Certificarea FedRAMP: Ce este, de ce contează și cine o deține

Kimberly Parker

29-05-2023 Strategie
  • Imparte Asta
Kimberly Parker

Camerele de filmat ale celebrităților piratate, spionajul cibernetic de stat și tot ce se află între ele. Securitatea datelor are o gamă imensă de aplicații și reprezintă o preocupare majoră pentru toți cei care utilizează sau furnizează servicii bazate pe cloud.

Atunci când sunt implicate date guvernamentale, aceste preocupări pot atinge nivelul de securitate națională. De aceea, guvernul SUA cere ca toate serviciile cloud utilizate de agențiile federale să respecte un set meticulos de standarde de securitate cunoscut sub numele de FedRAMP.

Deci, ce este FedRAMP și ce presupune? Sunteți în locul potrivit pentru a afla.

Bonus: Citiți ghidul de strategie de social media pas cu pas, cu sfaturi profesionale despre cum să vă dezvoltați prezența în social media.

Ce este FedRAMP?

FedRAMP este acronimul de la "Federal Risk and Authorization Management Program", care standardizează evaluarea și autorizarea securității pentru produsele și serviciile cloud utilizate de agențiile federale americane.

Scopul este de a se asigura că datele federale sunt protejate în mod constant la un nivel ridicat în cloud.

Obținerea autorizației FedRAMP este o treabă serioasă. Nivelul de securitate cerut este impus prin lege. Există 14 legi și reglementări aplicabile, împreună cu 19 standarde și documente de orientare. Este una dintre cele mai riguroase certificări software-as-a-service din lume.

Iată o scurtă introducere:

FedRAMP există din 2012, când tehnologiile cloud au început să înlocuiască cu adevărat soluțiile software învechite și legate de rețea. FedRAMP s-a născut din strategia "Cloud First" a guvernului SUA, care a cerut agențiilor să se orienteze către soluții bazate pe cloud ca primă opțiune.

Înainte de FedRAMP, furnizorii de servicii cloud trebuiau să pregătească un pachet de autorizații pentru fiecare agenție cu care doreau să lucreze. Cerințele nu erau consecvente. Și existau multe eforturi duble atât pentru furnizori, cât și pentru agenții.

FedRAMP a introdus coerență și a simplificat procesul.

Acum, evaluările și cerințele sunt standardizate. Mai multe agenții guvernamentale pot reutiliza pachetul de securitate al furnizorului de autorizații FedRAMP.

Adoptarea inițială a FedRAMP a fost lentă. Doar 20 de oferte de servicii cloud au fost autorizate în primii patru ani. Dar ritmul s-a accelerat cu adevărat din 2018, iar acum există 204 produse cloud autorizate de FedRAMP.

Sursa: FedRAMP

FedRAMP este controlat de un Consiliu comun de autorizare (Joint Authorization Board - JAB), alcătuit din reprezentanți ai:

  • Departamentul pentru Securitate Internă
  • Administrația Generală a Serviciilor și
  • Departamentul Apărării.

Programul este aprobat de către Consiliul federal al directorilor de informații al guvernului SUA.

De ce este importantă certificarea FedRAMP?

Toate serviciile cloud care dețin date federale necesită autorizația FedRAMP. Prin urmare, dacă doriți să lucrați cu guvernul federal, autorizația FedRAMP este o parte importantă a planului dumneavoastră de securitate.

FedRAMP este important pentru că asigură coerența în ceea ce privește securitatea serviciilor guvernamentale de cloud - și pentru că asigură coerența în evaluarea și monitorizarea acestei securități. Acesta oferă un set de standarde pentru toate agențiile guvernamentale și pentru toți furnizorii de cloud.

Furnizorii de servicii cloud care sunt autorizați de FedRAMP sunt listați în FedRAMP Marketplace. Această piață este primul loc în care agențiile guvernamentale se uită atunci când doresc să achiziționeze o nouă soluție bazată pe cloud. Este mult mai ușor și mai rapid pentru o agenție să folosească un produs care este deja autorizat decât să înceapă procesul de autorizare cu un nou furnizor.

Așadar, o listă pe piața FedRAMP vă oferă mai multe șanse de a obține afaceri suplimentare din partea agențiilor guvernamentale, dar vă poate îmbunătăți și profilul în sectorul privat.

Acest lucru se datorează faptului că piața FedRAMP este vizibilă pentru public. Orice companie din sectorul privat poate parcurge lista soluțiilor autorizate de FedRAMP.

Este o resursă excelentă atunci când caută un produs sau un serviciu de cloud securizat.

