Сертификация FedRAMP: что это такое, почему она важна и кто ее имеет

Kimberly Parker

29-05-2023 Стратегия
  • Поделись Этим
Kimberly Parker

Безопасность данных имеет огромное количество сфер применения. И это главная проблема для всех, кто использует или поставляет облачные сервисы.

Когда речь идет о государственных данных, эти проблемы могут достигать уровня национальной безопасности. Именно поэтому правительство США требует, чтобы все облачные сервисы, используемые федеральными агентствами, соответствовали тщательно разработанному набору стандартов безопасности, известному как FedRAMP.

Так что же такое FedRAMP и что он подразумевает? Вы находитесь в правильном месте, чтобы узнать это.

Бонус: Прочитайте пошаговое руководство по стратегии социальных сетей с советами профессионалов о том, как развивать свое присутствие в социальных сетях.

Что такое FedRAMP?

FedRAMP расшифровывается как "Федеральная программа управления рисками и авторизацией". Она стандартизирует оценку безопасности и авторизацию облачных продуктов и услуг, используемых федеральными агентствами США.

Цель - обеспечить постоянную защиту федеральных данных на высоком уровне в облаке.

Получение разрешения FedRAMP - дело серьезное. Требуемый уровень безопасности предписан законом. Существует 14 применимых законов и правил, а также 19 стандартов и руководящих документов. Это одна из самых строгих сертификаций программного обеспечения как услуги в мире.

Вот краткое введение:

FedRAMP существует с 2012 г. Именно тогда облачные технологии начали вытеснять устаревшие привязанные программные решения. Он родился из стратегии правительства США "Облако прежде всего". Эта стратегия требовала, чтобы агентства рассматривали облачные решения в качестве первого выбора.

До появления FedRAMP поставщикам облачных услуг приходилось готовить пакет разрешений для каждого агентства, с которым они хотели работать. Требования не были согласованными. И было много дублирующих усилий как для поставщиков, так и для агентств.

FedRAMP ввел последовательность и упорядочил процесс.

Теперь оценки и требования стандартизированы. Несколько государственных учреждений могут повторно использовать пакет безопасности авторизации FedRAMP провайдера.

Первоначальное внедрение FedRAMP шло медленно. За первые четыре года было авторизовано всего 20 предложений облачных услуг. Но с 2018 года темпы действительно возросли, и сейчас насчитывается 204 авторизованных облачных продукта FedRAMP.

Источник: FedRAMP

FedRAMP контролируется Объединенным советом по авторизации (JAB). В состав совета входят представители:

  • Министерство внутренней безопасности
  • Администрация общих служб, и
  • Министерство обороны.

Программа одобрена Федеральным советом руководителей информационных служб при правительстве США.

Почему важна сертификация FedRAMP?

Все облачные сервисы, хранящие федеральные данные, требуют авторизации FedRAMP. Поэтому, если вы хотите работать с федеральным правительством, авторизация FedRAMP является важной частью вашего плана безопасности.

FedRAMP важен, поскольку он обеспечивает последовательность в обеспечении безопасности правительственных облачных услуг - и последовательность в оценке и мониторинге этой безопасности. Он обеспечивает единый набор стандартов для всех правительственных агентств и всех поставщиков облачных услуг.

Поставщики облачных услуг, авторизованные FedRAMP, перечислены в FedRAMP Marketplace. Этот рынок - первое место, куда обращаются государственные учреждения, когда хотят найти новое облачное решение. Агентству гораздо проще и быстрее использовать уже авторизованный продукт, чем начинать процесс авторизации с новым поставщиком.

Таким образом, регистрация на рынке FedRAMP повышает вероятность получения дополнительного бизнеса от государственных учреждений, но также может улучшить ваш профиль в частном секторе.

Это потому, что рынок FedRAMP является общедоступным. Любая компания частного сектора может просмотреть список авторизованных решений FedRAMP.

Это отличный ресурс, когда они ищут источник безопасного облачного продукта или услуги.

