Udhibitisho wa FedRAMP: Ni Nini, Kwa Nini Ni Muhimu, na Nani Anayo

Kimberly Parker

29-05-2023 Mkakati
  • Shiriki Hii
Kimberly Parker

Kamera za watu mashuhuri zilizodukuliwa. Ujasusi wa mtandao wa serikali. Na kila kitu katikati. Usalama wa data una anuwai kubwa ya programu. Na ni jambo linalosumbua sana kila mtu anayetumia au kusambaza huduma za mtandaoni.

Data ya serikali inapohusika, masuala hayo yanaweza kufikia kiwango cha usalama wa taifa. Ndiyo maana serikali ya Marekani inahitaji huduma zote za wingu zinazotumiwa na mashirika ya shirikisho kutimiza seti ya viwango vya usalama vinavyojulikana kama FedRAMP.

Kwa hivyo FedRAMP ni nini, na inajumuisha nini? Uko mahali pazuri pa kujua.

Bonasi: Soma mwongozo wa hatua kwa hatua wa mkakati wa mitandao ya kijamii na vidokezo vya kitaalamu kuhusu jinsi ya kukuza uwepo wako kwenye mitandao ya kijamii.

FedRAMP ni nini?

FedRAMP inawakilisha "Mpango wa Usimamizi wa Hatari na Uidhinishaji wa Shirikisho." Inasawazisha tathmini ya usalama na uidhinishaji wa bidhaa na huduma za wingu zinazotumiwa na mashirika ya shirikisho ya Marekani.

Lengo ni kuhakikisha kuwa data ya shirikisho inalindwa mara kwa mara katika kiwango cha juu katika wingu.

Kupata FedRAMP idhini ni biashara kubwa. Kiwango cha usalama kinachohitajika kinaamriwa na sheria. Kuna sheria na kanuni 14 zinazotumika, pamoja na viwango 19 na hati za mwongozo. Ni mojawapo ya vyeti vikali zaidi vya programu-kama-huduma duniani.

Huu hapa ni utangulizi wa haraka:

FedRAMP imekuwapo tangu 2012. Hapo ndipo teknolojia za wingu kweli kweli.uidhinishaji wa Ishara ya Adobe.

Pata maelezo zaidi kuhusu jinsi @Adobe Sign inavyofanya kazi ili kuhamisha kutoka kwa sanamu za FedRAMP Zilizolengwa hadi za FedRAMP za wastani hapa: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) Tarehe 12 Agosti 2020

Kumbuka kwamba ni huduma, si mtoa huduma, ndiye anayepata idhini. Kama Adobe, huenda ukalazimika kufuata uidhinishaji mwingi ikiwa utatoa zaidi ya suluhisho moja linalotegemea wingu.

Slack

Iliyoidhinishwa Mei mwaka huu, Slack ina uidhinishaji 21 wa FedRAMP. Bidhaa imeidhinishwa katika kiwango cha Wastani. Inatumiwa na mashirika yakiwemo:

  • Vituo vya Kudhibiti na Kulinda Magonjwa,
  • Tume ya Shirikisho ya Mawasiliano, na
  • Wakfu wa Kitaifa wa Sayansi.

Sekta ya umma ya Marekani sasa inaweza kufanya kazi zao zaidi katika Slack, shukrani kwa uidhinishaji wetu mpya wa FedRAMP Wastani. Na kwa kukidhi mahitaji hayo magumu ya usalama, tunaweka mambo salama kwa kila kampuni nyingine inayotumia Slack, pia. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) Agosti 13, 2020

Slack alipokea uidhinishaji Mahususi wa FedRAMP. Kisha, walifuata uidhinishaji wa Wastani kwa kushirikiana na Idara ya Masuala ya Wastaafu.

Slack huhakikisha kuwa ameangazia manufaa ya usalama ya uidhinishaji huu kwa wateja wa sekta binafsi kwenye tovuti yake:

“Hii uidhinishaji wa hivi punde hutafsiri kuwa hali salama zaidi ya matumiziWateja wazembe, ikijumuisha biashara za sekta binafsi ambazo hazihitaji mazingira yaliyoidhinishwa na FedRAMP. Wateja wote wanaotumia matoleo ya kibiashara ya Slack wanaweza kunufaika kutokana na hatua za usalama zilizoimarishwa zinazohitajika ili kufikia uidhinishaji wa FedRAMP.”