Autorizarea FedRAMP poate face ca orice client să fie mai încrezător în protocoalele de securitate. Aceasta reprezintă un angajament continuu de a respecta cele mai înalte standarde de securitate.

Autorizația FedRAMP vă sporește semnificativ credibilitatea în materie de securitate și dincolo de FedRAMP Marketplace. Puteți să vă distribuiți autorizația FedRAMP pe rețelele de socializare și pe site-ul dvs. web.

Adevărul este că majoritatea clienților dvs. probabil că nu știu ce este FedRAMP. Nu le pasă dacă sunteți autorizat sau nu. Dar pentru acei clienți mari care înțeleg FedRAMP - atât din sectorul public, cât și din cel privat - lipsa autorizației poate fi un factor de întrerupere a afacerii.

De ce este nevoie pentru a fi certificat FedRAMP?

Există două modalități diferite de a obține autorizația FedRAMP.

1. Joint Authorization Board (JAB) Autorizație provizorie de funcționare a Consiliului comun de autorizare (JAB)

În cadrul acestui proces, JAB emite o autorizație provizorie, ceea ce permite agențiilor să știe că riscul a fost analizat.

Este o primă aprobare importantă, însă orice agenție care dorește să utilizeze serviciul trebuie să își emită propria autorizație de funcționare.

Acest proces este cel mai potrivit pentru furnizorii de servicii cloud cu un risc ridicat sau moderat (ne vom referi la nivelurile de risc în secțiunea următoare).

Iată o prezentare vizuală a procesului JAB:

Sursa: FedRAMP

2. Autoritatea de funcționare a agenției

În cadrul acestui proces, furnizorul de servicii cloud stabilește o relație cu o anumită agenție federală. Agenția respectivă este implicată pe tot parcursul procesului. În cazul în care procesul are succes, agenția emite o scrisoare de autorizare de funcționare.

Sursa: FedRAMP

Pași pentru autorizarea FedRAMP

Indiferent de tipul de autorizație pe care îl urmăriți, autorizația FedRAMP implică patru etape principale:

  1. Dezvoltarea pachetului. În primul rând, are loc o întâlnire de lansare a autorizării. Apoi, furnizorul completează un plan de securitate a sistemului. Apoi, o organizație terță de evaluare aprobată de FedRAMP elaborează un plan de evaluare a securității.
  2. Evaluare. Organizația de evaluare prezintă un raport de evaluare a securității. Furnizorul creează un Plan de acțiune & Etapele de etapă.
  3. Autorizare. JAB sau agenția de autorizare decide dacă riscul descris este acceptabil. În caz afirmativ, trimite o scrisoare de autorizare de funcționare către biroul de gestionare a proiectului FedRAMP. Furnizorul este apoi listat în FedRAMP Marketplace.
  4. Monitorizare. Furnizorul trimite lunar rapoarte de monitorizare a securității către fiecare agenție care utilizează serviciul.

Cele mai bune practici de autorizare FedRAMP

Procesul de obținere a autorizației FedRAMP poate fi dificil, dar este în interesul tuturor celor implicați ca furnizorii de servicii cloud să aibă succes odată ce încep procesul de autorizare.

Pentru a ajuta, FedRAMP a intervievat mai multe întreprinderi mici și start-up-uri cu privire la lecțiile învățate în timpul autorizării. Iată cele mai bune șapte sfaturi ale acestora pentru a parcurge cu succes procesul de autorizare:

  1. Înțelegeți modul în care produsul dvs. se potrivește cu FedRAMP - inclusiv o analiză a diferențelor.
  2. Obțineți acordul și angajamentul organizațional - inclusiv din partea echipei executive și a echipelor tehnice.
  3. Găsiți o agenție parteneră - o agenție care utilizează produsul dumneavoastră sau care se angajează să facă acest lucru.
  4. Petreceți timp pentru a vă defini cu exactitate limitele. Aceasta include:
    • componente interne
    • conexiuni la servicii externe și
    • fluxul de informații și metadate.
  5. Gândiți-vă la FedRAMP ca la un program continuu, mai degrabă decât la un proiect cu o dată de început și de sfârșit. Serviciile trebuie monitorizate în mod continuu.
  6. Luați în considerare cu atenție abordarea de autorizare. Mai multe produse pot necesita mai multe autorizații.
  7. FedRAMP PMO este o resursă valoroasă. Aceștia pot răspunde la întrebări tehnice și vă pot ajuta să vă planificați strategia.

    FedRAMP oferă modele pentru a ajuta furnizorii de servicii cloud să se pregătească pentru conformitatea FedRAMP.

    Care sunt categoriile de conformitate FedRAMP?

