Sertifikasi FedRAMP: Naon Éta, Naha Éta Penting, sareng Saha Anu Mibanda

Kimberly Parker

29-05-2023 Stratégi
  • Bagikeun Ieu
Kimberly Parker

Rol kaméra selebritis diretas. cyberspionage dumasar-nagara. Jeung sagalana di antara. Kaamanan data ngagaduhan sajumlah ageung aplikasi. Sareng éta mangrupikeun perhatian utama pikeun saha waé anu nganggo atanapi nyayogikeun jasa dumasar-awan.

Nalika data pamaréntah kalibet, masalah éta tiasa ngahontal tingkat kaamanan nasional. Éta sababna pamaréntah AS meryogikeun sadaya jasa awan anu dianggo ku agénsi féderal pikeun nyumponan sakumpulan standar kaamanan anu cermat anu katelah FedRAMP.

Jadi naon FedRAMP, sareng naon anu dibutuhkeun? Anjeun dina tempat anu leres pikeun milarian.

Bonus: Baca léngkah-léngkah pituduh strategi média sosial sareng tip pro ngeunaan kumaha carana ningkatkeun ayana média sosial anjeun.

Naon ari FedRAMP?

FedRAMP singketan tina "Program Manajemén Résiko sareng Otorisasi Federal." Éta ngabakukeun penilaian kaamanan sareng otorisasi pikeun produk sareng jasa awan anu dianggo ku agénsi féderal AS.

Tujuanana nyaéta pikeun mastikeun data féderal ditangtayungan sacara konsistén dina tingkat luhur dina méga.

Meunangkeun FedRAMP otorisasina bisnis serius. Tingkat kaamanan anu diperyogikeun diwajibkeun ku hukum. Aya 14 undang-undang sareng peraturan anu berlaku, sareng 19 standar sareng dokumén pedoman. Ieu salah sahiji sertifikasi software-sakumaha-jasa anu paling ketat di dunya.

Kieu perkenalan gancang:

FedRAMP parantos aya ti taun 2012. Dina waktos éta téknologi awan leres-leresotorisasina pikeun Adobe Sign.

Diajar langkung seueur ngeunaan cara @Adobe Sign damel pikeun mindahkeun tina FedRAMP Disesuaikeun ka FedRAMP Moderate patung di dieu: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 Agustus 2020

Inget yén éta layanan, sanés panyadia ladénan, anu meunang otorisasi. Sapertos Adobe, anjeun panginten kedah ngiringan sababaraha otorisasi upami anjeun nawiskeun langkung ti hiji solusi dumasar-awan.

Slack

Diotorisasi dina Méi taun ieu, Slack gaduh 21 otorisasi FedRAMP. Produkna otorisasi dina tingkat Sedeng. Éta dianggo ku agénsi kalebet:

  • Pusat Kontrol sareng Perlindungan Kasakit,
  • Komisi Komunikasi Federal, sareng
  • Yayasan Élmu Nasional.

Sektor publik AS ayeuna tiasa ngajalankeun langkung seueur padamelan na di Slack, hatur nuhun kana otorisasi Moderate FedRAMP anyar kami. Sareng ku nyumponan syarat kaamanan anu ketat, kami ogé ngajaga hal-hal anu aman pikeun unggal perusahaan sanés anu nganggo Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13 Agustus 2020

Slack mimitina nampi otorisasi FedRAMP Tailored. Teras, aranjeunna ngudag otorisasi Sedeng ku gawé bareng sareng Departemen Urusan Veteran.

