Certifikácia FedRAMP: Čo je to, prečo je dôležitá a kto ju má

Kimberly Parker

29-05-2023 Stratégia
  • Zdieľajte To
Kimberly Parker

Hacknuté fotoaparáty celebrít. Kybernetická špionáž zo strany štátu. A všetko medzi tým. Bezpečnosť údajov má obrovské množstvo aplikácií. A je hlavným problémom pre každého, kto používa alebo dodáva cloudové služby.

Keď ide o vládne údaje, tieto obavy môžu dosiahnuť úroveň národnej bezpečnosti. Preto vláda USA vyžaduje, aby všetky cloudové služby, ktoré používajú federálne agentúry, spĺňali dôkladný súbor bezpečnostných noriem známy ako FedRAMP.

Čo je to vlastne FedRAMP a čo zahŕňa? Ste na správnom mieste, kde sa to dozviete.

Bonus: Prečítajte si sprievodcu stratégiou sociálnych médií krok za krokom s profesionálnymi tipmi, ako zvýšiť svoju prítomnosť v sociálnych médiách.

Čo je FedRAMP?

FedRAMP je skratka pre "Federálny program riadenia rizík a autorizácie". Štandardizuje hodnotenie bezpečnosti a autorizáciu cloudových produktov a služieb používaných federálnymi agentúrami USA.

Cieľom je zabezpečiť, aby boli federálne údaje v cloude dôsledne chránené na vysokej úrovni.

Získanie oprávnenia FedRAMP je vážna záležitosť. Požadovaná úroveň zabezpečenia je predpísaná zákonom. Existuje 14 platných zákonov a nariadení spolu s 19 normami a usmerňovacími dokumentmi. Ide o jednu z najprísnejších certifikácií softvéru ako služby na svete.

Tu je stručný úvod:

FedRAMP existuje od roku 2012. Vtedy začali cloudové technológie skutočne nahrádzať zastarané viazané softvérové riešenia. Vznikol na základe vládnej stratégie USA "Cloud First". Táto stratégia vyžadovala, aby sa agentúry v prvom rade zamerali na cloudové riešenia.

Pred zavedením FedRAMP museli poskytovatelia cloudových služieb pripraviť balík povolení pre každú agentúru, s ktorou chceli spolupracovať. Požiadavky neboli jednotné a poskytovatelia aj agentúry museli vynaložiť veľa úsilia.

FedRAMP zaviedol konzistentnosť a zefektívnil proces.

Teraz sú hodnotenia a požiadavky štandardizované. Viaceré vládne agentúry môžu opakovane používať bezpečnostný balík oprávnení FedRAMP poskytovateľa.

Spočiatku bolo zavádzanie FedRAMP-u pomalé. Počas prvých štyroch rokov bolo autorizovaných len 20 ponúk cloudových služieb. Od roku 2018 sa však tempo skutočne zvýšilo a v súčasnosti je autorizovaných 204 cloudových produktov FedRAMP.

Zdroj: FedRAMP

FedRAMP riadi Spoločná autorizačná rada (JAB), ktorú tvoria zástupcovia:

  • ministerstvo vnútornej bezpečnosti
  • General Services Administration a
  • ministerstvo obrany.

Program schválila Rada federálnych informačných úradníkov vlády USA.

Prečo je certifikácia FedRAMP dôležitá?

Všetky cloudové služby, v ktorých sa uchovávajú federálne údaje, vyžadujú autorizáciu FedRAMP. Ak teda chcete spolupracovať s federálnou vládou, autorizácia FedRAMP je dôležitou súčasťou vášho bezpečnostného plánu.

FedRAMP je dôležitý, pretože zabezpečuje konzistentnosť bezpečnosti vládnych cloudových služieb - a pretože zabezpečuje konzistentnosť pri hodnotení a monitorovaní tejto bezpečnosti. Poskytuje jeden súbor noriem pre všetky vládne agentúry a všetkých poskytovateľov cloudových služieb.

