FedRAMP sertifikati: bu nima, nima uchun muhim va kimda

Kimberly Parker

29-05-2023 Strategiya
  • Buni Baham Ko'Ring
Kimberly Parker

Mashhurlarning buzilgan kameralari. Davlatga asoslangan kiberjosuslik. Va ularning orasidagi hamma narsa. Ma'lumotlar xavfsizligi juda ko'p dasturlarga ega. Bu bulutga asoslangan xizmatlardan foydalanadigan yoki yetkazib beruvchi har bir kishi uchun katta tashvish tug‘diradi.

Hukumat ma’lumotlari jalb qilinganda, bu tashvishlar milliy xavfsizlik darajasiga yetishi mumkin. Shuning uchun AQSh hukumati federal idoralar tomonidan foydalaniladigan barcha bulut xizmatlaridan FedRAMP deb nomlanuvchi xavfsizlik standartlari to‘plamiga javob berishini talab qiladi.

FedRAMP nima va u nimani o‘z ichiga oladi? Siz bilish uchun to'g'ri joydasiz.

Bonus: Ijtimoiy tarmoqlardagi ishtirokingizni qanday oshirish bo'yicha professional maslahatlar bilan bosqichma-bosqich ijtimoiy media strategiyasi qo'llanmasini o'qing.

FedRAMP nima?

FedRAMP "Federal xavf va avtorizatsiyani boshqarish dasturi" degan ma'noni anglatadi. U AQSH federal agentliklari tomonidan foydalaniladigan bulutli mahsulotlar va xizmatlar uchun xavfsizlikni baholash va avtorizatsiyani standartlashtiradi.

Maqsad federal maʼlumotlarning bulutda yuqori darajada doimiy himoyalanganligiga ishonch hosil qilishdir.

FedRAMPni olish. avtorizatsiya jiddiy ishdir. Talab qilinadigan xavfsizlik darajasi qonun bilan belgilanadi. Amaldagi 14 ta qonun va qoidalar, 19 ta standart va yoʻriqnomalar mavjud. Bu dunyodagi eng qat'iy dasturiy ta'minotning xizmat sifatidagi sertifikatlaridan biridir.

Qisqa qisqacha ma'lumot:

FedRAMP 2012-yildan beri mavjud. Bulutli texnologiyalar haqiqatan ham o'sha paytda.Adobe Sign uchun avtorizatsiya.

FedRAMP Moslashtirilgan FedRAMP Moderate haykallariga oʻtish uchun @Adobe Sign qanday ishlashi haqida koʻproq maʼlumot oling: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 2020-yil, 12-avgust

Ushbu ruxsatni xizmat provayderi emas, balki xizmat olishini unutmang. Agar siz bir nechta bulutga asoslangan yechim taklif qilsangiz, Adobe kabi siz ham bir nechta avtorizatsiyadan foydalanishga to‘g‘ri kelishi mumkin.

Slack

Joriy yilning may oyida ruxsat berilgan Slack 21 ta FedRAMP ruxsatiga ega. Mahsulot o'rtacha darajada ruxsat etilgan. U quyidagi agentliklar tomonidan qo'llaniladi:

  • Kasalliklarni nazorat qilish va himoya qilish markazlari,
  • Federal aloqa komissiyasi va
  • Milliy fan fondi.

Bizning yangi FedRAMP Moderate avtorizatsiyamiz tufayli AQSh davlat sektori endi o‘z ishlarining ko‘p qismini Slack’da boshqarishi mumkin. Va bu qat'iy xavfsizlik talablariga javob berish orqali biz Slack-dan foydalanadigan boshqa har bir kompaniya uchun ham narsalarni xavfsizligini ta'minlaymiz. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 2020-yil, 13-avgust

Slack dastlab FedRAMP Tailored ruxsatini oldi. Keyin ular Faxriylar ishlari boʻyicha departament bilan hamkorlik qilib, moʻtadil ruxsat olishdi.