Slack mastikeun pikeun nengetan mangpaat kaamanan otorisasi ieu pikeun klien sektor swasta dina situs wébna:

"Ieu otorisasi panganyarna narjamahkeun kana pangalaman leuwih aman pikeunPalanggan Slack, kalebet usaha sektor swasta anu henteu meryogikeun lingkungan anu diidinan FedRAMP. Sadaya palanggan anu nganggo panawaran komérsial Slack tiasa nyandak kauntungan tina ukuran kaamanan anu diperyogikeun pikeun ngahontal sertipikasi FedRAMP. Trello sajauh ieu ngan ukur dianggo ku Administrasi Layanan Umum. Tapi perusahaan badé ngarobih éta, sapertos anu katingal dina tulisan sosialna ngeunaan status FedRAMP énggalna:

🏛️Kalayan otorisasi FedRAMP Trello, agénsi anjeun ayeuna tiasa nganggo Trello pikeun ningkatkeun produktivitas, ngarecah silo tim, sareng ngabina. gawé bareng. //t.co/GWYgaj9jfY

— Trello (@trello) 12 Oktober 2020

Zendesk

Oge otorisasi dina bulan Méi, Zendesk dipaké ku:

  • Departemén Énergi,
  • Badan Keuangan Perumahan Féderal
  • Kantor FHFA Inspektur Jenderal, sareng
  • Administrasi Layanan Umum.

Platform Meja Bantuan sareng Dukungan Pelanggan Zendesk gaduh otorisasi Li-Saas.

Ti dinten ayeuna urang tiasa ngagampangkeun instansi pamaréntah pikeun damel sareng kami sabab @Zendesk ayeuna otorisasi FedRAMP. Hatur nuhun ka sadaya tim di jero sareng di luar Zendesk pikeun usaha ieu. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22 Mei 2020

FedRAMP pikeun manajemén média sosial

SMMExpert nyaéta FedRAMPotorisasi. Instansi pamaréntah ayeuna tiasa gampil damel sareng pamimpin global dina manajemén média sosial pikeun kalibet sareng warga, ngatur komunikasi krisis, sareng nganteurkeun jasa sareng inpormasi ngalangkungan média sosial.

Minta Demo

mimiti ngaganti solusi software tethered luntur. Éta lahir tina strategi "Cloud First" pamaréntah AS. Strategi éta meryogikeun agénsi pikeun ningali solusi dumasar-awan salaku pilihan kahiji.

Saméméh FedRAMP, panyadia ladénan awan kedah nyiapkeun pakét otorisasi pikeun unggal lembaga anu aranjeunna hoyong damel. Sarat éta henteu konsisten. Sareng aya seueur usaha duplikat pikeun panyadia sareng agénsi.

FedRAMP ngenalkeun konsistensi sareng ngagampangkeun prosésna.

Ayeuna, évaluasi sareng syarat parantos standar. Sababaraha instansi pamaréntah tiasa nganggo deui pakét kaamanan otorisasi FedRAMP panyadia.

Panyerapan FedRAMP awal lambat. Ngan 20 panawaran jasa awan anu otorisasi dina opat taun munggaran. Tapi lajuna parantos ningkat ti saprak 2018, sareng ayeuna aya 204 produk awan otorisasi FedRAMP.

Sumber: FedRAMP

FedRAMP dikawasa ku Joint Authorization Board (JAB). Déwan diwangun ku wawakil ti:

  • Departemén Kaamanan Dalam Negeri
  • Administrasi Layanan Umum, jeung
  • Departemén Pertahanan.

Program ieu disaluyuan ku Déwan Petugas Informasi Kapala Féderal pamaréntah AS.

Naha sertifikasi FedRAMP penting?

Sadaya ladenan awan nu nyekel data féderal merlukeun otorisasi FedRAMP. Janten, upami anjeun hoyong damel sarengpamaréntah féderal, otorisasi FedRAMP mangrupa bagian penting tina rencana kaamanan Anjeun.

FedRAMP penting sabab mastikeun konsistensi dina kaamanan jasa awan pamaréntah-sarta mastikeun konsistensi dina evaluating jeung ngawas kaamanan éta. Éta nyayogikeun sakumpulan standar pikeun sadaya instansi pamaréntah sareng sadaya panyadia awan.

Panyadia ladénan Cloud anu otorisasi FedRAMP didaptarkeun di Pasar FedRAMP. Pasar ieu mangrupikeun tempat munggaran lembaga pamaréntahan ningali nalika aranjeunna hoyong sumber solusi dumasar-awan énggal. Langkung gampang sareng langkung gancang pikeun lembaga ngagunakeun produk anu parantos otorisasi tibatan ngamimitian prosés otorisasi sareng vendor énggal.