Poskytovatelia cloudových služieb, ktorí sú autorizovaní v rámci FedRAMP, sú uvedení na trhu FedRAMP Marketplace. Tento trh je prvým miestom, ktoré vládne agentúry hľadajú, keď chcú získať nové cloudové riešenie. Pre agentúru je oveľa jednoduchšie a rýchlejšie používať produkt, ktorý je už autorizovaný, ako začať proces autorizácie s novým dodávateľom.

Vďaka zaradeniu na trh FedRAMP máte oveľa väčšiu šancu získať ďalšie zákazky od vládnych agentúr. Môže však zlepšiť aj váš profil v súkromnom sektore.

Trh FedRAMP je totiž viditeľný pre verejnosť. Každá spoločnosť zo súkromného sektora si môže prelistovať zoznam autorizovaných riešení FedRAMP.

Je to skvelý zdroj informácií, keď hľadajú zdroj bezpečného cloudového produktu alebo služby.

Autorizácia FedRAMP môže každému klientovi zvýšiť dôveru v bezpečnostné protokoly. Predstavuje trvalý záväzok dodržiavať najvyššie bezpečnostné štandardy.

Autorizácia FedRAMP výrazne zvyšuje vašu dôveryhodnosť v oblasti bezpečnosti aj mimo trhoviska FedRAMP Marketplace. Svoju autorizáciu FedRAMP môžete zdieľať v sociálnych médiách a na svojej webovej stránke.

Pravdou je, že väčšina vašich klientov pravdepodobne nevie, čo je FedRAMP. Je im jedno, či ste autorizovaní alebo nie. Ale pre tých veľkých klientov, ktorí FedRAMP rozumejú - vo verejnom aj súkromnom sektore - môže byť nedostatočná autorizácia prekážkou pri uzatváraní zmluvy.

Čo je potrebné na získanie certifikátu FedRAMP?

Existujú dva rôzne spôsoby, ako získať oprávnenie FedRAMP.

1. Dočasné povolenie na vykonávanie činnosti Spoločnej autorizačnej rady (JAB)

V rámci tohto procesu vydáva výbor JAB predbežné povolenie. To agentúram umožňuje zistiť, či bolo riziko preskúmané.

Je to dôležité prvé schválenie. Každá agentúra, ktorá chce službu využívať, však musí vydať vlastné povolenie na prevádzku.

Tento postup je najvhodnejší pre poskytovateľov cloudových služieb s vysokým alebo stredným rizikom. (Úrovniam rizika sa budeme venovať v ďalšej časti.)

Tu je vizuálny prehľad procesu JAB:

Zdroj: FedRAMP

2. Poverenie agentúry na vykonávanie činnosti

V tomto procese poskytovateľ cloudových služieb nadviaže vzťah s konkrétnou federálnou agentúrou. Táto agentúra je zapojená do celého procesu. Ak je proces úspešný, agentúra vydá povolenie na prevádzku.

Zdroj: FedRAMP

Kroky k autorizácii FedRAMP

Bez ohľadu na to, o ktorý typ autorizácie ide, autorizácia FedRAMP zahŕňa štyri hlavné kroky:

  1. Vývoj balíka. Najskôr sa uskutoční úvodné stretnutie o autorizácii. Potom poskytovateľ vyplní plán bezpečnosti systému. Následne hodnotiaca organizácia tretej strany schválená systémom FedRAMP vypracuje plán hodnotenia bezpečnosti.
  2. Hodnotenie. Hodnotiaca organizácia predloží správu o posúdení bezpečnosti. Poskytovateľ vytvorí akčný plán & Míľniky.
  3. Autorizácia. JAB alebo povoľujúci orgán rozhodne, či je opísané riziko prijateľné. Ak áno, predloží kancelárii riadenia projektu FedRAMP list o povolení na prevádzku. Poskytovateľ je potom zaradený do zoznamu FedRAMP Marketplace.
  4. Monitorovanie. Poskytovateľ zasiela mesačné výsledky monitorovania bezpečnosti každej agentúre, ktorá službu využíva.