Trello Enterprise Cloud

Trello ilipewa idhini ya Li-SaaS mnamo Septemba. Trello hadi sasa inatumiwa tu na Utawala wa Huduma za Jumla. Lakini kampuni inatazamia kubadilisha hilo, kama inavyoonekana katika machapisho yao ya kijamii kuhusu hali yao mpya ya FedRAMP:

🏛️Kwa idhini ya Trello ya FedRAMP, wakala wako sasa anaweza kutumia Trello kuongeza tija, kuvunja hazina za timu na kukuza ushirikiano. //t.co/GWYgaj9jfY

— Trello (@trello) Oktoba 12, 2020

Zendesk

Pia iliidhinishwa Mei, Zendesk inatumiwa na:

<1 9>
  • Idara ya Nishati,
  • Wakala wa Shirikisho la Fedha za Makazi
  • Ofisi ya FHFA ya Mkaguzi Mkuu, na
  • Utawala wa Huduma za Jumla.

    • Jukwaa la Usaidizi kwa Wateja na Dawati la Usaidizi la Zendesk limeidhinishwa na Li-Saas.

    Kuanzia leo tunaweza kurahisisha zaidi mashirika ya serikali kufanya kazi nasi kwani @Zendesk sasa imeidhinishwa na FedRAMP. Shukrani nyingi kwa timu zote ndani na nje ya Zendesk kwa juhudi zilizowekwa katika hili. //t.co/A0HVwjhGsv

    — Mikkel Svane (@mikkelsvane) Mei 22, 2020

    FedRAMP kwa usimamizi wa mitandao ya kijamii

    SMME Expert is FedRAMPiliyoidhinishwa. Mashirika ya serikali sasa yanaweza kufanya kazi na kiongozi wa kimataifa katika usimamizi wa mitandao ya kijamii ili kuwasiliana na wananchi, kudhibiti mawasiliano ya dharura, na kutoa huduma na taarifa kupitia mitandao ya kijamii.

    Omba Onyesho

    ilianza kuchukua nafasi ya suluhu za programu zilizopitwa na wakati. Ilizaliwa kutokana na mkakati wa "Cloud First" wa serikali ya Marekani. Mkakati huo ulihitaji mawakala kuangalia suluhu zinazotegemea wingu kama chaguo la kwanza.

    Kabla ya FedRAMP, watoa huduma za wingu walilazimika kuandaa kifurushi cha uidhinishaji kwa kila wakala wanayotaka kufanya kazi nayo. Mahitaji hayakuwa thabiti. Na kulikuwa na juhudi nyingi zinazorudiwa kwa watoa huduma na mawakala.

    FedRAMP ilianzisha uthabiti na kurahisisha mchakato.

    Sasa, tathmini na mahitaji yamesawazishwa. Mashirika mengi ya serikali yanaweza kutumia tena kifurushi cha usalama cha uidhinishaji cha FedRAMP cha mtoa huduma.

    Utumiaji wa FedRAMP wa awali ulikuwa wa polepole. Ni matoleo 20 pekee ya huduma ya wingu yaliyoidhinishwa katika miaka minne ya kwanza. Lakini kasi imeongezeka sana tangu 2018, na sasa kuna bidhaa 204 za wingu zilizoidhinishwa na FedRAMP.

    Chanzo: FedRAMP

    FedRAMP inadhibitiwa na Bodi ya Pamoja ya Uidhinishaji (JAB). Bodi inaundwa na wawakilishi kutoka:

    • Idara ya Usalama wa Taifa
    • Utawala wa Huduma za Jumla, na
    • Idara ya Ulinzi.
    • 12>

      Programu hii imeidhinishwa na Baraza la Maofisa Wakuu wa Habari wa Shirikisho la serikali ya Marekani.

      Kwa nini uthibitishaji wa FedRAMP ni muhimu?

      Huduma zote za wingu zilizo na data ya shirikisho zinahitaji uidhinishaji wa FedRAMP. Kwa hivyo, ikiwa unataka kufanya kazi naserikali ya shirikisho, uidhinishaji wa FedRAMP ni sehemu muhimu ya mpango wako wa usalama.

      FedRAMP ni muhimu kwa sababu inahakikisha uthabiti katika usalama wa huduma za wingu za serikali—na kwa sababu inahakikisha uthabiti katika kutathmini na kufuatilia usalama huo. Inatoa seti moja ya viwango kwa mashirika yote ya serikali na watoa huduma wote wa mtandao.

      Watoa huduma wa Wingu ambao wameidhinishwa na FedRAMP wameorodheshwa katika Soko la FedRAMP. Soko hili ni mahali pa kwanza mashirika ya serikali hutazama wanapotaka kupata suluhisho jipya linalotegemea wingu. Ni rahisi na haraka zaidi kwa wakala kutumia bidhaa ambayo tayari imeidhinishwa kuliko kuanza mchakato wa uidhinishaji na mchuuzi mpya.

