FedRAMP-certifiering: Vad är det, varför är det viktigt och vem har det?

Kimberly Parker

29-05-2023 Strategi
  • Dela Detta
Kimberly Parker

Hackade kamerarullar av kändisar, statligt cyberspionage och allt däremellan. Datasäkerheten har ett enormt antal tillämpningar och är en viktig fråga för alla som använder eller tillhandahåller molnbaserade tjänster.

När det handlar om myndighetsdata kan dessa problem nå upp till nivån nationell säkerhet. Därför kräver den amerikanska regeringen att alla molntjänster som används av federala myndigheter ska uppfylla en noggrann uppsättning säkerhetsstandarder som kallas FedRAMP.

Vad är FedRAMP och vad innebär det? Du har kommit rätt för att ta reda på det.

Bonus: Läs den stegvisa strategin för sociala medier med proffsiga tips om hur du kan öka din närvaro i sociala medier.

Vad är FedRAMP?

FedRAMP står för "Federal Risk and Authorization Management Program" och standardiserar säkerhetsbedömning och godkännande av molnprodukter och molntjänster som används av federala myndigheter i USA.

Målet är att se till att federala data konsekvent skyddas på en hög nivå i molnet.

Att få FedRAMP-auktorisation är en allvarlig sak. Den säkerhetsnivå som krävs är lagstadgad. Det finns 14 tillämpliga lagar och förordningar, tillsammans med 19 standarder och vägledande dokument. Det är en av de mest rigorösa certifieringarna för mjukvara-as-a-service i världen.

Här är en snabb introduktion:

FedRAMP har funnits sedan 2012. Det var då molntekniken verkligen började ersätta föråldrade, bundna mjukvarulösningar. Den föddes ur den amerikanska regeringens "Cloud First"-strategi. Den strategin krävde att myndigheterna skulle titta på molnbaserade lösningar som ett förstahandsval.

Före FedRAMP var molntjänstleverantörer tvungna att förbereda ett tillståndspaket för varje myndighet de ville arbeta med. Kraven var inte konsekventa och det var mycket dubbelarbete för både leverantörer och myndigheter.

FedRAMP införde enhetlighet och effektiviserade processen.

Nu är utvärderingar och krav standardiserade och flera myndigheter kan återanvända leverantörens FedRAMP-auktoriserade säkerhetspaket.

Det första FedRAMP-utnyttjandet var långsamt. Endast 20 molntjänster godkändes under de första fyra åren. Men takten har verkligen ökat sedan 2018, och det finns nu 204 FedRAMP-godkända molnprodukter.

Källa: FedRAMP

FedRAMP kontrolleras av en gemensam auktorisationsnämnd (Joint Authorization Board, JAB) som består av representanter från:

  • Department of Homeland Security.
  • General Services Administration, och
  • Försvarsdepartementet.

Programmet är godkänt av den amerikanska regeringens Federal Chief Information Officers Council.

Varför är FedRAMP-certifiering viktigt?

Alla molntjänster som innehåller federala uppgifter kräver FedRAMP-tillstånd. Om du vill arbeta med den federala regeringen är FedRAMP-tillstånd en viktig del av din säkerhetsplan.

FedRAMP är viktigt eftersom det säkerställer enhetlighet i säkerheten för regeringens molntjänster - och eftersom det säkerställer enhetlighet i utvärderingen och övervakningen av denna säkerhet. Det ger en uppsättning standarder för alla statliga myndigheter och alla molnleverantörer.

Leverantörer av molntjänster som är FedRAMP-auktoriserade finns förtecknade på FedRAMP Marketplace. Denna marknadsplats är det första stället som statliga myndigheter tittar på när de vill köpa en ny molnbaserad lösning. Det är mycket enklare och snabbare för en myndighet att använda en produkt som redan är auktoriserad än att påbörja auktoriseringsprocessen med en ny leverantör.

En listning på FedRAMP-marknaden gör det alltså mycket mer sannolikt att du får ytterligare affärer från statliga myndigheter, men det kan också förbättra din profil inom den privata sektorn.

Det beror på att FedRAMP-marknaden är synlig för allmänheten. Alla företag i den privata sektorn kan bläddra igenom listan över FedRAMP-godkända lösningar.

Det är en bra resurs när de vill hitta en säker molnprodukt eller tjänst.