Najlepšie postupy autorizácie FedRAMP

Proces získania autorizácie FedRAMP môže byť náročný. Je však v najlepšom záujme všetkých zúčastnených, aby poskytovatelia cloudových služieb po začatí procesu autorizácie uspeli.

S cieľom pomôcť vám FedRAMP uskutočnil rozhovor s niekoľkými malými a začínajúcimi podnikmi o skúsenostiach získaných počas autorizácie. Tu je ich sedem najlepších tipov na úspešné zvládnutie autorizačného procesu:

  1. Zistite, ako váš produkt zodpovedá FedRAMP - vrátane analýzy nedostatkov.
  2. Získajte organizačnú podporu a záväzok - vrátane výkonného tímu a technických tímov.
  3. Nájdite si partnera - agentúru, ktorá používa váš produkt alebo je odhodlaná ho používať.
  4. Venujte čas presnému vymedzeniu svojich hraníc. To zahŕňa:
    • vnútorné komponenty
    • pripojenia k externým službám a
    • tok informácií a metadát.
  5. Na FedRAMP sa pozerajte ako na nepretržitý program, a nie len ako na projekt s dátumom začiatku a konca. Služby sa musia neustále monitorovať.
  6. Dôkladne zvážte svoj prístup k autorizácii. Viaceré produkty môžu vyžadovať viacero autorizácií.
  7. Úrad PMO FedRAMP je cenným zdrojom informácií. Môže vám odpovedať na technické otázky a pomôcť vám naplánovať stratégiu.

    FedRAMP ponúka šablóny, ktoré pomáhajú poskytovateľom cloudových služieb pripraviť sa na súlad s FedRAMP.

    Aké sú kategórie súladu so štandardom FedRAMP?

    FedRAMP ponúka štyri úrovne vplyvu pre služby s rôznymi druhmi rizika. Sú založené na potenciálnych vplyvoch narušenia bezpečnosti v troch rôznych oblastiach.

    • Dôvernosť: Ochrana súkromia a chránených informácií.
    • Integrita: Ochrana pred zmenou alebo zničením informácií.
    • Dostupnosť: Včasný a spoľahlivý prístup k údajom.

    Prvé tri úrovne vplyvu vychádzajú z Federálneho štandardu pre spracovanie informácií (FIPS) 199 od Národného inštitútu pre štandardy a technológie (NIST). Štvrtá úroveň vplyvu vychádza zo Špeciálnej publikácie NIST 800-37. Úrovne vplyvu sú tieto:

    • Vysoká, na základe 421 kontrol. "Dá sa očakávať, že strata dôvernosti, integrity alebo dostupnosti by mohla mať závažný alebo katastrofický nepriaznivý vplyv na činnosť organizácie, aktíva organizácie alebo jednotlivcov." Toto sa zvyčajne vzťahuje na systémy presadzovania práva, záchranné služby, finančné a zdravotnícke systémy.
    • Mierne, na základe 325 kontrol. "Dá sa očakávať, že strata dôvernosti, integrity alebo dostupnosti bude mať závažný negatívny vplyv na prevádzku organizácie, aktíva organizácie alebo jednotlivcov." Takmer 80 percent schválených aplikácií FedRAMP je na úrovni stredného vplyvu.
    • Nízka, na základe 125 kontrol. "Dá sa očakávať, že strata dôvernosti, integrity alebo dostupnosti bude mať obmedzený nepriaznivý vplyv na prevádzku organizácie, majetok organizácie alebo jednotlivcov."
    • Softvér ako služba s nízkym vplyvom (LI-SaaS) založený na 36 kontrolných mechanizmoch . pre "systémy s nízkym rizikom použitia, ako sú nástroje na spoluprácu, aplikácie na riadenie projektov a nástroje, ktoré pomáhajú vyvíjať kód s otvoreným zdrojovým kódom." Táto kategória je známa aj ako FedRAMP Tailored.