      Kwa hivyo, uorodheshaji katika soko la FedRAMP hukufanya uwezekano mkubwa wa kupata biashara ya ziada kutoka. mashirika ya serikali. Lakini inaweza pia kuboresha wasifu wako katika sekta ya kibinafsi.

      Hiyo ni kwa sababu soko la FedRAMP linaonekana kwa umma. Kampuni yoyote ya sekta ya kibinafsi inaweza kupitia orodha ya suluhu zilizoidhinishwa na FedRAMP.

      Ni rasilimali nzuri inapotafuta kupata bidhaa au huduma salama ya wingu.

      Uidhinishaji wa FedRAMP unaweza kumfanya mteja yeyote. kujiamini zaidi kuhusu itifaki za usalama. Inawakilisha dhamira inayoendelea ya kufikia viwango vya juu zaidi vya usalama.

      Uidhinishaji wa FedRAMP huongeza uaminifu wako wa usalama.zaidi ya Soko la FedRAMP, pia. Unaweza kushiriki idhini yako ya FedRAMP kwenye mitandao ya kijamii na kwenye tovuti yako.

      Ukweli ni kwamba wateja wako wengi huenda hawajui FedRAMP ni nini. Hawajali ikiwa umeidhinishwa au la. Lakini kwa wale wateja wakubwa wanaoelewa FedRAMP - katika sekta ya umma na ya kibinafsi - ukosefu wa idhini unaweza kuwa mkiukaji wa makubaliano.

      Je, inachukua nini ili kuthibitishwa na FedRAMP?

      Hapo ni njia mbili tofauti za kuidhinishwa na FedRAMP.

      1. Bodi ya Pamoja ya Uidhinishaji (JAB) Mamlaka ya Muda ya Kufanya Kazi

      Katika mchakato huu, JAB inatoa idhini ya muda. Hiyo huruhusu mashirika kujua hatari imekaguliwa.

      Ni kibali muhimu cha kwanza. Lakini wakala yeyote anayetaka kutumia huduma bado anapaswa kutoa Mamlaka yake ya Kuendesha.

      Mchakato huu unafaa zaidi kwa watoa huduma za wingu walio na hatari kubwa au wastani. (Tutazama katika viwango vya hatari katika sehemu inayofuata.)

      Hapa kuna muhtasari wa taswira ya mchakato wa JAB:

      Chanzo: FedRAMP

      2. Mamlaka ya Wakala ya Kufanya Kazi

      Katika mchakato huu, mtoa huduma za wingu huanzisha uhusiano na wakala mahususi wa shirikisho. Chombo hicho kinahusika katika mchakato mzima. Mchakato ukifaulu, wakala atatoa barua ya Mamlaka ya Kuendesha.

      Chanzo: FedRAMP

      Hatua za uidhinishaji wa FedRAMP

      Bila kujali ni aina gani ya idhini unayofuata, uidhinishaji wa FedRAMP unahusisha hatua nne kuu:

      1. Uundaji wa kifurushi. Kwanza, kuna mkutano wa uidhinishaji wa kuanza. Kisha mtoa huduma anakamilisha Mpango wa Usalama wa Mfumo. Kisha, shirika la tathmini lililoidhinishwa na FedRAMP litatengeneza Mpango wa Tathmini ya Usalama.
      2. Tathmini. Shirika la kutathmini litawasilisha ripoti ya Tathmini ya Usalama. Mtoa huduma huunda Mpango wa Utekelezaji & Mafanikio.
      3. Uidhinishaji. JAB au wakala unaoidhinisha huamua kama hatari kama ilivyoelezwa inakubalika. Ikiwa ndio, wanawasilisha barua ya Mamlaka ya Uendeshaji kwa ofisi ya usimamizi wa mradi wa FedRAMP. Kisha mtoa huduma anaorodheshwa katika Soko la FedRAMP.
      4. Ufuatiliaji. Mtoa huduma hutuma uwasilishaji wa ufuatiliaji wa usalama wa kila mwezi kwa kila wakala anayetumia huduma.

      Uidhinishaji wa FedRAMP bora zaidi mazoea

      Mchakato wa kupata uidhinishaji wa FedRAMP unaweza kuwa mgumu. Lakini ni vyema kwa kila mtu anayehusika ili watoa huduma za wingu wafaulu mara tu wanapoanza mchakato wa uidhinishaji.