Авторизация FedRAMP может сделать любого клиента более уверенным в протоколах безопасности. Она представляет собой постоянное обязательство соответствовать самым высоким стандартам безопасности.

Авторизация FedRAMP значительно повышает доверие к вашей безопасности и за пределами FedRAMP Marketplace. Вы можете рассказать о своей авторизации FedRAMP в социальных сетях и на своем сайте.

Правда в том, что большинство ваших клиентов, скорее всего, не знают, что такое FedRAMP. Им все равно, авторизованы вы или нет. Но для тех крупных клиентов, которые понимают, что такое FedRAMP - как в государственном, так и в частном секторе - отсутствие авторизации может стать решающим фактором.

Что нужно сделать, чтобы пройти сертификацию FedRAMP?

Существует два различных способа получить авторизацию FedRAMP.

1. Объединенный совет по авторизации (JAB) Временное разрешение на эксплуатацию

В этом процессе JAB выдает предварительное разрешение. Это позволяет агентствам знать, что риск был рассмотрен.

Это важное первое разрешение. Но любое агентство, которое хочет использовать эту услугу, должно получить собственное разрешение на эксплуатацию.

Этот процесс лучше всего подходит для поставщиков облачных услуг с высоким или умеренным уровнем риска (мы подробно рассмотрим уровни риска в следующем разделе).

Вот наглядный обзор процесса JAB:

Источник: FedRAMP

2. Полномочия агентства на ведение деятельности

В этом процессе поставщик облачных услуг устанавливает отношения с конкретным федеральным агентством. Это агентство участвует во всем процессе. Если процесс проходит успешно, агентство выдает письмо с разрешением на эксплуатацию.

Источник: FedRAMP

Шаги к авторизации FedRAMP

Независимо от того, какой тип авторизации вы используете, авторизация FedRAMP включает четыре основных этапа:

  1. Разработка пакета. Сначала проводится начальное совещание по авторизации. Затем провайдер заполняет план безопасности системы. Далее сторонняя организация по оценке, одобренная FedRAMP, разрабатывает план оценки безопасности.
  2. Оценка. Организация, проводящая оценку, представляет отчет об оценке безопасности. Провайдер создает план действий и основные этапы.
  3. Авторизация. JAB или уполномоченное агентство решает, является ли описанный риск приемлемым. Если да, они подают письмо с разрешением на эксплуатацию в офис управления проектом FedRAMP. Затем провайдер вносится в список FedRAMP Marketplace.
  4. Мониторинг. Провайдер ежемесячно направляет результаты мониторинга безопасности каждому агентству, пользующемуся данной услугой.

Лучшие практики авторизации FedRAMP

Процесс получения разрешения FedRAMP может быть непростым. Но в интересах всех участников процесса, чтобы провайдеры облачных услуг добились успеха после начала процесса получения разрешения.

Чтобы помочь, FedRAMP опросил несколько малых предприятий и стартапов об уроках, полученных в процессе авторизации. Вот семь лучших советов для успешного прохождения процесса авторизации:

  1. Понять, как ваш продукт соотносится с FedRAMP - включая анализ пробелов.
  2. Добейтесь организационной поддержки и заинтересованности - в том числе со стороны руководства и технических специалистов.
  3. Найдите партнера - агентство, которое использует ваш продукт или намерено это сделать.
  4. Уделите время точному определению своих границ. Это включает в себя:
    • внутренние компоненты
    • соединения с внешними службами, и
    • поток информации и метаданных.
  5. Рассматривайте FedRAMP как непрерывную программу, а не просто проект с датой начала и окончания. Услуги должны постоянно контролироваться.
  6. Тщательно продумайте подход к авторизации. Для нескольких продуктов может потребоваться несколько авторизаций.
  7. FedRAMP PMO является ценным ресурсом. Они могут ответить на технические вопросы и помочь вам спланировать стратегию.

    FedRAMP предлагает шаблоны, чтобы помочь поставщикам облачных услуг подготовиться к соответствию требованиям FedRAMP.

    Каковы категории соответствия требованиям FedRAMP?