    Táto posledná kategória bola pridaná v roku 2017 s cieľom uľahčiť agentúram schvaľovanie "prípadov použitia s nízkym rizikom". Aby sa poskytovateľ mohol kvalifikovať pre FedRAMP Tailored, musí odpovedať kladne na šesť otázok. Tie sú zverejnené na stránke s pravidlami FedRAMP Tailored:

    • Funguje služba v cloudovom prostredí?
    • Je cloudová služba plne funkčná?
    • Je cloudová služba softvér ako služba (SaaS), ako je definované v dokumente NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Neobsahuje cloudová služba informácie umožňujúce identifikáciu osôb (PII), okrem tých, ktoré sú potrebné na zabezpečenie možnosti prihlásenia (používateľské meno, heslo a e-mailová adresa)?
    • Má cloudová služba nízky bezpečnostný vplyv podľa definície FIPS PUB 199, Štandardy pre bezpečnostnú kategorizáciu federálnych informácií a informačných systémov?
    • Je cloudová služba umiestnená v rámci platformy ako služby (PaaS) alebo infraštruktúry ako služby (IaaS) s povolením FedRAMP, alebo základnú cloudovú infraštruktúru poskytuje CSP?

    Majte na pamäti, že dosiahnutie súladu s FedRAMP nie je jednorazová úloha. Pamätáte si na fázu monitorovania autorizácie FedRAMP? To znamená, že budete musieť pravidelne predkladať bezpečnostné audity, aby ste sa uistili, že zostať V súlade s FedRAMP.

    Bonus: Prečítajte si sprievodcu stratégiou sociálnych médií krok za krokom s profesionálnymi tipmi, ako zvýšiť svoju prítomnosť v sociálnych médiách.

    Získajte bezplatnú príručku hneď teraz!

    Príklady produktov s certifikáciou FedRAMP

    Existuje mnoho typov produktov a služieb autorizovaných systémom FedRAMP. Tu je niekoľko príkladov od poskytovateľov cloudových služieb, ktorých poznáte a možno už sami používate.

    Webové služby Amazon

    V zozname FedRAMP Marketplace sú dva zoznamy AWS. AWS GovCloud je autorizovaný na vysokej úrovni. AWS US East/West je autorizovaný na strednej úrovni.

    Počuli ste o tom? Zákazníci AWS GovCloud (USA) môžu používať #AmazonEFS pre kritické pracovné zaťaženie súborov vďaka nedávnemu získaniu vysokej autorizácie FedRAMP. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS pre verejnú správu (@AWS_Gov) október 18, 2019

    AWS GovCloud má neuveriteľných 292 autorizácií. AWS US East/West má 250 autorizácií. To je oveľa viac ako v ktoromkoľvek inom zozname na FedRAMP Marketplace.

    Adobe Analytics

    Služba Adobe Analytics bola autorizovaná v roku 2019. Používajú ju Centrá pre kontrolu a prevenciu chorôb a ministerstvo zdravotníctva a sociálnych služieb. Je autorizovaná na úrovni LI-SaaS.

    Spoločnosť Adobe má v skutočnosti niekoľko produktov autorizovaných na úrovni LI-SaaS (napríklad Adobe Campaign a Adobe Document Cloud):

    • Spravované služby Adobe Connect
    • Spravované služby Adobe Experience Manager.

    Spoločnosť Adobe v súčasnosti prechádza z autorizácie FedRAMP Tailored na autorizáciu FedRAMP Moderate pre Adobe Sign.

    Viac informácií o tom, ako @Adobe Sign pracuje na prechode zo štatútu FedRAMP Tailored na FedRAMP Moderate, nájdete tu: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12. augusta 2020

    Nezabudnite, že autorizáciu získava služba, nie jej poskytovateľ. Ak ponúkate viac ako jedno cloudové riešenie, možno budete musieť podobne ako spoločnosť Adobe požiadať o viacero autorizácií.