FedRAMP-auktorisationen kan göra alla kunder mer säkra på säkerhetsprotokollen. Den representerar ett kontinuerligt åtagande att uppfylla de högsta säkerhetsstandarderna.

FedRAMP-auktorisation ökar din säkerhetskredibilitet avsevärt även utanför FedRAMP Marketplace. Du kan dela din FedRAMP-auktorisation på sociala medier och på din webbplats.

Sanningen är att de flesta av dina kunder förmodligen inte vet vad FedRAMP är. De bryr sig inte om huruvida du är auktoriserad eller inte. Men för de stora kunder som förstår FedRAMP - både inom den offentliga och privata sektorn - kan bristande auktorisering vara ett hinder för en affär.

Vad krävs för att bli FedRAMP-certifierad?

Det finns två olika sätt att bli FedRAMP-behörig.

1. Gemensam auktorisationsnämnd (JAB) provisorisk behörighet att bedriva verksamhet.

I denna process utfärdar JAB ett provisoriskt tillstånd, vilket gör att myndigheterna vet att risken har granskats.

Det är ett viktigt första godkännande, men alla myndigheter som vill använda tjänsten måste fortfarande utfärda sin egen verksamhetstillstånd.

Den här processen lämpar sig bäst för leverantörer av molntjänster med hög eller måttlig risk (vi går in på risknivåerna i nästa avsnitt).

Här är en visuell översikt över JAB-processen:

Källa: FedRAMP

2. Myndighetens behörighet att bedriva verksamhet

I denna process etablerar leverantören av molntjänster en relation med ett specifikt federalt organ. Organet är involverat under hela processen. Om processen är framgångsrik utfärdar organet ett brev om behörighet att bedriva verksamhet.

Källa: FedRAMP

Stegen till FedRAMP-auktorisering

Oavsett vilken typ av auktorisering du väljer omfattar FedRAMP-auktorisering fyra huvudsteg:

  1. Utveckling av paket. Först hålls ett startmöte för godkännande. Därefter fyller leverantören i en systemsäkerhetsplan. Därefter utvecklar en FedRAMP-godkänd tredjepartsbedömningsorganisation en säkerhetsbedömningsplan.
  2. Bedömning. Bedömningsorganisationen skickar in en säkerhetsbedömningsrapport. Leverantören skapar en handlingsplan & Milestones.
  3. Tillstånd. JAB eller det auktoriserande organet beslutar om risken enligt beskrivningen är acceptabel. Om så är fallet skickar de in ett brev om behörighet att bedriva verksamhet till FedRAMP:s projektledningskontor. Leverantören listas sedan på FedRAMP Marketplace.
  4. Övervakning. Leverantören skickar månatliga säkerhetsövervakningsresultat till varje byrå som använder tjänsten.

Bästa praxis för FedRAMP-auktorisering

Det kan vara svårt att uppnå FedRAMP-auktorisation, men det ligger i alla inblandades intresse att molntjänsteleverantörerna lyckas när de väl har påbörjat auktorisationsprocessen.

För att hjälpa till har FedRAMP intervjuat flera småföretag och nystartade företag om vad de har lärt sig under auktoriseringsprocessen. Här är deras sju bästa tips för att navigera framgångsrikt genom auktoriseringsprocessen:

  1. Förstå hur din produkt överensstämmer med FedRAMP - inklusive en analys av brister.
  2. Få organisatoriskt stöd och engagemang - även från ledningsgruppen och de tekniska grupperna.
  3. Hitta en partner som använder din produkt eller som har åtagit sig att göra det.
  4. Lägg ner tid på att noggrant definiera din gräns, vilket inkluderar:
    • interna komponenter
    • anslutningar till externa tjänster, och
    • flödet av information och metadata.
  5. Se FedRAMP som ett kontinuerligt program, snarare än ett projekt med ett start- och slutdatum. Tjänsterna måste övervakas kontinuerligt.
  6. Överväg noga hur du ska gå till väga för att få tillstånd. Flera produkter kan kräva flera tillstånd.
  7. FedRAMP PMO är en värdefull resurs som kan svara på tekniska frågor och hjälpa dig att planera din strategi.

    FedRAMP erbjuder mallar för att hjälpa leverantörer av molntjänster att förbereda sig för FedRAMP-överensstämmelse.