Slack oʻz veb-saytida xususiy sektor mijozlari uchun ushbu avtorizatsiyaning xavfsizlik afzalliklariga eʼtibor qaratishga ishonch hosil qiladi:

“Bu so'nggi avtorizatsiya yanada xavfsizroq tajribaga aylanadiSust mijozlar, shu jumladan FedRAMP tomonidan ruxsat etilgan muhitni talab qilmaydigan xususiy sektor korxonalari. Slack tijoriy takliflaridan foydalanuvchi barcha mijozlar FedRAMP sertifikatiga erishish uchun talab qilinadigan kuchaytirilgan xavfsizlik choralaridan foydalanishlari mumkin.”

Trello Enterprise Cloud

Trelloga Li-SaaS ruxsati sentyabr oyida berilgan edi. Trello hozircha faqat Umumiy xizmatlar ma'muriyati tomonidan qo'llaniladi. Ammo kompaniya buni oʻzgartirishga intilmoqda, buni oʻzlarining yangi FedRAMP holati haqidagi ijtimoiy postlarida koʻrish mumkin:

🏛️Trello’ning FedRAMP ruxsati bilan agentligingiz endi Trello’dan unumdorlikni oshirish, jamoa siloslarini parchalash va tarbiyalash uchun foydalanishi mumkin. hamkorlik. //t.co/GWYgaj9jfY

— Trello (@trello) 2020-yil, 12-oktabr

Zendesk

Shuningdek, may oyida ruxsat berilgan, Zendesk quyidagilar tomonidan foydalaniladi:

  • Energetika departamenti,
  • Uy-joy moliyalashtirish federal agentligi
  • FHFA Bosh inspektor idorasi va
  • Umumiy xizmatlar boshqarmasi.

Zendesk mijozlarni qoʻllab-quvvatlash va yordam stoli platformasi Li-Saas avtorizatsiyasiga ega.

Bugundan boshlab biz davlat idoralarining biz bilan ishlashini ancha osonlashtiramiz, chunki @Zendesk endi FedRAMP vakolatiga ega. Zendesk ichidagi va tashqarisidagi barcha jamoalarga bu boradagi sa'y-harakatlari uchun katta rahmat. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 2020-yil, 22-may

Ijtimoiy tarmoqlarni boshqarish uchun FedRAMP

SMMExpert - FedRAMPvakolatli. Hukumat idoralari endi fuqarolar bilan muloqot qilish, inqirozli aloqalarni boshqarish va ijtimoiy media orqali xizmatlar va maʼlumotlarni yetkazib berish uchun ijtimoiy media boshqaruvi boʻyicha jahon yetakchisi bilan oson hamkorlik qilishi mumkin.

Demo soʻrovini yuborish

eskirgan bog'langan dasturiy echimlarni almashtira boshladi. U AQSh hukumatining "Bulutli birinchi" strategiyasidan kelib chiqqan. Ushbu strategiya agentliklardan bulutga asoslangan yechimlarni birinchi tanlov sifatida ko'rib chiqishni talab qildi.

FedRAMPdan oldin bulutli xizmat ko'rsatuvchi provayderlar o'zlari ishlamoqchi bo'lgan har bir agentlik uchun avtorizatsiya paketini tayyorlashlari kerak edi. Talablar bir xil emas edi. Va provayderlar va agentliklar uchun juda ko'p takroriy harakatlar bor edi.

FedRAMP izchillikni joriy qildi va jarayonni soddalashtirdi.

Endi, baholash va talablar standartlashtirildi. Bir nechta davlat idoralari provayderning FedRAMP avtorizatsiya xavfsizlik paketidan qayta foydalanishi mumkin.

FedRAMPning dastlabki qabul qilinishi sekin edi. Birinchi to'rt yil ichida faqat 20 ta bulut xizmati taklifiga ruxsat berildi. Ammo 2018-yildan buyon bu sur'at haqiqatan ham oshdi va hozirda 204 ta FedRAMP ruxsat berilgan bulutli mahsulotlar mavjud.

