Сертификация FedRAMP: что это такое, почему это важно и у кого она есть » Блог о маркетинге в социальных сетях

   » » Сертификация FedRAMP: что это такое, почему это важно и у кого она есть

Сертификация FedRAMP: что это такое, почему это важно и у кого она есть

FedRAMP расшифровывается как «Федеральная программа управления рисками и авторизацией». Узнайте, нужно ли вам получить авторизацию FedRAMP.
Взломанные фотоаппараты знаменитостей. Государственный кибершпионаж. И все, что между ними. Безопасность данных имеет огромное количество приложений. И это серьезная проблема для всех, кто использует или поставляет облачные сервисы.
Когда речь идет о правительственных данных, эти опасения могут достигать уровня национальной безопасности. Вот почему правительство США требует, чтобы все облачные сервисы, используемые федеральными агентствами, соответствовали тщательному набору стандартов безопасности, известному как FedRAMP.
Итак, что такое FedRAMP и что он влечет за собой? Вы находитесь в нужном месте, чтобы узнать.

Что такое FedRAMP?

FedRAMP расшифровывается как «Федеральная программа управления рисками и авторизацией». Он стандартизирует оценку безопасности и авторизацию для облачных продуктов и услуг, используемых федеральными агентствами США.
Цель состоит в том, чтобы обеспечить постоянную защиту федеральных данных на высоком уровне в облаке.
Получение авторизации FedRAMP - серьезное дело. Требуемый уровень безопасности установлен законом. Существует 14 применимых законов и нормативных актов, а также 19 стандартов и руководящих документов. Это одна из самых строгих в мире сертификаций «программное обеспечение как услуга».
FedRAMP существует с 2012 года. Именно тогда облачные технологии действительно начали заменять устаревшие привязанные программные решения. Он родился из стратегии правительства США «Сначала облако». Эта стратегия требовала, чтобы агентства смотрели на облачные решения как на первый выбор.
До появления FedRAMP поставщики облачных услуг должны были подготовить пакет авторизации для каждого агентства, с которым они хотели работать. Требования не согласовывались. И у поставщиков, и у агентств было много дублированных усилий.
FedRAMP обеспечил единообразие и упростил процесс.
Теперь оценки и требования стандартизированы. Несколько государственных учреждений могут повторно использовать пакет безопасности авторизации FedRAMP поставщика.
Первоначальное внедрение FedRAMP было медленным. За первые четыре года было разрешено только 20 предложений облачных услуг. Но с 2018 года темпы роста действительно выросли, и сейчас существует 204 облачных продукта, авторизованных FedRAMP.
FedRAMP контролируется Совместным советом по авторизации (JAB). Правление состоит из представителей:
  • Министерство внутренней безопасности
  • Администрация общих служб и
  • Министерство обороны.
Программа одобрена Федеральным советом директоров по информационным технологиям при правительстве США .

Почему важна сертификация FedRAMP?

Все облачные сервисы, содержащие федеральные данные, требуют авторизации FedRAMP. Итак, если вы хотите сотрудничать с федеральным правительством , авторизация FedRAMP является важной частью вашего плана безопасности.
FedRAMP важен, потому что он обеспечивает согласованность в безопасности государственных облачных сервисов, а также потому, что он обеспечивает согласованность в оценке и мониторинге этой безопасности. Он предоставляет единый набор стандартов для всех государственных учреждений и всех поставщиков облачных услуг.
Поставщики облачных услуг, авторизованные FedRAMP, перечислены на FedRAMP Marketplace . Эта торговая площадка - первое место, куда обращаются правительственные учреждения, когда хотят найти новое облачное решение. Агентству намного проще и быстрее использовать уже авторизованный продукт, чем начинать процесс авторизации с новым поставщиком.
Таким образом, размещение на торговой площадке FedRAMP увеличивает вероятность получения дополнительных заказов от государственных органов. Но это также может улучшить ваш профиль в частном секторе.
Это потому, что торговая площадка FedRAMP видна широкой публике. Любая компания частного сектора может просмотреть список разрешенных FedRAMP решений.
Это отличный ресурс, когда они хотят получить безопасный облачный продукт или услугу.
Авторизация FedRAMP может повысить уверенность любого клиента в протоколах безопасности. Он представляет собой постоянное стремление соответствовать самым высоким стандартам безопасности.
Авторизация FedRAMP также значительно повышает надежность вашей системы безопасности за пределами FedRAMP Marketplace. Вы можете поделиться своей авторизацией FedRAMP в социальных сетях и на своем веб-сайте.
На самом деле большинство ваших клиентов, вероятно, не знают, что такое FedRAMP. Им все равно, уполномочены вы или нет. Но для тех крупных клиентов, которые понимают FedRAMP - как в государственном, так и в частном секторе - отсутствие авторизации может стать преградой.

