for å oppnå FedRAMP-sertifisering.»

Trello Enterprise Cloud

Trello ble nettopp gitt Li-SaaS-autorisasjon i september. Trello brukes så langt bare av General Services Administration. Men selskapet ser etter å endre det, som det fremgår av deres sosiale innlegg om deres nye FedRAMP-status:

🏛️Med Trellos FedRAMP-autorisasjon kan byrået ditt nå bruke Trello til å øke produktiviteten, bryte ned teamsiloer og fostre samarbeid. //t.co/GWYgaj9jfY

— Trello (@trello) 12. oktober 2020

Zendesk

Også godkjent i mai, Zendesk brukes av:

  • Energidepartementet,
  • Federal Housing Finance Agency
  • FHFA Office of the Inspector General, og
  • General Services Administration.

Zendesk Customer Support and Help Desk Platform har Li-Saas-autorisasjon.

Fra i dag kan vi gjøre det mye enklere for offentlige etater å samarbeide med oss, siden @Zendesk nå er FedRAMP-autorisert. Tusen takk til alle lagene i og utenfor Zendesk for innsatsen som er lagt ned i dette. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22. mai 2020

FedRAMP for administrasjon av sosiale medier

SMMExpert er FedRAMPautorisert. Offentlige etater kan nå enkelt samarbeide med den globale lederen innen administrasjon av sosiale medier for å engasjere seg med innbyggerne, administrere krisekommunikasjon og levere tjenester og informasjon via sosiale medier.

Be om en demo

begynte å erstatte utdaterte tilkoblede programvareløsninger. Den ble født fra den amerikanske regjeringens "Cloud First"-strategi. Den strategien krevde at byråer så på skybaserte løsninger som et førstevalg.

Før FedRAMP måtte skytjenesteleverandører utarbeide en autorisasjonspakke for hvert byrå de ønsket å jobbe med. Kravene var ikke konsistente. Og det var mye dobbeltarbeid for både leverandører og byråer.

FedRAMP introduserte konsistens og strømlinjeformet prosessen.

Nå er evalueringer og krav standardisert. Flere offentlige etater kan gjenbruke leverandørens FedRAMP-autorisasjonssikkerhetspakke.

Det første FedRAMP-opptaket var tregt. Bare 20 skytjenestetilbud ble autorisert de første fire årene. Men tempoet har virkelig tatt seg opp siden 2018, og det er nå 204 FedRAMP-autoriserte skyprodukter.

Kilde: FedRAMP

FedRAMP kontrolleres av et Joint Authorization Board (JAB). Styret består av representanter fra:

  • Department of Homeland Security
  • General Services Administration, og
  • Department of Defense.

Programmet er godkjent av den amerikanske regjeringen Federal Chief Information Officers Council.

Hvorfor er FedRAMP-sertifisering viktig?

Alle skytjenester som inneholder føderale data krever FedRAMP-autorisasjon. Så hvis du vil jobbe medden føderale regjeringen, er FedRAMP-autorisasjon en viktig del av sikkerhetsplanen din.

FedRAMP er viktig fordi den sikrer konsistens i sikkerheten til regjeringens skytjenester – og fordi den sikrer konsistens i evaluering og overvåking av denne sikkerheten. Den gir ett sett med standarder for alle offentlige etater og alle skyleverandører.

Skytjenesteleverandører som er FedRAMP-autorisert er oppført på FedRAMP Marketplace. Denne markedsplassen er det første stedet offentlige etater ser når de vil kjøpe en ny skybasert løsning. Det er mye enklere og raskere for et byrå å bruke et produkt som allerede er autorisert enn å starte autorisasjonsprosessen med en ny leverandør.

Så, en oppføring på FedRAMP-markedsplassen gjør det mye mer sannsynlig at du får flere forretninger fra offentlige etater. Men det kan også forbedre profilen din i privat sektor.

Det er fordi FedRAMP-markedsplassen er synlig for offentligheten. Ethvert firma i privat sektor kan bla gjennom listen over FedRAMP-autoriserte løsninger.

Det er en flott ressurs når de ønsker å kjøpe et sikkert skyprodukt eller -tjeneste.

FedRAMP-autorisasjon kan gjøre enhver klient mer trygg på sikkerhetsprotokollene. Det representerer en kontinuerlig forpliktelse til å oppfylle de høyeste sikkerhetsstandardene.

FedRAMP-autorisasjon øker din sikkerhetstroverdighet betydelig.utover FedRAMP Marketplace også. Du kan dele FedRAMP-autorisasjonen din på sosiale medier og på nettstedet ditt.

