Сертифікація FedRAMP: що це таке, чому вона важлива та хто її має

Kimberly Parker

29-05-2023 Стратегія
  • Поділитися Цим
Kimberly Parker

Зламані записи з камер знаменитостей. Державне кібершпигунство. І все, що між ними. Безпека даних має величезний спектр застосувань. І це головна проблема для всіх, хто використовує або постачає хмарні сервіси.

Коли йдеться про урядові дані, ці питання можуть сягати рівня національної безпеки. Саме тому уряд США вимагає, щоб усі хмарні сервіси, які використовуються федеральними відомствами, відповідали ретельному набору стандартів безпеки, відомим як FedRAMP.

Отже, що таке FedRAMP, і що він передбачає? Ви знаходитесь у правильному місці, щоб дізнатися про це.

Бонус: Ознайомтеся з покроковим посібником зі стратегії роботи в соціальних мережах з професійними порадами про те, як збільшити свою присутність у соціальних мережах.

Що таке FedRAMP?

FedRAMP розшифровується як "Федеральна програма управління ризиками та авторизацією" (Federal Risk and Authorization Management Program), яка стандартизує оцінку безпеки та авторизацію хмарних продуктів і сервісів, що використовуються федеральними агентствами США.

Мета полягає в тому, щоб забезпечити постійний захист федеральних даних на високому рівні в хмарі.

Отримання дозволу FedRAMP - це серйозна справа. Необхідний рівень безпеки передбачений законом. Існує 14 чинних законів і нормативних актів, а також 19 стандартів і керівних документів. Це одна з найсуворіших сертифікацій програмного забезпечення як послуги в світі.

Ось короткий вступ:

FedRAMP існує з 2012 року, коли хмарні технології дійсно почали витісняти застарілі прив'язані програмні рішення. Він народився завдяки стратегії уряду США "Cloud First", яка вимагала від відомств розглядати хмарні рішення як першочерговий вибір.

До FedRAMP провайдери хмарних сервісів повинні були готувати пакет дозволів для кожного агентства, з яким вони хотіли працювати. Вимоги не були узгодженими, і це призводило до дублювання зусиль як для провайдерів, так і для агентств.

FedRAMP забезпечив послідовність та впорядкував процес.

Тепер оцінки та вимоги стандартизовані. Багато урядових установ можуть повторно використовувати пакет безпеки авторизації провайдера FedRAMP.

Початкове освоєння FedRAMP було повільним. Лише 20 пропозицій хмарних сервісів були авторизовані протягом перших чотирьох років. Але темпи дійсно прискорилися з 2018 року, і зараз існує 204 авторизовані хмарні продукти FedRAMP.

Джерело: FedRAMP

FedRAMP контролюється Спільною авторизаційною радою (JAB), до складу якої входять представники від

  • Департамент внутрішньої безпеки
  • Адміністрація загального обслуговування та
  • Міністерство оборони США.

Програма схвалена Федеральною радою керівників інформаційних служб при Уряді США.

Чому важлива сертифікація FedRAMP?

Всі хмарні сервіси, що містять федеральні дані, потребують авторизації FedRAMP. Отже, якщо ви хочете працювати з федеральним урядом, авторизація FedRAMP є важливою частиною вашого плану безпеки.

FedRAMP має важливе значення, оскільки забезпечує узгодженість безпеки урядових хмарних сервісів, а також узгодженість в оцінці та моніторингу цієї безпеки. Він забезпечує єдиний набір стандартів для всіх урядових установ та всіх хмарних провайдерів.

Постачальники хмарних послуг, які мають дозвіл FedRAMP, перераховані на ринку FedRAMP Marketplace. Цей ринок є першим місцем, куди звертаються урядові установи, коли хочуть отримати нове хмарне рішення. Для установи набагато простіше і швидше використовувати продукт, який вже має дозвіл, ніж починати процес авторизації з новим постачальником.

Таким чином, лістинг на майданчику FedRAMP значно підвищує ймовірність отримання додаткових замовлень від державних установ. Але він також може покращити ваш профіль у приватному секторі.

Це тому, що ринок FedRAMP є видимим для громадськості. Будь-яка приватна компанія може прокрутити список авторизованих рішень FedRAMP.

Це чудовий ресурс, коли вони шукають джерело безпечного хмарного продукту або послуги.