Manba: FedRAMP

FedRAMP Qo'shma avtorizatsiya kengashi (JAB) tomonidan nazorat qilinadi. Kengash quyidagi vakillardan iborat:

  • Milliy xavfsizlik departamenti
  • Umumiy xizmatlar boshqarmasi va
  • Mudofaa vazirligi

Dastur AQSh hukumati Federal Bosh Axborot xodimlari kengashi tomonidan tasdiqlangan.

FedRAMP sertifikati nima uchun muhim?

Federal maʼlumotlarga ega boʻlgan barcha bulut xizmatlari FedRAMP ruxsatini talab qiladi. Shunday qilib, agar siz bilan ishlashni istasangizfederal hukumat, FedRAMP avtorizatsiyasi sizning xavfsizlik rejangizning muhim qismidir.

FedRAMP muhim ahamiyatga ega, chunki u hukumatning bulut xizmatlari xavfsizligida izchillikni ta'minlaydi va bu xavfsizlikni baholash va monitoring qilishda izchillikni ta'minlaydi. U barcha davlat idoralari va barcha bulutli provayderlar uchun yagona standartlar to‘plamini taqdim etadi.

FedRAMP ruxsatiga ega bulutli xizmat ko‘rsatuvchi provayderlar FedRAMP Marketplace ro‘yxatida keltirilgan. Bu bozor davlat idoralari bulutga asoslangan yangi yechimni qidirmoqchi bo'lgan birinchi joydir. Agentlik uchun avtorizatsiya jarayonini yangi sotuvchi bilan boshlashdan ko‘ra, allaqachon avtorizatsiya qilingan mahsulotdan foydalanish ancha oson va tezroq.

Shunday qilib, FedRAMP bozoridagi ro‘yxat sizga qo‘shimcha biznes olish ehtimolini oshiradi. davlat organlari. Lekin u xususiy sektordagi profilingizni ham yaxshilashi mumkin.

Bu FedRAMP bozori ommaga koʻrinib turgani uchun. Har qanday xususiy sektor kompaniyasi FedRAMP vakolatli yechimlari roʻyxatini aylanib chiqishi mumkin.

Bu ular xavfsiz bulutli mahsulot yoki xizmat manbasini qidirayotganda ajoyib manbadir.

FedRAMP avtorizatsiyasi har qanday mijozni amalga oshirishi mumkin. xavfsizlik protokollari haqida ko'proq ishonchli. Bu eng yuqori xavfsizlik standartlariga javob berish bo'yicha doimiy majburiyatni ifodalaydi.

FedRAMP avtorizatsiyasi sizning xavfsizlik ishonchliligingizni sezilarli darajada oshiradi.FedRAMP bozoridan tashqarida ham. Siz FedRAMP avtorizatsiyangizni ijtimoiy tarmoqlarda va veb-saytingizda baham ko'rishingiz mumkin.

Haqiqat shundaki, ko'pchilik mijozlaringiz FedRAMP nima ekanligini bilishmaydi. Ular sizning ruxsatingiz bormi yoki yo'qmi, muhim emas. Ammo FedRAMPni tushunadigan yirik mijozlar uchun - davlat va xususiy sektorda - avtorizatsiyaning yo'qligi kelishuvni buzishi mumkin.

FedRAMP sertifikatiga ega bo'lish uchun nima kerak?

U erda FedRAMP vakolatiga ega bo'lishning ikki xil usuli.

1. Birgalikda avtorizatsiya kengashi (JAB) Faoliyat qilish uchun vaqtinchalik vakolat

Ushbu jarayonda JAB vaqtinchalik ruxsatnoma beradi. Bu agentliklarga xavf tekshirilganini bilish imkonini beradi.

Bu muhim birinchi tasdiqdir. Ammo xizmatdan foydalanmoqchi bo‘lgan har qanday agentlik hali ham o‘z faoliyat vakolatini berishi kerak.

Bu jarayon yuqori yoki o‘rtacha xavfga ega bulutli xizmatlar provayderlari uchun eng mos keladi. (Keyingi bo'limda xavf darajalariga to'xtalib o'tamiz.)