    FedRAMP предлагает четыре уровня воздействия для услуг с различными видами риска. Они основаны на потенциальных последствиях нарушения безопасности в трех различных областях.

    • Конфиденциальность: Защита конфиденциальности и служебной информации.
    • Целостность: Защита от модификации или уничтожения информации.
    • Доступность: Своевременный и надежный доступ к данным.

    Первые три уровня воздействия основаны на Федеральном стандарте обработки информации (FIPS) 199 от Национального института стандартов и технологий (NIST). Четвертый основан на Специальной публикации NIST 800-37. Уровни воздействия следующие:

    • Высокий, на основе 421 контроля. "Потеря конфиденциальности, целостности или доступности может оказать серьезное или катастрофическое негативное воздействие на деятельность организации, ее активы или отдельных лиц". Обычно это относится к правоохранительным органам, аварийным службам, финансовым и медицинским системам.
    • Умеренный, на основе 325 контрольных показателей. "Потеря конфиденциальности, целостности или доступности может оказать серьезное негативное воздействие на деятельность организации, ее активы или отдельных лиц". Почти 80 процентов одобренных приложений FedRAMP находятся на уровне умеренного воздействия.
    • Низкий, на основе 125 контрольных показателей. "Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет ограниченное негативное воздействие на деятельность организации, ее активы или отдельных лиц".
    • Программное обеспечение-как-услуга с низким уровнем воздействия (LI-SaaS), на основе 36 элементов управления Для "систем с низким уровнем риска для таких целей, как инструменты для совместной работы, приложения для управления проектами и инструменты, помогающие разрабатывать открытый код". Эта категория также известна как FedRAMP Tailored.

    Последняя категория была добавлена в 2017 году, чтобы облегчить учреждениям утверждение "сценариев использования с низким риском". Чтобы получить право на FedRAMP Tailored, поставщик должен ответить "да" на шесть вопросов. Эти вопросы опубликованы на странице политики FedRAMP Tailored:

    • Работает ли услуга в облачной среде?
    • Полностью ли работает облачный сервис?
    • Является ли облачная услуга программным обеспечением как услуга (SaaS), как определено в NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Облачная услуга не содержит персонально идентифицируемой информации (PII), за исключением той, которая необходима для обеспечения возможности входа в систему (имя пользователя, пароль и адрес электронной почты)?
    • Является ли облачный сервис малозатратным с точки зрения безопасности, как определено в FIPS PUB 199, Стандарты категоризации безопасности федеральной информации и информационных систем?
    • Размещается ли облачная услуга в рамках авторизованной FedRAMP платформы как услуги (PaaS) или инфраструктуры как услуги (IaaS), или CSP предоставляет базовую облачную инфраструктуру?

    Помните, что достижение соответствия требованиям FedRAMP - это не одноразовая задача. Помните этап мониторинга авторизации FedRAMP? Это означает, что вам нужно будет регулярно проводить аудиты безопасности, чтобы убедиться, что вы оставайтесь Соответствует требованиям FedRAMP.

    Бонус: Прочитайте пошаговое руководство по стратегии социальных сетей с советами профессионалов о том, как развивать свое присутствие в социальных сетях.

    Получите бесплатное руководство прямо сейчас!

    Примеры сертифицированных продуктов FedRAMP

    Существует множество типов продуктов и услуг, разрешенных FedRAMP. Вот несколько примеров от поставщиков облачных услуг, которых вы знаете и, возможно, уже используете сами.

    Amazon Web Services

    В FedRAMP Marketplace есть два списка AWS. AWS GovCloud авторизован на высоком уровне. AWS US East/West авторизован на умеренном уровне.

    Вы слышали? Клиенты AWS GovCloud (США) могут использовать #AmazonEFS для критически важных файловых рабочих нагрузок благодаря недавно полученной высокой авторизации FedRAMP. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) October 18, 2019

    AWS GovCloud имеет 292 авторизации. AWS US East/West имеет 250 авторизаций. Это намного больше, чем в любом другом списке на FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics была разрешена в 2019 г. Она используется Центрами по контролю и профилактике заболеваний и Министерством здравоохранения и социальных служб. Она разрешена на уровне LI-SaaS.