Авторизація FedRAMP може зробити будь-якого клієнта більш впевненим у протоколах безпеки. Вона являє собою постійне зобов'язання відповідати найвищим стандартам безпеки.

Авторизація FedRAMP значно підвищує довіру до вашої безпеки за межами ринку FedRAMP. Ви можете поділитися своєю авторизацією FedRAMP у соціальних мережах та на своєму веб-сайті.

Правда полягає в тому, що більшість ваших клієнтів, ймовірно, не знають, що таке FedRAMP. Їх не хвилює, чи маєте ви дозвіл чи ні. Але для тих великих клієнтів, які розуміють FedRAMP - як в державному, так і в приватному секторах - відсутність дозволу може стати перешкодою для укладення угоди.

Що потрібно для того, щоб отримати сертифікат FedRAMP?

Існує два різних способи стати уповноваженим FedRAMP.

1. тимчасові повноваження Об'єднаної авторизаційної ради (JAB) на здійснення діяльності

У цьому процесі JAB видає попередній дозвіл, який дозволяє відомствам знати, що ризик був розглянутий.

Це важливе перше схвалення, але будь-яка установа, яка хоче користуватися послугою, все одно має отримати власний дозвіл на експлуатацію.

Цей процес найкраще підходить для постачальників хмарних послуг з високим або помірним рівнем ризику (ми розглянемо рівні ризику в наступному розділі).

Ось візуальний огляд процесу JAB:

Джерело: FedRAMP

2. повноваження Агентства на здійснення діяльності

У цьому процесі постачальник хмарних послуг встановлює відносини з конкретним федеральним агентством. Це агентство бере участь у процесі протягом усього процесу. Якщо процес є успішним, агентство видає лист про дозвіл на експлуатацію.

Джерело: FedRAMP

Кроки до авторизації FedRAMP

Незалежно від того, який тип авторизації ви отримуєте, авторизація FedRAMP включає чотири основні етапи:

  1. Розробка пакетів. Спочатку відбувається стартова нарада з надання дозволу. Потім провайдер заповнює План безпеки системи. Далі, схвалена FedRAMP стороння організація з оцінки розробляє План оцінки безпеки.
  2. Оцінка. Організація, що проводить оцінку, подає Звіт з оцінки безпеки. Провайдер створює План дій та етапи.
  3. Дозвольте. JAB або уповноважений орган вирішує, чи є описаний ризик прийнятним. Якщо так, вони подають лист про надання повноважень на здійснення діяльності до офісу управління проектами FedRAMP. Після цього провайдер вноситься до списку FedRAMP Marketplace.
  4. Моніторинг. Провайдер щомісяця надсилає результати моніторингу безпеки до кожного відомства, яке користується послугою.

Кращі практики авторизації FedRAMP

Процес отримання авторизації FedRAMP може бути складним, але в інтересах усіх учасників, щоб провайдери хмарних сервісів досягли успіху, як тільки розпочнуть процес авторизації.

Щоб допомогти, FedRAMP опитав кілька малих підприємств та стартапів про уроки, отримані під час авторизації. Ось їхні сім найкращих порад щодо успішного проходження процесу авторизації:

  1. Зрозумійте, як ваш продукт відповідає вимогам FedRAMP, включаючи аналіз прогалин.
  2. Забезпечити організаційну підтримку та прихильність - в тому числі з боку виконавчої команди та технічних груп.
  3. Знайдіть агенцію-партнера - таку, яка використовує ваш продукт або має намір це робити.
  4. Витратьте час на точне визначення своїх кордонів, в тому числі:
    • внутрішні компоненти
    • підключення до зовнішніх сервісів та
    • потік інформації та метаданих.
  5. Думайте про FedRAMP як про безперервну програму, а не просто як про проект з датою початку і закінчення. Послуги повинні постійно контролюватися.
  6. Ретельно продумайте свій підхід до отримання дозволу, оскільки для декількох продуктів може знадобитися кілька дозволів.
  7. FedRAMP PMO є цінним ресурсом, який може відповісти на технічні питання та допомогти вам спланувати вашу стратегію.

    FedRAMP пропонує шаблони, які допоможуть провайдерам хмарних послуг підготуватися до відповідності вимогам FedRAMP.

    Які існують категорії відповідності FedRAMP?

    FedRAMP пропонує чотири рівні впливу для послуг з різними видами ризику. Вони базуються на потенційних наслідках порушення безпеки в трьох різних сферах.