JAB jarayonining vizual ko'rinishi:

Manba: FedRAMP

2. Agentlik vakolati

Ushbu jarayonda bulutli xizmatlar provayderi ma'lum bir federal agentlik bilan munosabatlarni o'rnatadi. Ushbu agentlik butun jarayonda ishtirok etadi. Jarayon muvaffaqiyatli bo'lsa, agentlik Operatsion vakolatiga xat beradi.

Manba: FedRAMP

FedRAMP avtorizatsiyasi uchun qadamlar

Qaysi turdagi avtorizatsiyadan qat'i nazar, FedRAMP avtorizatsiyasi to'rtta asosiy bosqichni o'z ichiga oladi:

  1. Paketni ishlab chiqish. Birinchidan, avtorizatsiyani boshlash uchrashuvi bor. Keyin provayder tizim xavfsizligi rejasini to'ldiradi. Keyinchalik, FedRAMP tomonidan tasdiqlangan uchinchi tomon baholash tashkiloti Xavfsizlikni baholash rejasini ishlab chiqadi.
  2. Baholash. Baholash tashkiloti Xavfsizlikni baholash hisobotini taqdim etadi. Provayder Harakatlar rejasini yaratadi & amp; Muhim bosqichlar.
  3. Avtorizatsiya. JAB yoki ruxsat beruvchi agentlik tavsiflangan xavfning maqbulligini hal qiladi. Ha bo'lsa, ular FedRAMP loyiha boshqaruvi ofisiga Operatsion vakolatiga xat yuboradilar. Keyin provayder FedRAMP Marketplace ro‘yxatiga kiritiladi.
  4. Monitoring. Provayder har oyda xizmatdan foydalangan holda har bir agentlikka xavfsizlik monitoringi natijalarini yuboradi.

FedRAMP avtorizatsiyasi eng yaxshisi. amaliyotlar

FedRAMP avtorizatsiyasiga erishish jarayoni qiyin bo'lishi mumkin. Biroq, bulutli xizmat ko‘rsatuvchi provayderlar avtorizatsiya jarayonini boshlagandan so‘ng muvaffaqiyatga erishishlari barcha ishtirokchilarning manfaatlariga xizmat qiladi.

Yordam berish uchun FedRAMP bir nechta kichik biznes va startaplar bilan avtorizatsiya vaqtida olingan saboqlar haqida suhbat o‘tkazdi. Mana, ularning avtorizatsiya jarayonini muvaffaqiyatli boshqarish bo'yicha yettita eng yaxshi maslahati:

  1. Sizning o'zingizni qanday tutishingizni tushuning.FedRAMP-ga mahsulot xaritalari, shu jumladan, bo'shliqlar tahlili.
  2. Tashkiliy taklif va majburiyatlarni oling, jumladan, ijrochi guruh va texnik guruhlardan.
  3. Mahsulotingizdan foydalanayotgan agentlik hamkorini toping. yoki shunday qilish majburiyatini oladi.
  4. Chegarangizni aniq belgilashga vaqt ajrating. Bunga quyidagilar kiradi:
    • ichki komponentlar
    • tashqi xizmatlarga ulanishlar va
    • axborot va metama'lumotlar oqimi.
  5. O'ylab ko'ring. FedRAMP faqat boshlanish va tugash sanasi bo'lgan loyiha emas, balki doimiy dastur sifatida. Xizmatlar doimiy ravishda kuzatilishi kerak.
  6. Avtorizatsiya yondashuvingizni diqqat bilan ko'rib chiqing. Bir nechta mahsulotlar bir nechta avtorizatsiyani talab qilishi mumkin.
  7. FedRAMP PMO qimmatli manba hisoblanadi. Ular texnik savollarga javob berishlari va strategiyangizni rejalashtirishga yordam berishlari mumkin.

    FedRAMP bulutli xizmat koʻrsatuvchi provayderlarga FedRAMP muvofiqligiga tayyorgarlik koʻrish uchun shablonlarni taklif qiladi.