    Slack

    Služba Slack, ktorá bola autorizovaná v máji tohto roku, má 21 autorizácií FedRAMP. Produkt je autorizovaný na úrovni Moderate. Používajú ho agentúry vrátane:

    • Centra pre kontrolu a ochranu chorôb,
    • Federálnej komunikačnej komisie a
    • Národnej vedeckej nadácie.

    Verejný sektor v USA môže teraz vykonávať viac svojej práce v službe Slack vďaka našej novej autorizácii FedRAMP Moderate. Splnením týchto prísnych bezpečnostných požiadaviek zabezpečujeme bezpečnosť aj pre všetky ostatné spoločnosti, ktoré používajú službu Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13. augusta 2020

    Spoločnosť Slack pôvodne získala povolenie FedRAMP Tailored. Potom sa usilovala o získanie povolenia Moderate prostredníctvom spolupráce s ministerstvom pre záležitosti veteránov.

    Spoločnosť Slack na svojej webovej stránke upozorňuje na bezpečnostné výhody tohto povolenia pre klientov zo súkromného sektora:

    "Táto najnovšia autorizácia znamená bezpečnejší zážitok pre zákazníkov spoločnosti Slack vrátane podnikov zo súkromného sektora, ktoré nevyžadujú prostredie s autorizáciou FedRAMP. Všetci zákazníci, ktorí využívajú komerčné ponuky spoločnosti Slack, môžu využívať výhody zvýšených bezpečnostných opatrení potrebných na získanie certifikácie FedRAMP."

    Trello Enterprise Cloud

    Spoločnosť Trello získala povolenie Li-SaaS len v septembri. Trello zatiaľ využíva len General Services Administration. Spoločnosť sa to však snaží zmeniť, ako je vidieť z jej sociálnych príspevkov o novom štatúte FedRAMP:

    🏛️S autorizáciou Trello v rámci FedRAMP môže teraz vaša agentúra používať Trello na zvýšenie produktivity, odstránenie tímových izolácií a podporu spolupráce. //t.co/GWYgaj9jfY

    - Trello (@trello) 12. októbra 2020

    Zendesk

    Spoločnosť Zendesk, ktorá bola v máji tiež autorizovaná, používajú:

    • ministerstvo energetiky,
    • Federálna agentúra pre financovanie bývania
    • Úrad generálneho inšpektora FHFA a
    • General Services Administration.

    Platforma zákazníckej podpory a helpdesku Zendesk má autorizáciu Li-Saas.

    Od dnešného dňa môžeme vládnym agentúram výrazne uľahčiť spoluprácu, keďže @Zendesk je teraz autorizovaný v rámci FedRAMP-u. Ďakujeme všetkým tímom v Zendesku aj mimo neho za úsilie, ktoré do toho vložili. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) máj 22, 2020

    FedRAMP pre správu sociálnych médií

    SMMExpert má povolenie FedRAMP. Vládne agentúry teraz môžu jednoducho spolupracovať so svetovým lídrom v oblasti správy sociálnych médií, aby mohli komunikovať s občanmi, riadiť krízovú komunikáciu a poskytovať služby a informácie prostredníctvom sociálnych médií.

    Vyžiadajte si ukážku

    Predchádzajúci príspevok Dokonalý sprievodca štýlom sociálnych médií pre vašu značku v roku 2023
    Ďalší príspevok 8 tipov pre bezchybné prevzatie Instagramu

    Kimberly Parker je skúsená profesionálka v oblasti digitálneho marketingu s viac ako 10-ročnými skúsenosťami v tomto odvetví. Ako zakladateľka vlastnej marketingovej agentúry pre sociálne médiá pomohla mnohým podnikom v rôznych odvetviach vytvoriť a rozšíriť svoju online prítomnosť prostredníctvom efektívnych stratégií sociálnych médií. Kimberly je tiež plodná spisovateľka, ktorá prispela článkami o sociálnych médiách a digitálnom marketingu do niekoľkých renomovaných publikácií. Vo voľnom čase rada experimentuje s novými receptami v kuchyni a chodí na dlhé prechádzky so svojím psíkom.