    • Конфіденційність: Захист приватного життя та службової інформації.
    • Чесність: Захист від модифікації або знищення інформації.
    • Доступність: Своєчасний та надійний доступ до даних.

    Перші три рівні впливу базуються на Федеральному стандарті обробки інформації (FIPS) 199 Національного інституту стандартів і технологій (NIST). Четвертий - на спеціальній публікації NIST 800-37:

    • Високий, на основі 421 контролю. "Втрата конфіденційності, цілісності або доступності може мати серйозний або катастрофічний негативний вплив на діяльність організації, активи організації або окремих осіб". Зазвичай це стосується правоохоронних органів, служб з надзвичайних ситуацій, фінансової системи та системи охорони здоров'я.
    • Помірний, на основі 325 контролів. "Втрата конфіденційності, цілісності або доступності може мати серйозний негативний вплив на діяльність організації, активи організації або окремих осіб". Майже 80 відсотків затверджених заявок FedRAMP мають помірний рівень впливу.
    • Низький, на основі 125 контролів. "Втрата конфіденційності, цілісності або доступності може мати обмежений негативний вплив на діяльність організації, активи організації або окремих осіб".
    • Програмне забезпечення як послуга з низьким рівнем впливу (LI-SaaS), на базі 36 елементів управління Для "систем з низьким рівнем ризику для використання, таких як інструменти для спільної роботи, програми для управління проектами та інструменти, які допомагають розробляти код з відкритим вихідним кодом." Ця категорія також відома як FedRAMP Tailored.

    Ця остання категорія була додана в 2017 році, щоб полегшити агентствам затвердження "випадків використання з низьким рівнем ризику". Щоб отримати право на участь у програмі FedRAMP Tailored, постачальник повинен відповісти "так" на шість запитань. Вони розміщені на сторінці політики FedRAMP Tailored:

    • Чи працює сервіс у хмарному середовищі?
    • Чи повністю функціонує хмарний сервіс?
    • Чи є хмарний сервіс програмним забезпеченням як послугою (SaaS), як визначено в NIST SP 800-145 "Визначення NIST хмарних обчислень"?
    • Хмарний сервіс не містить інформації, що дозволяє ідентифікувати особу (PII), за винятком випадків, коли це необхідно для забезпечення можливості входу в систему (ім'я користувача, пароль та адреса електронної пошти)?
    • Чи є хмарний сервіс низьким рівнем впливу на безпеку відповідно до стандарту FIPS PUB 199 "Стандарти категоризації безпеки федеральної інформації та інформаційних систем"?
    • Чи розміщується хмарний сервіс на авторизованій FedRAMP платформі як послуга (PaaS) або інфраструктурі як послуга (IaaS), чи ЦОВ надає базову хмарну інфраструктуру?

    Майте на увазі, що досягнення відповідності FedRAMP не є одноразовим завданням. Пам'ятаєте етап моніторингу авторизації FedRAMP? Це означає, що вам потрібно буде регулярно проходити аудит безпеки, щоб переконатися, що ви перебування Сумісність з FedRAMP.

    Бонус: Ознайомтеся з покроковим посібником зі стратегії роботи в соціальних мережах з професійними порадами, як розширити свою присутність у соціальних мережах.

    Отримайте безкоштовний путівник прямо зараз!

    Приклади сертифікованих продуктів FedRAMP

    Існує багато типів авторизованих продуктів та послуг FedRAMP. Ось кілька прикладів від постачальників хмарних послуг, яких ви знаєте і, можливо, вже використовуєте самі.

    Amazon Web Services

    У FedRAMP Marketplace є два лістинги AWS. AWS GovCloud авторизований на високому рівні. AWS US East/West авторизований на помірному рівні.

    Клієнти AWS GovCloud (США) можуть використовувати #AmazonEFS для критично важливих файлових навантажень завдяки нещодавньому отриманню авторизації FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS для Уряду (@AWS_Gov) 18 жовтня 2019 р.

    AWS GovCloud має колосальні 292 дозволи. AWS US East/West має 250 дозволів. Це набагато більше, ніж будь-який інший лістинг на FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics авторизований у 2019 році, використовується Центрами з контролю та профілактики захворювань та Департаментом охорони здоров'я та соціальних служб. Авторизований на рівні LI-SaaS.