    Qaysi toifalar mavjud FedRAMP muvofiqligi haqida?

    FedRAMP har xil turdagi xavflarga ega bo'lgan xizmatlar uchun to'rtta ta'sir darajasini taklif qiladi. Ular uch xil sohadagi xavfsizlik buzilishining potentsial ta'siriga asoslanadi.

    • Maxfiylik: Maxfiylik va shaxsiy ma'lumotlarning himoyasi.
    • Butunlik: Ma'lumotni o'zgartirish yoki yo'q qilishdan himoya qilish.
    • Mavjudligi: Ma'lumotlarga o'z vaqtida va ishonchli kirish.

    Birinchi uchtasiTa'sir darajalari Milliy Standartlar va Texnologiyalar Institutining (NIST) 199 Federal axborotni qayta ishlash standartiga (FIPS) asoslangan. To'rtinchisi NIST 800-37 maxsus nashriga asoslangan. Ta'sir darajalari:

    • Yuqori, 421 ta nazoratga asoslangan. “Maxfiylik, yaxlitlik yoki mavjudlikning yo'qolishi tashkilotga jiddiy yoki halokatli salbiy ta'sir ko'rsatishi mumkin. operatsiyalar, tashkilot aktivlari yoki jismoniy shaxslar. Bu odatda huquqni muhofaza qilish organlari, favqulodda xizmatlar, moliya va sog'liqni saqlash tizimlariga taalluqlidir.
    • O'rtacha, 325 ta nazoratga asoslangan. “Maxfiylik, yaxlitlik yoki mavjudlik yo'qolishi kutilishi mumkin. tashkilot faoliyatiga, tashkilot aktivlariga yoki jismoniy shaxslarga jiddiy salbiy ta'sir ko'rsatishi. Tasdiqlangan FedRAMP ilovalarining deyarli 80 foizi oʻrtacha taʼsir darajasida.
    • Past, 125 ta nazoratga asoslangan. “Maxfiylik, yaxlitlik yoki mavjudlik yoʻqolishi cheklangan boʻlishi kutilishi mumkin. tashkilot faoliyatiga, tashkilot aktivlariga yoki jismoniy shaxslarga salbiy ta'sir ko'rsatish."
    • Xizmat sifatida past ta'sirli dasturiy ta'minot (LI-SaaS), 36 ta nazoratga asoslangan . "Hamkorlik vositalari, loyihalarni boshqarish ilovalari va ochiq kodli kodni ishlab chiqishga yordam beradigan vositalar kabi foydalanish uchun xavfli bo'lmagan tizimlar" uchun. Bu turkum FedRAMP Tailored nomi bilan ham tanilgan.

    Bu oxirgi turkum 2017-yilda qoʻshilganagentliklarga "past xavfli foydalanish holatlarini" tasdiqlashni osonlashtirish. FedRAMP Tailored dasturiga ega bo'lish uchun provayder oltita savolga "ha" deb javob berishi kerak. Bular FedRAMP Tailored siyosat sahifasida joylashtirilgan:

    • Xizmat bulutli muhitda ishlaydimi?
    • Bulutli xizmat toʻliq ishlayaptimi?
    • Bulut NIST SP 800-145, Bulutli hisoblashning NIST taʼrifi bilan belgilanganidek, dasturiy taʼminotga Xizmat sifatida (SaaS) xizmat koʻrsatish?
    • Bulutli xizmat shaxsiy identifikatsiya qilinadigan maʼlumotlarni (PII) oʻz ichiga olmaydi, taʼminlash uchun zarur boʻlgan hollar bundan mustasno. tizimga kirish imkoniyati (foydalanuvchi nomi, parol va elektron pochta manzili)?
    • Bulutli xizmat FIPS PUB 199, Federal axborot va axborot tizimlarini xavfsizlik toifalariga ajratish standartlarida belgilanganidek, past xavfsizlikka ta'sir qiladimi?
    • Bulutli xizmat FedRAMP tomonidan ruxsat etilgan Xizmat sifatida Platformada (PaaS) yoki Infratuzilma Xizmat sifatida (IaaS) joylashtirilganmi yoki CSP asosiy bulut infratuzilmasini ta'minlayaptimi?