    Vilka är kategorierna för FedRAMP-överensstämmelse?

    FedRAMP erbjuder fyra konsekvensnivåer för tjänster med olika typer av risker som baseras på de potentiella konsekvenserna av ett säkerhetsbrott på tre olika områden.

    • Konfidentialitet: Skydd för privatlivet och skyddad information.
    • Integritet: Skydd mot ändring eller förstörelse av information.
    • Tillgänglighet: Tillgång till uppgifter i rätt tid och på ett tillförlitligt sätt.

    De tre första konsekvensnivåerna bygger på Federal Information Processing Standard (FIPS) 199 från National Institute of Standards and Technology (NIST). Den fjärde nivån bygger på NIST Special Publication 800-37. Konsekvensnivåerna är:

    • Hög, baserat på 421 kontroller. "Förlusten av konfidentialitet, integritet eller tillgänglighet kan förväntas få en allvarlig eller katastrofal negativ effekt på organisationens verksamhet, tillgångar eller individer", vilket vanligtvis gäller för brottsbekämpande myndigheter, räddningstjänster, finansiella system och hälsovårdssystem.
    • Måttlig, baserat på 325 kontroller. "Förlusten av konfidentialitet, integritet eller tillgänglighet kan förväntas ha en allvarlig negativ inverkan på organisationens verksamhet, tillgångar eller individer." Nästan 80 procent av de godkända FedRAMP-tillämpningarna ligger på nivån måttlig inverkan.
    • Låg, baserat på 125 kontroller. "Förlusten av konfidentialitet, integritet eller tillgänglighet kan förväntas ha en begränsad negativ effekt på organisationens verksamhet, tillgångar eller individer."
    • LI-SaaS (Low-Impact Software-as-a-Service), baserat på 36 kontroller. För "system med låg risk för användningsområden som samarbetsverktyg, projektstyrningsprogram och verktyg som hjälper till att utveckla öppen källkod". Denna kategori kallas också FedRAMP Tailored.

    Den sista kategorin lades till 2017 för att göra det lättare för myndigheter att godkänna "användningsfall med låg risk". För att kvalificera sig för FedRAMP Tailored måste leverantören svara ja på sex frågor. Dessa frågor finns på policysidan för FedRAMP Tailored:

    • Arbetar tjänsten i en molnmiljö?
    • Är molntjänsten fullt fungerande?
    • Är molntjänsten en Software as a Service (SaaS) enligt definitionen i NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Molntjänsten innehåller inte personligt identifierbar information (PII), förutom vad som behövs för att tillhandahålla en inloggningsfunktion (användarnamn, lösenord och e-postadress)?
    • Är molntjänsten av låg säkerhetskaraktär enligt definitionen i FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems (Standarder för säkerhetskategorisering av federal information och informationssystem)?
    • Är molntjänsten värd för en FedRAMP-auktoriserad Platform as a Service (PaaS) eller Infrastructure as a Service (IaaS), eller tillhandahåller CSP den underliggande molninfrastrukturen?

    Kom ihåg att det inte är en engångsuppgift att uppnå FedRAMP-överensstämmelse. Minns du övervakningsfasen av FedRAMP-auktorisationen? Det innebär att du måste lämna in regelbundna säkerhetsrevisioner för att säkerställa att du stanna kvar FedRAMP-kompatibelt.

    Bonus: Läs den stegvisa strategin för sociala medier med proffsiga tips om hur du kan öka din närvaro i sociala medier.

    Få den kostnadsfria guiden nu!

    Exempel på FedRAMP-certifierade produkter

    Det finns många typer av FedRAMP-auktoriserade produkter och tjänster. Här är några exempel från molntjänstleverantörer som du känner till och kanske redan använder själv.

    Amazon Web Services

    Det finns två AWS-listor på FedRAMP Marketplace: AWS GovCloud är auktoriserat på hög nivå och AWS US East/West är auktoriserat på måttlig nivå.

    Hörde du det? AWS GovCloud-kunder (USA) kan använda #AmazonEFS för verksamhetskritiska filarbetsbelastningar tack vare att de nyligen fått FedRAMP High-auktorisation. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) 18 oktober 2019

    AWS GovCloud har hela 292 auktorisationer och AWS US East/West har 250 auktorisationer, vilket är mycket mer än någon annan lista på FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics godkändes 2019 och används av Centers for Disease Control and Prevention och Department of Health and Human Services. Det är godkänt på LI-SaaS-nivå.