Что нужно для получения сертификата FedRAMP?

Есть два разных способа получить авторизацию FedRAMP.

1. Временная власть Объединенного совета по авторизации (JAB)

В этом процессе JAB выдает временную авторизацию. Это позволяет агентствам знать, что риск был рассмотрен.
Это важное первое одобрение. Но любое агентство, которое хочет использовать эту услугу, все равно должно выдать собственное разрешение на работу.
Этот процесс лучше всего подходит для поставщиков облачных услуг с высоким или умеренным риском. (В следующем разделе мы рассмотрим уровни риска.)
Вот визуальный обзор процесса JAB:

2. Полномочия агентства на работу

В этом процессе поставщик облачных услуг устанавливает отношения с определенным федеральным агентством. Это агентство участвует на протяжении всего процесса. Если процесс проходит успешно, агентство выдает письмо о разрешении на работу.

Шаги к авторизации FedRAMP

Независимо от того, какой тип авторизации вы используете, авторизация FedRAMP включает четыре основных этапа:
  1. Разработка пакетов. Во-первых, есть стартовое совещание по авторизации. Затем провайдер составляет план безопасности системы. Затем одобренная FedRAMP сторонняя организация по оценке разрабатывает план оценки безопасности.
  2. Оценка. Организация, проводящая оценку, представляет отчет об оценке безопасности. Поставщик составляет план действий и вехи.
  3. Авторизация. ОАС или уполномоченное агентство решает, является ли описанный риск приемлемым. Если да, они отправляют письмо о разрешении на эксплуатацию в офис управления проектом FedRAMP. После этого поставщик будет указан на торговой площадке FedRAMP.
  4. Мониторинг. Провайдер ежемесячно отправляет результаты мониторинга безопасности каждому агентству, использующему услугу.

Лучшие практики авторизации FedRAMP

Процесс авторизации FedRAMP может быть трудным. Но в интересах всех участников, чтобы поставщики облачных услуг добились успеха, как только они начнут процесс авторизации.
Чтобы помочь, FedRAMP опросил несколько малых предприятий и стартапов об уроках, извлеченных во время авторизации. Вот семь их лучших советов по успешной навигации в процессе авторизации:
  1. Узнайте, как ваш продукт соотносится с FedRAMP, включая анализ пробелов.
  2. Заручитесь поддержкой и приверженностью организации, в том числе со стороны высшего руководства и технических специалистов.
  3. Найдите агентство-партнера, которое использует ваш продукт или намерено делать это.
  4. Уделите время точному определению своих границ. Это включает:
    • внутренние компоненты
    • подключения к внешним сервисам и
    • поток информации и метаданных.
  5. Думайте о FedRAMP как о непрерывной программе, а не как о проекте с датой начала и окончания. Услуги должны находиться под постоянным контролем.
  6. Тщательно продумайте свой подход к авторизации. Для нескольких продуктов может потребоваться несколько разрешений.
  7. FedRAMP PMO - ценный ресурс. Они могут ответить на технические вопросы и помочь вам спланировать вашу стратегию.

FedRAMP предлагает шаблоны, которые помогут поставщикам облачных услуг подготовиться к соблюдению требований FedRAMP.

Каковы категории соответствия FedRAMP?