Sannheten er at de fleste av kundene dine sannsynligvis ikke vet hva FedRAMP er. De bryr seg ikke om du er autorisert eller ikke. Men for de store kundene som forstår FedRAMP – i både offentlig og privat sektor – kan mangel på autorisasjon være en avtalebryter.

Hva skal til for å bli FedRAMP-sertifisert?

Der er to forskjellige måter å bli FedRAMP-autorisert på.

1. Joint Authorization Board (JAB) Provisional Authority to Operate

I denne prosessen utsteder JAB en foreløpig autorisasjon. Det lar byråer vite at risikoen er gjennomgått.

Det er en viktig første godkjenning. Men ethvert byrå som ønsker å bruke tjenesten må fortsatt utstede sin egen Authority to Operate.

Denne prosessen passer best for leverandører av skytjenester med høy eller moderat risiko. (Vi skal dykke inn i risikonivåer i neste avsnitt.)

Her er en visuell oversikt over JAB-prosessen:

Kilde: FedRAMP

2. Agency Authority to Operate

I denne prosessen etablerer skytjenesteleverandøren et forhold til et spesifikt føderalt byrå. Byrået er involvert gjennom hele prosessen. Hvis prosessen er vellykket, utsteder byrået et Authority to Operate-brev.

Kilde: FedRAMP

Trinn til FedRAMP-autorisasjon

Uansett hvilken type autorisasjon du forfølger, innebærer FedRAMP-autorisasjon fire hovedtrinn:

  1. Pakkeutvikling. Først er det et startmøte for autorisasjon. Deretter fullfører leverandøren en systemsikkerhetsplan. Deretter utvikler en FedRAMP-godkjent tredjeparts vurderingsorganisasjon en sikkerhetsvurderingsplan.
  2. Evaluering. Vurderingsorganisasjonen sender inn en sikkerhetsvurderingsrapport. Leverandøren lager en handlingsplan & Milepæler.
  3. Autorisasjon. JAB eller autoriserende byrå avgjør om risikoen som beskrevet er akseptabel. Hvis ja, sender de et Authority to Operate-brev til FedRAMP-prosjektledelseskontoret. Leverandøren blir deretter oppført i FedRAMP Marketplace.
  4. Overvåking. Leverandøren sender månedlige sikkerhetsovervåkingsleveranser til hvert byrå som bruker tjenesten.

FedRAMP-autorisasjon best praksis

Prosessen med å oppnå FedRAMP-autorisasjon kan være tøff. Men det er i alle involvertes interesse for skytjenesteleverandører å lykkes når de starter autorisasjonsprosessen.

For å hjelpe intervjuet FedRAMP flere småbedrifter og oppstartsbedrifter om erfaringer under autorisasjonen. Her er deres syv beste tips for vellykket navigering i autorisasjonsprosessen:

  1. Forstå hvordanproduktkart til FedRAMP – inkludert en gapanalyse.
  2. Få organisatorisk innkjøp og engasjement – ​​inkludert fra lederteamet og tekniske team.
  3. Finn en byråpartner – en som bruker produktet ditt eller er forpliktet til å gjøre det.
  4. Bruk tid på å definere grensen din nøyaktig. Det inkluderer:
    • interne komponenter
    • tilkoblinger til eksterne tjenester, og
    • flyten av informasjon og metadata.
  5. Tenk på FedRAMP som et kontinuerlig program, snarere enn bare et prosjekt med start- og sluttdato. Tjenestene må overvåkes kontinuerlig.
  6. Vurder nøye godkjenningsmetoden din. Flere produkter kan kreve flere autorisasjoner.
  7. FedRAMP PMO er en verdifull ressurs. De kan svare på tekniske spørsmål og hjelpe deg med å planlegge strategien din.

    FedRAMP tilbyr maler for å hjelpe skytjenesteleverandører med å forberede seg på FedRAMP-overholdelse.

    Hva er kategoriene av FedRAMP-samsvar?

    FedRAMP tilbyr fire effektnivåer for tjenester med ulike typer risiko. De er basert på de potensielle konsekvensene av et sikkerhetsbrudd på tre forskjellige områder.

    • Konfidensialitet: Beskyttelse av personvern og proprietær informasjon.
    • Integritet: Beskyttelse mot endring eller ødeleggelse av informasjon.
    • Tilgjengelighet: Rettidig og pålitelig tilgang til data.