      Ili kusaidia, FedRAMP ilihoji biashara kadhaa ndogo ndogo na waanzishaji kuhusu mafunzo tuliyojifunza wakati wa uidhinishaji. Hapa kuna vidokezo vyao saba bora vya kuabiri mchakato wa uidhinishaji kwa mafanikio:

      1. Elewa jinsi yako.ramani za bidhaa kwa FedRAMP - ikijumuisha uchanganuzi wa mapungufu.
      2. Pata ununuzi na kujitolea kwa shirika - ikijumuisha kutoka kwa timu ya watendaji na timu za kiufundi.
      3. Tafuta mshirika wa wakala - anayetumia bidhaa yako. au amejitolea kufanya hivyo.
      4. Tumia muda kufafanua mpaka wako kwa usahihi. Hiyo inajumuisha:
        • vipengee vya ndani
        • miunganisho kwa huduma za nje, na
        • mtiririko wa taarifa na metadata.
      5. Fikiria kuhusu FedRAMP kama mpango endelevu, badala ya mradi tu wenye tarehe ya kuanza na mwisho. Huduma lazima zifuatiliwe kila mara.
      6. Zingatia kwa makini mbinu yako ya uidhinishaji. Bidhaa nyingi zinaweza kuhitaji uidhinishaji mwingi.
      7. PMO ya FedRAMP ni rasilimali muhimu. Wanaweza kujibu maswali ya kiufundi na kukusaidia kupanga mkakati wako.

      FedRAMP inatoa violezo ili kuwasaidia watoa huduma za wingu kujiandaa kwa kufuata FedRAMP.

      Je, ni aina gani ya kufuata FedRAMP?

      FedRAMP inatoa viwango vinne vya athari kwa huduma zilizo na aina tofauti za hatari. Zinatokana na athari zinazoweza kusababishwa na ukiukaji wa usalama katika maeneo matatu tofauti.

      • Usiri: Ulinzi wa maelezo ya faragha na ya umiliki.
      • Uadilifu: Ulinzi dhidi ya urekebishaji au uharibifu wa taarifa.
      • Upatikanaji: Ufikiaji wa data kwa wakati unaofaa na unaotegemewa.

      Nitatatu za kwanzaViwango vya athari vinatokana na Kiwango cha 199 cha Uchakataji wa Taarifa za Shirikisho (FIPS) kutoka Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST). Ya nne inatokana na Uchapishaji Maalum wa NIST 800-37. Viwango vya athari ni:

      • Juu, kwa kuzingatia vidhibiti 421. “Kupotea kwa usiri, uadilifu au upatikanaji kunaweza kutarajiwa kuwa na athari mbaya au mbaya kwa shirika. shughuli, mali ya shirika, au watu binafsi." Kwa kawaida hii inatumika kwa utekelezaji wa sheria, huduma za dharura, fedha na mifumo ya afya.
      • Wastani, kulingana na vidhibiti 325. “Kupotea kwa usiri, uadilifu au upatikanaji kunaweza kutarajiwa kuwa athari mbaya kwa utendaji wa shirika, mali ya shirika, au watu binafsi. Takriban asilimia 80 ya maombi yaliyoidhinishwa ya FedRAMP yako katika kiwango cha wastani cha athari.
      • Chini, kulingana na vidhibiti 125. “Kupotea kwa usiri, uadilifu au upatikanaji kunaweza kutarajiwa kuwa na kikomo. athari mbaya kwa shughuli za shirika, mali ya shirika, au watu binafsi.”
      • Programu ya Athari za Chini-as-a-Service (LI-SaaS), kulingana na vidhibiti 36 . Kwa "mifumo ambayo ina hatari ndogo kwa matumizi kama vile zana za ushirikiano, programu za usimamizi wa mradi na zana zinazosaidia kuunda msimbo wa chanzo huria." Aina hii pia inajulikana kama FedRAMP Iliyoundwa.