    Adobe har faktiskt flera produkter som är godkända på LI-SaaS-nivå (t.ex. Adobe Campaign och Adobe Document Cloud) och har även ett par produkter som är godkända på moderat nivå:

    • Förvaltade tjänster för Adobe Connect
    • Adobe Experience Manager Managed Services.

    Adobe håller för närvarande på att gå från FedRAMP Tailored-auktorisation till FedRAMP Moderate-auktorisation för Adobe Sign.

    Läs mer om hur @Adobe Sign arbetar för att gå från FedRAMP Tailored till FedRAMP Moderate här: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 augusti 2020

    Kom ihåg att det är tjänsten, inte tjänsteleverantören, som får tillstånd. Precis som Adobe kan du behöva söka flera tillstånd om du erbjuder mer än en molnbaserad lösning.

    Slack

    Slack godkändes i maj i år och har 21 FedRAMP-auktorisationer. Produkten är godkänd på nivån Moderate och används av bland annat följande myndigheter:

    • Centers for Disease Control and Protection,
    • den federala kommunikationskommissionen, och
    • National Science Foundation.

    Den offentliga sektorn i USA kan nu utföra mer av sitt arbete i Slack, tack vare vårt nya FedRAMP Moderate-tillstånd. Och genom att uppfylla dessa stränga säkerhetskrav håller vi saker och ting säkra för alla andra företag som använder Slack också. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 augusti 2020

    Slack fick ursprungligen FedRAMP Tailored-auktorisation, men sökte sedan Moderate-auktorisation genom att samarbeta med Department of Veterans Affairs.

    Slack uppmärksammar säkerhetsfördelarna med detta tillstånd för kunder inom den privata sektorn på sin webbplats:

    "Den här senaste auktorisationen innebär en säkrare upplevelse för Slack-kunder, inklusive företag inom den privata sektorn som inte behöver en FedRAMP-auktoriserad miljö. Alla kunder som använder Slacks kommersiella erbjudanden kan dra nytta av de ökade säkerhetsåtgärder som krävs för att uppnå FedRAMP-certifiering."

    Trello Enterprise Cloud

    Trello beviljades Li-SaaS-tillstånd i september. Trello används hittills endast av General Services Administration. Men företaget vill ändra på det, vilket framgår av deras sociala inlägg om deras nya FedRAMP-status:

    🏛️Med Trellos FedRAMP-auktorisation kan din myndighet nu använda Trello för att öka produktiviteten, bryta upp teamens silos och främja samarbete. //t.co/GWYgaj9jfY

    - Trello (@trello) 12 oktober 2020

    Zendesk

    Zendesk godkändes också i maj och används av:

    • energidepartementet,
    • Den federala byrån för bostadsfinansiering.
    • FHFA:s kontor för generalinspektörer, och
    • General Services Administration.

    Zendesk Customer Support and Help Desk Platform har Li-Saas-tillstånd.

    Från och med idag kan vi göra det mycket enklare för myndigheter att arbeta med oss eftersom @Zendesk nu är FedRAMP-auktoriserat. Tack till alla team inom och utanför Zendesk för den insats som lagts ner på detta. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 22 maj 2020

    FedRAMP för hantering av sociala medier

    SMMExpert är FedRAMP-godkänd. Myndigheter kan nu enkelt samarbeta med den globala ledaren inom hantering av sociala medier för att engagera medborgare, hantera kriskommunikation och leverera tjänster och information via sociala medier.

    Begär en demo

    Tidigare inlägg Den perfekta stilguiden för sociala medier för ditt varumärke år 2023
    Nästa inlägg 8 tips för en felfri övertagning av Instagram

    Kimberly Parker är en erfaren digital marknadsföringsproffs med över 10 års erfarenhet i branschen. Som grundare av sin egen marknadsföringsbyrå för sociala medier har hon hjälpt många företag inom olika branscher att etablera och växa sin onlinenärvaro genom effektiva sociala mediestrategier. Kimberly är också en produktiv författare, efter att ha bidragit med artiklar om sociala medier och digital marknadsföring till flera välrenommerade publikationer. På fritiden älskar hon att experimentera med nya recept i köket och gå långa promenader med sin hund.