    Adobe действительно имеет несколько продуктов, авторизованных на уровне LI-SaaS (например, Adobe Campaign и Adobe Document Cloud). У них также есть несколько продуктов, авторизованных на уровне Moderate:

    • Управляемые услуги Adobe Connect
    • Adobe Experience Manager Managed Services.

    В настоящее время Adobe находится в процессе перехода от авторизации FedRAMP Tailored к авторизации FedRAMP Moderate для Adobe Sign.

    Подробнее о том, как @Adobe Sign работает над переходом со статусов FedRAMP Tailored на статусы FedRAMP Moderate, можно узнать здесь: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 августа 2020 г.

    Помните, что авторизацию получает именно услуга, а не поставщик услуг. Как и Adobe, вам может потребоваться несколько авторизаций, если вы предлагаете несколько облачных решений.

    Slack

    Slack был авторизован в мае этого года и имеет 21 разрешение FedRAMP. Продукт авторизован на уровне Moderate. Его используют такие агентства, как:

    • Центры по контролю и защите заболеваний,
    • Федеральная комиссия по связи, и
    • Национальный научный фонд.

    Благодаря новому разрешению FedRAMP Moderate государственный сектор США теперь может выполнять большую часть своей работы в Slack. А выполняя эти строгие требования безопасности, мы обеспечиваем безопасность всех остальных компаний, использующих Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 августа 2020 г.

    Slack первоначально получил разрешение FedRAMP Tailored, а затем получил разрешение Moderate, заключив партнерство с Министерством по делам ветеранов.

    На своем сайте компания Slack обращает внимание на преимущества этого разрешения для безопасности клиентов из частного сектора:

    "Все клиенты, использующие коммерческие предложения Slack, могут воспользоваться повышенными мерами безопасности, необходимыми для получения сертификата FedRAMP".

    Trello Enterprise Cloud

    Trello получила разрешение Li-SaaS только в сентябре. Пока Trello используется только Администрацией общих служб. Но компания стремится изменить это, что видно из их социальных сообщений о новом статусе FedRAMP:

    🏛️С получением разрешения FedRAMP от Trello, ваше агентство теперь может использовать Trello для повышения производительности, разрушения командной замкнутости и укрепления сотрудничества. //t.co/GWYgaj9jfY

    - Trello (@trello) 12 октября 2020 г.

    Zendesk

    Кроме того, Zendesk, авторизованный в мае, используют:

    • Министерство энергетики,
    • Федеральное агентство жилищного финансирования
    • Управление генерального инспектора FHFA, и
    • Администрация общих служб.

    Платформа поддержки клиентов и справочной службы Zendesk имеет авторизацию Li-Saas.

    С сегодняшнего дня государственным учреждениям стало намного проще работать с нами, так как @Zendesk теперь авторизован по программе FedRAMP. Большое спасибо всем командам внутри и вне Zendesk за усилия, приложенные к этому. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 22 мая 2020 г.

    FedRAMP для управления социальными медиа

    SMMExpert имеет авторизацию FedRAMP. Теперь государственные учреждения могут легко работать с мировым лидером в области управления социальными медиа для взаимодействия с гражданами, управления кризисными коммуникациями, предоставления услуг и информации через социальные медиа.

    Запрос на демонстрацию

    Предыдущий пост Идеальное руководство по стилю социальных сетей для вашего бренда в 2023 году
    Следующий пост 8 советов для безупречного захвата Instagram

    Кимберли Паркер — опытный специалист по цифровому маркетингу с более чем 10-летним опытом работы в отрасли. Как основательница собственного маркетингового агентства в социальных сетях, она помогла многим компаниям в различных отраслях создать и расширить свое присутствие в Интернете с помощью эффективных стратегий в социальных сетях. Кимберли также является плодовитым писателем, написавшим статьи о социальных сетях и цифровом маркетинге в несколько авторитетных изданий. В свободное время она любит экспериментировать с новыми рецептами на кухне и совершать длительные прогулки со своей собакой.