    FedRAMP oferă patru niveluri de impact pentru servicii cu diferite tipuri de risc, care se bazează pe impactul potențial al unei breșe de securitate în trei domenii diferite.

    • Confidențialitatea: Protecția vieții private și a informațiilor de proprietate privată.
    • Integritate: Protecții împotriva modificării sau distrugerii informațiilor.
    • Disponibilitate: Acces la date în timp util și fiabil.

    Primele trei niveluri de impact se bazează pe Federal Information Processing Standard (FIPS) 199 de la National Institute of Standards and Technology (NIST). Al patrulea se bazează pe NIST Special Publication 800-37. Nivelurile de impact sunt:

    • Ridicat, pe baza a 421 de controale. "Este de așteptat ca pierderea confidențialității, integrității sau disponibilității să aibă un efect negativ grav sau catastrofal asupra operațiunilor organizaționale, a activelor organizaționale sau a persoanelor." Acest lucru se aplică de obicei în cazul sistemelor de aplicare a legii, serviciilor de urgență, financiare și de sănătate.
    • Moderat, pe baza a 325 de controale. "Este de așteptat ca pierderea confidențialității, integrității sau disponibilității să aibă un efect negativ grav asupra operațiunilor organizaționale, a activelor organizaționale sau a persoanelor." Aproape 80 % dintre aplicațiile FedRAMP aprobate se află la nivelul de impact moderat.
    • Scăzut, pe baza a 125 de controale. "Este de așteptat ca pierderea confidențialității, a integrității sau a disponibilității să aibă un efect negativ limitat asupra operațiunilor organizaționale, a activelor organizaționale sau a persoanelor."
    • Software-as-a-Service cu impact redus (LI-SaaS), bazat pe 36 de controale Pentru "sisteme care prezintă un risc scăzut pentru utilizări precum instrumente de colaborare, aplicații de gestionare a proiectelor și instrumente care ajută la dezvoltarea de coduri open-source." Această categorie este cunoscută și sub numele de FedRAMP Tailored.

    Această ultimă categorie a fost adăugată în 2017 pentru ca agențiile să aprobe mai ușor "cazurile de utilizare cu risc scăzut". Pentru a se califica pentru FedRAMP Tailored, furnizorul trebuie să răspundă afirmativ la șase întrebări. Acestea sunt postate pe pagina politicii FedRAMP Tailored:

    • Funcționează serviciul într-un mediu cloud?
    • Este serviciul cloud complet operațional?
    • Este serviciul de cloud computing un software ca serviciu (SaaS), așa cum este definit de NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Serviciul cloud nu conține informații de identificare personală (PII), cu excepția celor necesare pentru a oferi o capacitate de conectare (nume de utilizator, parolă și adresă de e-mail)?
    • Este serviciul cloud cu impact redus asupra securității, conform definiției din FIPS PUB 199, Standardele pentru clasificarea securității sistemelor de informații și a sistemelor de informații federale (Standards for Security Categorization of Federal Information and Information Systems)?
    • Serviciul cloud este găzduit în cadrul unei platforme ca serviciu (PaaS) sau al unei infrastructuri ca serviciu (IaaS) autorizate de FedRAMP sau CSP-ul furnizează infrastructura cloud de bază?

    Rețineți că obținerea conformității FedRAMP nu este o sarcină punctuală. Vă amintiți etapa de monitorizare a autorizării FedRAMP? Aceasta înseamnă că va trebui să prezentați audituri de securitate regulate pentru a vă asigura că rămâneți Conform FedRAMP.

    Bonus: Citiți ghidul de strategie de social media pas cu pas, cu sfaturi profesionale despre cum să vă dezvoltați prezența în social media.

    Obțineți ghidul gratuit chiar acum!

    Exemple de produse certificate FedRAMP

    Există mai multe tipuri de produse și servicii autorizate de FedRAMP. Iată câteva exemple de la furnizori de servicii cloud pe care îi cunoașteți și pe care este posibil să îi utilizați deja.

    Servicii Web Amazon

    Există două listări AWS în FedRAMP Marketplace. AWS GovCloud este autorizat la nivel înalt. AWS US East/West este autorizat la nivel moderat.

    Ați auzit? clienții AWS GovCloud (SUA) pot utiliza #AmazonEFS pentru sarcinile de lucru cu fișiere critice datorită obținerii recente a autorizației FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) 18 octombrie 2019

    AWS GovCloud are un număr impresionant de 292 de autorizații, iar AWS US East/West are 250 de autorizații, mult mai multe decât orice altă listă din FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics a fost autorizat în 2019. Este utilizat de Centrele pentru Controlul și Prevenirea Bolilor și de Departamentul de Sănătate și Servicii Umane. Este autorizat la nivel LI-SaaS.