Jadi, daptar di pasar FedRAMP ngajantenkeun anjeun langkung dipikaresep nampi usaha tambahan tina instansi pamaréntah. Tapi éta ogé tiasa ningkatkeun profil anjeun di séktor swasta.

Éta kusabab pasar FedRAMP tiasa katingali ku masarakat. Perusahaan swasta mana waé tiasa ngagulung daptar solusi otorisasi FedRAMP.

Ieu sumber daya anu saé nalika aranjeunna milarian sumber produk atanapi jasa awan anu aman.

Otorisasi FedRAMP tiasa ngajantenkeun klien naon waé. langkung yakin ngeunaan protokol kaamanan. Éta ngagambarkeun komitmen anu terus-terusan pikeun nyumponan standar kaamanan pangluhurna.

Otorisasi FedRAMP sacara signifikan ningkatkeun kredibilitas kaamanan anjeunsaluareun Pasar FedRAMP, teuing. Anjeun tiasa ngabagi otorisasi FedRAMP anjeun dina média sosial sareng dina halaman wéb anjeun.

Kaleresan seueur klien anjeun sigana henteu terang naon FedRAMP. Aranjeunna henteu paduli naha anjeun otorisasi atanapi henteu. Tapi pikeun para klien ageung anu ngartos FedRAMP - boh dina séktor umum sareng swasta - kurangna otorisasi tiasa janten pegatna deal.

Naon anu diperyogikeun pikeun disertipikasi FedRAMP?

Aya. nyaéta dua cara pikeun jadi FedRAMP otorisasi.

1. Badan Otorisasi Bersama (JAB) Otoritas Sementara Beroperasi

Dina prosés ieu, JAB ngaluarkeun otorisasi saheulaanan. Éta ngamungkinkeun agénsi terang yén résiko parantos ditinjau.

Ieu persetujuan munggaran anu penting. Tapi lembaga mana waé anu hoyong nganggo jasa éta tetep kedah ngaluarkeun Otoritasna sorangan pikeun Beroperasi.

Prosés ieu paling cocog pikeun panyadia ladénan awan anu résiko luhur atanapi sedeng. (Urang bakal teuleum kana tingkat resiko dina bagian salajengna.)

Ieu gambaran visual ngeunaan prosés JAB:

Sumber: FedRAMP

2. Otoritas Badan pikeun Beroperasi

Dina prosés ieu, panyadia ladenan awan netepkeun hubungan sareng lembaga féderal khusus. Éta lembaga aub sapanjang prosés. Upami prosésna suksés, lembaga ngaluarkeun surat Otoritas Operasi.

Sumber: FedRAMP

Léngkah-léngkah pikeun otorisasi FedRAMP

Teu paduli jenis otorisasina anu anjeun laksanakeun, otorisasi FedRAMP ngawengku opat léngkah utama:

  1. Pamekaran paket. Kahiji, aya pasamoan kick-off otorisasi. Teras panyadia ngalengkepan Rencana Kaamanan Sistem. Salajengna, organisasi penilaian pihak katilu anu disatujuan FedRAMP ngadamel Rencana Penilaian Kaamanan.
  2. Penilaian. Organisasi penilaian ngirimkeun laporan Penilaian Kaamanan. panyadia nyiptakeun Plan of Aksi & amp; Milestones.
  3. Otorisasina. JAB atawa agénsi otorisasi mutuskeun naha resiko sakumaha ditétélakeun téh bisa ditarima. Upami enya, aranjeunna ngalebetkeun surat Otoritas pikeun Beroperasi ka kantor manajemén proyék FedRAMP. Panyadia lajeng didaptarkeun dina Pasar FedRAMP.
  4. Ngawaskeun. Panyadia ngirim kiriman pangawasan kaamanan bulanan ka unggal lembaga anu nganggo jasa éta.

Otorisasi FedRAMP pangsaéna prakna

Prosés pikeun ngahontal otorisasi FedRAMP tiasa sesah. Tapi éta pikeun kapentingan sadayana anu kalibet supados panyadia ladénan awan suksés saatos ngamimitian prosés otorisasina.