      Aina hii ya mwisho iliongezwa mwaka wa 2017ili kurahisisha mashirika kuidhinisha "kesi za utumiaji hatari kidogo." Ili kufuzu kwa FedRAMP Iliyoundwa, mtoa huduma lazima ajibu ndiyo kwa maswali sita. Haya yamechapishwa kwenye ukurasa wa sera ya FedRAMP Inayotumika:

      • Je, huduma hii inafanya kazi katika mazingira ya wingu?
      • Je, huduma ya wingu inafanya kazi kikamilifu?
      • Je, wingu kuhudumia Programu kama Huduma (SaaS), kama inavyofafanuliwa na NIST SP 800-145, Ufafanuzi wa NIST wa Cloud Computing?
      • Huduma ya wingu haina maelezo yanayoweza kumtambulisha mtu binafsi (PII), isipokuwa inavyohitajika ili kutoa uwezo wa kuingia (jina la mtumiaji, nenosiri na anwani ya barua pepe)?
      • Je, huduma ya wingu ina athari ya chini ya usalama, kama inavyofafanuliwa na FIPS PUB 199, Viwango vya Uainishaji wa Usalama wa Mifumo ya Taarifa na Taarifa ya Shirikisho?
      • Je, huduma ya wingu inapangishwa ndani ya Mfumo ulioidhinishwa na FedRAMP kama Huduma (PaaS) au Miundombinu kama Huduma (IaaS), au je, CSP inatoa miundombinu ya msingi ya wingu?

      Kumbuka kwamba kufikia utiifu wa FedRAMP si kazi ya mara moja. Je, unakumbuka hatua ya Ufuatiliaji ya idhini ya FedRAMP? Hiyo inamaanisha utahitaji kuwasilisha ukaguzi wa mara kwa mara wa usalama ili kuhakikisha unabaki ukitii FedRAMP.

      Bonasi: Soma mwongozo wa hatua kwa hatua wa mkakati wa mitandao ya kijamii na vidokezo vya kitaalamu kuhusu jinsi ya kukuza uwepo wako kwenye mitandao ya kijamii.

      Pata mwongozo wa bure sasa hivi!

      Mifano ya FedRAMP iliyoidhinishwabidhaa

      Kuna aina nyingi za bidhaa na huduma zilizoidhinishwa na FedRAMP. Hapa kuna mifano michache kutoka kwa watoa huduma za wingu unaowajua na huenda tayari unajitumia.

      Huduma za Wavuti za Amazon

      Kuna uorodheshaji mbili wa AWS katika Soko la FedRAMP. AWS GovCloud imeidhinishwa katika Kiwango cha Juu. AWS Marekani Mashariki/Magharibi imeidhinishwa katika kiwango cha Wastani.

      Je, ulisikia? Wateja wa AWS GovCloud (Marekani) wanaweza kutumia #AmazonEFS kwa upakiaji wa faili muhimu wa dhamira kutokana na kupata idhini ya Juu ya FedRAMP hivi majuzi. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

      — AWS for Government (@AWS_Gov) Oktoba 18, 2019

      AWS GovCloud ina uidhinishaji mkubwa 292. AWS Marekani Mashariki/Magharibi ina uidhinishaji 250. Hiyo ni zaidi ya uorodheshaji mwingine wowote katika Soko la FedRAMP.

      Adobe Analytics

      Adobe Analytics iliidhinishwa mwaka wa 2019. Inatumiwa na Vituo vya Kudhibiti na Kuzuia Magonjwa na Idara ya Afya na Huduma za Kibinadamu. Imeidhinishwa katika kiwango cha LI-SaaS.

      Adobe ina bidhaa kadhaa zilizoidhinishwa katika kiwango cha LI-SaaS. (Kama Adobe Campaign na Adobe Document Cloud.) Pia wana bidhaa kadhaa zilizoidhinishwa katika kiwango cha Wastani:

      • Huduma Zinazodhibitiwa na Adobe Connect
      • Huduma Zinazosimamiwa za Kidhibiti cha Uzoefu cha Adobe.

      Adobe kwa sasa iko katika harakati za kuhama kutoka Uidhinishaji Uliolengwa na FedRAMP hadi FedRAMP Moderate

    Chapisho lililotangulia Mwongozo Kamilifu wa Mtindo wa Mitandao ya Kijamii kwa Biashara Yako mnamo 2023
    Chapisho linalofuata Vidokezo 8 vya Kuchukua Instagram bila dosari

    Kimberly Parker ni mtaalamu wa uuzaji wa dijiti aliye na uzoefu na uzoefu wa zaidi ya miaka 10 katika tasnia. Kama mwanzilishi wa wakala wake wa uuzaji wa mitandao ya kijamii, amesaidia biashara nyingi katika tasnia mbalimbali kuanzisha na kukuza uwepo wao mtandaoni kupitia mikakati madhubuti ya mitandao ya kijamii. Kimberly pia ni mwandishi mahiri, akiwa amechangia makala kwenye mitandao ya kijamii na uuzaji wa kidijitali kwa machapisho kadhaa maarufu. Katika wakati wake wa bure, anapenda kujaribu mapishi mapya jikoni na kwenda matembezi marefu na mbwa wake.