    De tre førstepåvirkningsnivåer er basert på Federal Information Processing Standard (FIPS) 199 fra National Institute of Standards and Technology (NIST). Den fjerde er basert på NIST Special Publication 800-37. Effektnivåene er:

    • Høye, basert på 421 kontroller. «Tapet av konfidensialitet, integritet eller tilgjengelighet kan forventes å ha en alvorlig eller katastrofal negativ effekt på organisasjonen operasjoner, organisatoriske eiendeler eller enkeltpersoner." Dette gjelder vanligvis for rettshåndhevelse, nødetater, finans- og helsesystemer.
    • Moderat, basert på 325 kontroller. «Tapet av konfidensialitet, integritet eller tilgjengelighet kan forventes å ha en alvorlig negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner.» Nesten 80 prosent av godkjente FedRAMP-applikasjoner er på moderat effektnivå.
    • Lavt, basert på 125 kontroller. «Tapet av konfidensialitet, integritet eller tilgjengelighet kan forventes å ha en begrenset negativ effekt på organisasjonsdrift, organisatoriske eiendeler eller enkeltpersoner.»
    • Low-Impact Software-as-a-Service (LI-SaaS), basert på 36 kontroller . For "systemer som har lav risiko for bruk som samarbeidsverktøy, prosjektstyringsapplikasjoner og verktøy som hjelper til med å utvikle åpen kildekode." Denne kategorien er også kjent som FedRAMP Tailored.

    Denne siste kategorien ble lagt til i 2017for å gjøre det enklere for byråer å godkjenne «brukssaker med lav risiko». For å kvalifisere for FedRAMP Tailored, må leverandøren svare ja på seks spørsmål. Disse er lagt ut på FedRAMP-side for skreddersydde retningslinjer:

    • Opererer tjenesten i et skymiljø?
    • Er skytjenesten fullt operativ?
    • Er skyen betjene en programvare som en tjeneste (SaaS), som definert av NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Skytjenesten inneholder ikke personlig identifiserbar informasjon (PII), bortsett fra når det er nødvendig for å gi en påloggingsmulighet (brukernavn, passord og e-postadresse)?
    • Har skytjenesten lav sikkerhet, som definert av FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • Er skytjenesten vert innenfor en FedRAMP-autorisert plattform som en tjeneste (PaaS) eller Infrastructure as a Service (IaaS), eller leverer CSP den underliggende skyinfrastrukturen?

    Husk at å oppnå FedRAMP-samsvar ikke er en engangsoppgave. Husker du overvåkingsfasen av FedRAMP-autorisasjon? Det betyr at du må sende inn regelmessige sikkerhetsrevisjoner for å sikre at du forblir FedRAMP-kompatibel.

    Bonus: Les trinn-for-trinn strategiveiledningen for sosiale medier med profesjonelle tips om hvordan du kan øke tilstedeværelsen på sosiale medier.

    Få den gratis guiden akkurat nå!

    Eksempler på FedRAMP-sertifisertprodukter

    Det finnes mange typer FedRAMP-autoriserte produkter og tjenester. Her er noen eksempler fra skytjenesteleverandører du kjenner og kanskje allerede bruker selv.

    Amazon Web Services

    Det er to AWS-oppføringer i FedRAMP Marketplace. AWS GovCloud er autorisert på høyt nivå. AWS US East/West er autorisert på moderat nivå.

    Hørte du? AWS GovCloud (US)-kunder kan bruke #AmazonEFS for virksomhetskritiske filarbeidsbelastninger takket være nylig oppnådd FedRAMP High-autorisasjon. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 18. oktober 2019

    AWS GovCloud har hele 292 autorisasjoner. AWS US East/West har 250 autorisasjoner. Det er langt mer enn noen annen oppføring på FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics ble godkjent i 2019. Det brukes av Centers for Disease Control and Prevention og Department of Health og Menneskelige tjenester. Den er autorisert på LI-SaaS-nivå.

    Adobe har faktisk flere produkter autorisert på LI-SaaS-nivå. (Som Adobe Campaign og Adobe Document Cloud.) De har også et par produkter autorisert på moderat nivå:

    • Adobe Connect Managed Services
    • Adobe Experience Manager Managed Services.

    Adobe er for tiden i ferd med å flytte fra FedRAMP skreddersydd autorisasjon til FedRAMP Moderate

    Forrige innlegg Den perfekte stilguiden for sosiale medier for merkevaren din i 2023
    Neste innlegg 8 tips for en feilfri Instagram-overtakelse

    Kimberly Parker er en erfaren digital markedsføringsekspert med over 10 års erfaring i bransjen. Som grunnlegger av sitt eget markedsføringsbyrå for sosiale medier, har hun hjulpet en rekke bedrifter på tvers av ulike bransjer med å etablere og utvide sin online tilstedeværelse gjennom effektive sosiale mediestrategier. Kimberly er også en produktiv forfatter, etter å ha bidratt med artikler om sosiale medier og digital markedsføring til flere anerkjente publikasjoner. På fritiden elsker hun å eksperimentere med nye oppskrifter på kjøkkenet og gå lange turer med hunden sin.