    Yodda tuting FedRAMP muvofiqligiga erishish bir martalik vazifa emas. FedRAMP avtorizatsiyasining Monitoring bosqichini eslaysizmi? Ya'ni, siz qolishingiz FedRAMP-ga mos kelishini ta'minlash uchun muntazam xavfsizlik tekshiruvlarini topshirishingiz kerak bo'ladi.

    Bonus: Ijtimoiy tarmoqlardagi ishtirokingizni qanday oshirish bo'yicha professional maslahatlar bilan bosqichma-bosqich ijtimoiy media strategiyasi qo'llanmasini o'qing.

    Bepul yo'riqnomani hoziroq oling!

    FedRAMP sertifikatiga misollarmahsulotlar

    FedRAMP vakolatli mahsulot va xizmatlarining ko'p turlari mavjud. Bu yerda siz bilgan va oʻzingiz foydalanishingiz mumkin boʻlgan bulutli xizmat koʻrsatuvchi provayderlardan bir nechta misollar.

    Amazon veb-xizmatlari

    FedRAMP Marketplace-da ikkita AWS roʻyxati mavjud. AWS GovCloud yuqori darajada vakolatli. AWS US Sharq/Gʻarb uchun moʻtadil darajada ruxsat berilgan.

    Eshitdingmi? AWS GovCloud (AQSh) mijozlari yaqinda FedRAMP High avtorizatsiyasiga erishilgani tufayli muhim fayl yuklamalari uchun #AmazonEFS dan foydalanishlari mumkin. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — Hukumat uchun AWS (@AWS_Gov) 2019-yil, 18-oktabr

    AWS GovCloud 292 ta avtorizatsiyaga ega. AWS US East/West 250 ta ruxsatnomaga ega. Bu FedRAMP Marketplacedagi boshqa roʻyxatlardan ancha koʻp.

    Adobe Analytics

    Adobe Analytics 2019-yilda ruxsat etilgan. Undan Kasalliklarni nazorat qilish va oldini olish markazlari hamda Sogʻliqni saqlash vazirligi va boshqa tashkilotlar foydalanadi. Inson xizmatlari. U LI-SaaS darajasida ruxsat etilgan.

    Adobe aslida LI-SaaS darajasida ruxsat berilgan bir nechta mahsulotlarga ega. (Adobe Campaign va Adobe Document Cloud kabi.) Shuningdek, ular Moderate darajada ruxsat berilgan bir nechta mahsulotlarga ega:

    • Adobe Connect boshqariladigan xizmatlar
    • Adobe Experience Manager boshqariladigan xizmatlari.

    Adobe hozirda FedRAMP moslashtirilgan avtorizatsiyasidan FedRAMP Moderatega oʻtish jarayonida.

    Oldingi xabar 2023 yilda brendingiz uchun mukammal ijtimoiy media uslubi bo'yicha qo'llanma
    Keyingi post Instagramni mukammal egallash uchun 8 ta maslahat

    Kimberli Parker - bu sohada 10 yildan ortiq tajribaga ega bo'lgan tajribali raqamli marketing mutaxassisi. O'zining ijtimoiy media marketing agentligining asoschisi sifatida u turli sohalardagi ko'plab korxonalarga samarali ijtimoiy media strategiyalari orqali onlayn mavjudligini yo'lga qo'yish va rivojlantirishga yordam berdi. Kimberli shuningdek, bir nechta nufuzli nashrlarga ijtimoiy media va raqamli marketing bo'yicha maqolalar qo'shgan sermahsul yozuvchidir. Bo'sh vaqtida u oshxonada yangi retseptlar bilan tajriba o'tkazishni va iti bilan uzoq yurishni yaxshi ko'radi.