Pikeun ngabantosan, FedRAMP ngawawancara sababaraha usaha leutik sareng ngamimitian ngeunaan pelajaran anu diajar nalika otorisasina. Ieu tujuh tip pangsaéna pikeun suksés nganapigasi prosés otorisasi:

  1. Parti kumaha anjeunpeta produk ka FedRAMP - kaasup analisis gap.
  2. Kéngingkeun pameseran sareng komitmen organisasi - kalebet ti tim eksekutif sareng tim téknis.
  3. Teangan mitra agénsi - anu nganggo produk anjeun atanapi komitmen pikeun ngalakukeunana.
  4. Méakkeun waktos sacara akurat nangtukeun wates anjeun. Éta kalebet:
    • komponén internal
    • sambungan ka jasa éksternal, sareng
    • aliran inpormasi sareng metadata.
  5. Pikirkeun FedRAMP salaku program kontinyu, tinimbang ngan hiji proyék kalawan tanggal mimiti jeung tungtung. Jasa kudu terus diawaskeun.
  6. Pertimbangkeun sacara saksama pendekatan otorisasina. Sababaraha produk bisa merlukeun sababaraha otorisasina.
  7. The FedRAMP PMO mangrupakeun sumberdaya berharga. Aranjeunna tiasa ngajawab patarosan téknis sareng ngabantosan anjeun ngarencanakeun strategi anjeun.

    FedRAMP nawiskeun témplat pikeun ngabantosan panyadia ladénan awan nyiapkeun patuh FedRAMP.

    Naon kategori-kategori tina patuh FedRAMP?

    FedRAMP nawiskeun opat tingkat dampak pikeun jasa anu aya sababaraha jinis résiko. Éta dumasar kana poténsi dampak tina palanggaran kaamanan di tilu daérah anu béda.

    • Rahasia: Panangtayungan pikeun privasi sareng inpormasi proprietary.
    • Integritas: Protéksi tina modifikasi atanapi karuksakan inpormasi.
    • Kasadiaan: Aksés data anu pas sareng dipercaya.

    Tilu anu munggaranTingkat dampak dumasar kana Standar Pangolahan Émbaran Federal (FIPS) 199 ti National Institute of Standards and Technology (NIST). Kaopat dumasar kana NIST Publikasi Husus 800-37. Tingkat dampakna nyaéta:

    • Tinggi, dumasar kana kontrol 421. "Leungitna karahasiaan, integritas, atanapi kasadiaan tiasa diperkirakeun gaduh pangaruh parah atanapi bencana dina organisasi. operasi, aset organisasi, atanapi individu. Ieu biasana lumaku pikeun penegak hukum, layanan darurat, finansial, jeung sistem kaséhatan.
    • Sedeng, dumasar kana kontrol 325. "Leungitna karusiahan, integritas, atawa kasadiaan bisa diperkirakeun boga. pangaruh ngarugikeun serius dina operasi organisasi, aset organisasi, atawa individu". Ampir 80 persén aplikasi FedRAMP disatujuan aya dina tingkat dampak sedeng.
    • Rendah, dumasar kana 125 kadali. "Leungitna karusiahan, integritas, atawa kasadiaan bisa diperkirakeun boga wates kawates. pangaruh ngarugikeun kana operasi organisasi, aset organisasi, atawa individu. Pikeun "sistem anu résiko rendah pikeun dianggo sapertos alat kolaborasi, aplikasi manajemén proyék, sareng alat anu ngabantosan ngembangkeun kode sumber terbuka." Kategori ieu ogé katelah FedRAMP Tailored.