    Adobe are de fapt mai multe produse autorizate la nivelul LI-SaaS. (Cum ar fi Adobe Campaign și Adobe Document Cloud.) De asemenea, au câteva produse autorizate la nivelul moderat:

    • Servicii administrate Adobe Connect
    • Adobe Experience Manager Managed Services.

    Adobe se află în prezent în proces de trecere de la autorizația FedRAMP Tailored la autorizația FedRAMP Moderate pentru Adobe Sign.

    Aflați mai multe despre modul în care @Adobe Sign lucrează pentru a trece de la FedRAMP Tailored la FedRAMP Moderate statute aici: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 august 2020

    Nu uitați că serviciul, nu furnizorul de servicii, este cel care primește autorizația. La fel ca Adobe, s-ar putea să trebuiască să obțineți mai multe autorizații dacă oferiți mai multe soluții bazate pe cloud.

    Slack

    Autorizat în luna mai a acestui an, Slack are 21 de autorizații FedRAMP. Produsul este autorizat la nivel moderat. Este folosit de agenții, printre care:

    • Centrele pentru Controlul și Protecția Bolilor,
    • Comisia federală pentru comunicații și
    • Fundația Națională pentru Știință.

    Sectorul public din SUA poate acum să își desfășoare mai mult din activitatea în Slack, datorită noii noastre autorizații FedRAMP Moderate. Și, prin respectarea acestor cerințe stricte de securitate, menținem lucrurile în siguranță și pentru toate celelalte companii care folosesc Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 august 2020

    Slack a primit inițial autorizația FedRAMP Tailored. Apoi, a urmărit obținerea autorizației Moderate prin asocierea cu Departamentul Afacerilor Veteranilor.

    Slack are grijă să atragă atenția pe site-ul său web asupra beneficiilor de securitate ale acestei autorizații pentru clienții din sectorul privat:

    "Această ultimă autorizație se traduce printr-o experiență mai sigură pentru clienții Slack, inclusiv pentru companiile din sectorul privat care nu au nevoie de un mediu autorizat FedRAMP. Toți clienții care utilizează ofertele comerciale ale Slack pot beneficia de măsurile de securitate sporite necesare pentru a obține certificarea FedRAMP."

    Trello Enterprise Cloud

    Trello tocmai a primit autorizația Li-SaaS în septembrie. Trello este folosit până acum doar de către Administrația Generală a Serviciilor. Dar compania dorește să schimbe acest lucru, după cum se vede în postările lor sociale despre noul lor statut FedRAMP:

    🏛️Cu autorizația FedRAMP de la Trello, agenția dvs. poate folosi acum Trello pentru a crește productivitatea, a sparge silozurile din echipă și a încuraja colaborarea. //t.co/GWYYgaj9jfY

    - Trello (@trello) 12 octombrie 2020

    Zendesk

    De asemenea, autorizat în luna mai, Zendesk este folosit de:

    • Departamentul pentru Energie,
    • Agenția Federală pentru Finanțarea Locuințelor
    • Biroul inspectorului general al FHFA și
    • Administrația Generală a Serviciilor.

    Platforma Zendesk de asistență pentru clienți și help desk are autorizație Li-Saas.

    Începând de astăzi, putem face mult mai ușor pentru agențiile guvernamentale să lucreze cu noi, deoarece @Zendesk este acum autorizat FedRAMP. Mulțumim tuturor echipelor din interiorul și din afara Zendesk pentru efortul depus în acest sens. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 22 mai 2020

    FedRAMP pentru managementul social media

    SMMExpert este autorizat de FedRAMP. Agențiile guvernamentale pot acum să lucreze cu ușurință cu liderul global în managementul social media pentru a se angaja cu cetățenii, a gestiona comunicările de criză și a furniza servicii și informații prin intermediul social media.

    Solicitați o demonstrație

    Postarea anterioară Ghidul de stil social media perfect pentru brandul tău în 2023
    Postarea următoare 8 sfaturi pentru o preluare impecabilă a Instagramului

    Kimberly Parker este un profesionist experimentat în marketing digital, cu peste 10 ani de experiență în industrie. În calitate de fondatoare a propriei sale agenții de marketing pe social media, ea a ajutat numeroase companii din diverse industrii să își stabilească și să-și dezvolte prezența online prin strategii eficiente de social media. Kimberly este, de asemenea, un scriitor prolific, care a contribuit cu articole pe rețelele sociale și marketing digital la mai multe publicații de renume. În timpul liber, îi place să experimenteze noi rețete în bucătărie și să facă plimbări lungi cu câinele ei.