    Насправді Adobe має кілька продуктів, авторизованих на рівні LI-SaaS (наприклад, Adobe Campaign та Adobe Document Cloud). У них також є кілька продуктів, авторизованих на рівні Moderate:

    • Керовані сервіси Adobe Connect
    • Adobe Experience Manager Managed Services.

    Наразі компанія Adobe знаходиться в процесі переходу від авторизації FedRAMP Tailored до авторизації FedRAMP Moderate для Adobe Sign.

    Дізнайтеся більше про те, як @Adobe Sign працює над переходом від статусів FedRAMP Tailored до FedRAMP Moderate тут: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 серпня 2020 р.

    Пам'ятайте, що авторизацію отримує служба, а не постачальник послуг. Як і Adobe, вам, можливо, доведеться отримати кілька авторизацій, якщо ви пропонуєте більше одного хмарного рішення.

    Слабкість

    Авторизований у травні цього року, Slack має 21 авторизацію FedRAMP. Продукт авторизований на рівні Moderate. Його використовують, зокрема, відомства:

    • Центри з контролю та профілактики захворювань,
    • Федеральна комісія з питань зв'язку та
    • Національний науковий фонд.

    Державний сектор США тепер може виконувати більшу частину своєї роботи в Slack завдяки нашому новому авторизації FedRAMP Moderate. І, відповідаючи цим суворим вимогам безпеки, ми забезпечуємо безпеку для всіх інших компаній, які використовують Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 серпня 2020 р.

    Спочатку компанія Slack отримала спеціальний дозвіл FedRAMP, а потім, у партнерстві з Департаментом у справах ветеранів, отримала помірний дозвіл.

    На своєму веб-сайті Slack обов'язково звертає увагу на переваги безпеки цього дозволу для клієнтів приватного сектору:

    "Ця остання авторизація означає більш безпечну роботу для клієнтів Slack, в тому числі для приватних підприємств, які не потребують середовища, авторизованого FedRAMP. Всі клієнти, які використовують комерційні пропозиції Slack, можуть скористатися підвищеними заходами безпеки, необхідними для отримання сертифікації FedRAMP".

    Trello Enterprise Cloud

    Trello отримав дозвіл на Li-SaaS лише у вересні. Поки що Trello використовується лише Адміністрацією загальних служб. Але компанія прагне змінити це, як видно з їхніх повідомлень у соціальних мережах про новий статус FedRAMP:

    З авторизацією FedRAMP від Trello ваша установа тепер може використовувати Trello для підвищення продуктивності, подолання командних ізоляцій та сприяння співпраці. //t.co/GWYgaj9jfY

    - Trello (@trello) 12 жовтня 2020 р.

    Zendesk

    Також у травні було дозволено використання Zendesk:

    • Міністерство енергетики США,
    • Федеральне агентство з фінансування житлового будівництва
    • Офіс Генерального інспектора FHFA та
    • Адміністрація загальних служб.

    Платформа клієнтської підтримки та довідкової служби Zendesk має Li-Saas авторизацію.

    З сьогоднішнього дня ми можемо значно полегшити роботу державних установ з нами, оскільки @Zendesk тепер авторизований FedRAMP. Велике спасибі всім командам всередині і за межами Zendesk за зусилля, докладені до цього. //t.co/A0HVwjhGsv

    - Міккель Сване (@mikkelsvane) 22 травня 2020 р.

    FedRAMP для управління соціальними мережами

    SMMExpert має авторизацію FedRAMP, і тепер державні установи можуть легко працювати зі світовим лідером в управлінні соціальними мережами для взаємодії з громадянами, управління кризовими комунікаціями, надання послуг та інформації через соціальні мережі.

    Замовити демо-версію

    Попередній пост Ідеальний посібник зі стилю соціальних мереж для вашого бренду у 2023 році
    Наступний пост 8 порад для бездоганного поглинання в Instagram

    Кімберлі Паркер — досвідчений професіонал із цифрового маркетингу з понад 10-річним досвідом роботи в галузі. Будучи засновником власного маркетингового агентства в соціальних мережах, вона допомогла численним компаніям у різних галузях створити та розширити свою присутність в Інтернеті за допомогою ефективних стратегій у соціальних мережах. Кімберлі також є плідним письменником, вона написала статті про соціальні медіа та цифровий маркетинг у кількох авторитетних виданнях. У вільний час вона любить експериментувати з новими рецептами на кухні та ходити на довгі прогулянки зі своїм собакою.