    Kategori panungtungan ieu ditambahkeun dina 2017pikeun ngagampangkeun agénsi pikeun nyatujuan "kasus pamakean anu berisiko rendah." Pikeun cocog pikeun FedRAMP Tailored, panyadia kedah ngajawab enya kana genep patarosan. Ieu dipasang dina kaca kawijakan FedRAMP Tailored:

    • Naha ladenan beroperasi dina lingkungan awan?
    • Naha ladenan awan teh beroperasi pinuh?
    • Naha awan teh service a Software as a Service (SaaS), sakumaha didefinisikeun ku NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Ladenan awan henteu ngandung inpormasi anu tiasa diidentifikasi sacara pribadi (PII), kecuali upami diperyogikeun pikeun nyayogikeun kamampuhan login (ngaran pamaké, sandi jeung alamat surélék)?
    • Naha ladenan awan boga dampak-kaamanan-rendah, sakumaha didefinisikeun ku FIPS PUB 199, Standar pikeun Kategorisasi Kaamanan tina Sistem Informasi sareng Inpormasi Federal?
    • Naha ladenan awan di-host dina Platform anu otorisasi FedRAMP salaku Layanan (PaaS) atanapi Infrastruktur salaku Ladenan (IaaS), atanapi naha CSP nyayogikeun infrastruktur awan anu aya?

    Perhatikeun. yén achieving minuhan FedRAMP sanes tugas hiji-off. Émut kana tahap Ngawaskeun otorisasi FedRAMP? Éta hartosna anjeun kedah ngalebetkeun pamariksaan kaamanan rutin pikeun mastikeun anjeun tetep patuh FedRAMP.

    Bonus: Baca léngkah-léngkah pituduh strategi média sosial sareng tip pro ngeunaan kumaha carana ningkatkeun ayana média sosial anjeun.

    Kéngingkeun pituduh gratis ayeuna!

    Conto FedRAMP disertipikasiproduk

    Aya seueur jinis produk sareng jasa otorisasi FedRAMP. Ieu sababaraha conto tina panyadia ladenan awan anu anjeun terang sareng parantos nganggo anjeun nyalira.

    Layanan Wéb Amazon

    Aya dua daptar AWS di Pasar FedRAMP. AWS GovCloud otorisasi dina tingkat Tinggi. AWS US East/West otorisasi dina tingkat Sedeng.

    Naha anjeun ngadangu? Konsumén AWS GovCloud (AS) tiasa nganggo #AmazonEFS pikeun beban kerja file kritis-misi berkat nembé ngahontal otorisasi FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 18 Oktober 2019

    AWS GovCloud ngagaduhan 292 otorisasina. AWS AS Wétan / Kulon gaduh 250 otorisasina. Éta langkung seueur tibatan daptar anu sanés dina Pasar FedRAMP.

    Adobe Analytics

    Adobe Analytics diidinan dina taun 2019. Hal ieu dianggo ku Pusat Pengendalian sareng Pencegahan Panyakit sareng Dinas Kaséhatan sareng Jasa Asasi Manusa. Ieu otorisasi dina tingkat LI-SaaS.

    Adobe sabenerna boga sababaraha produk otorisasi dina tingkat LI-SaaS. (Sapertos Adobe Campaign sareng Adobe Document Cloud.) Éta ogé gaduh sababaraha produk anu otorisasi dina tingkat Sedeng:

    • Layanan Diurus Adobe Connect
    • Layanan Diurus Manajer Pangalaman Adobe.

    Adobe ayeuna nuju prosés mindahkeun tina otorisasi FedRAMP Tailored ka FedRAMP Moderate

    pos saméméhna Pituduh Gaya Média Sosial Anu Sampurna pikeun Merek Anjeun di 2023
    Tulisan salajengna 8 Tip pikeun Panyandakan Instagram anu Sampurna

    Kimberly Parker mangrupakeun profésional pamasaran digital seasoned kalawan leuwih 10 taun pangalaman dina industri. Salaku pangadeg agénsi pamasaran média sosial dirina sorangan, anjeunna parantos ngabantosan seueur usaha dina sagala rupa industri ngadegkeun sareng ngembangkeun ayana online ngalangkungan strategi média sosial anu efektif. Kimberly oge panulis prolific, geus nyumbang artikel dina média sosial jeung pamasaran digital ka sababaraha publikasi reputable. Dina waktu luang nya, manéhna mikanyaah ékspérimén jeung resep anyar di dapur jeung indit dina walks lila jeung anjing nya.