FedRAMP предлагает четыре уровня воздействия для сервисов с различными видами риска. Они основаны на потенциальных последствиях взлома системы безопасности в трех различных областях .
  • Конфиденциальность: защита конфиденциальности и служебной информации.
  • Целостность: защита от изменения или уничтожения информации.
  • Доступность: своевременный и надежный доступ к данным.
Первые три уровня воздействия основаны на Федеральном стандарте обработки информации (FIPS) 199 Национального института стандартов и технологий (NIST). Четвертый основан на специальной публикации NIST 800-37. Уровни воздействия следующие:
  • Высокий, на основе 421 контрольных точек. «Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет серьезное или катастрофическое неблагоприятное воздействие на деятельность организации, активы организации или отдельных лиц». Обычно это относится к правоохранительным органам, службам экстренной помощи, финансовым службам и системам здравоохранения.
  • Умеренный, на основе 325 элементов управления. «Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет серьезное неблагоприятное воздействие на деятельность организации, активы организации или отдельных лиц». Почти 80 процентов утвержденных приложений FedRAMP находятся на умеренном уровне воздействия.
  • Низкий, по 125 контрольным данным. «Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет ограниченное неблагоприятное воздействие на деятельность организации, активы организации или отдельных лиц».
  • Малоэффективное программное обеспечение как услуга (LI-SaaS), основанное на 36 элементах управления . Для «систем с низким риском использования, таких как инструменты для совместной работы, приложения для управления проектами и инструменты, помогающие разрабатывать открытый исходный код». Эта категория также известна как FedRAMP Tailored .
Эта последняя категория была добавлена ​​в 2017 году, чтобы облегчить агентствам утверждение «вариантов использования с низким уровнем риска». Чтобы получить право на участие в FedRAMP Tailored, провайдер должен ответить утвердительно на шесть вопросов. Они размещены на странице политики FedRAMP Tailored :
  • Работает ли сервис в облачной среде?
  • Полностью ли работоспособна облачная служба?
  • Является ли облачный сервис программным обеспечением как услугой (SaaS) в соответствии с определением NIST SP 800-145, Определение облачных вычислений NIST?
  • Облачный сервис не содержит информации, позволяющей установить личность (PII), за исключением случаев, когда это необходимо для обеспечения возможности входа в систему (имя пользователя, пароль и адрес электронной почты)?
  • Является ли облачный сервис низким уровнем безопасности, как определено в FIPS PUB 199, Стандарты категоризации безопасности федеральных информационных и информационных систем?
  • Размещается ли облачный сервис на авторизованной FedRAMP платформе как услуге (PaaS) или инфраструктуре как услуге (IaaS), или CSP предоставляет базовую облачную инфраструктуру?
Имейте в виду, что достижение соответствия FedRAMP - не разовая задача. Помните этап мониторинга авторизации FedRAMP? Это означает , что вы должны представить регулярные проверки безопасности , чтобы убедиться , что вы остаться FedRAMP требований.

Примеры продуктов, сертифицированных FedRAMP

Существует много типов продуктов и услуг, разрешенных FedRAMP. Вот несколько примеров от поставщиков облачных услуг, которых вы знаете и, возможно, уже используете.

Веб-сервисы Amazon

На торговой площадке FedRAMP есть два листинга AWS. AWS GovCloud авторизован на высоком уровне. AWS US East / West авторизован на среднем уровне.
AWS GovCloud имеет 292 авторизации. AWS US East / West имеет 250 авторизаций. Это намного больше, чем любой другой листинг на FedRAMP Marketplace.

Adobe Analytics

Adobe Analytics был авторизован в 2019 году. Он используется Центрами по контролю и профилактике заболеваний и Министерством здравоохранения и социальных служб. Он разрешен на уровне LI-SaaS.
На самом деле Adobe имеет несколько продуктов, авторизованных на уровне LI-SaaS. (Например, Adobe Campaign и Adobe Document Cloud.) У них также есть несколько продуктов, авторизованных на среднем уровне:
  • Управляемые службы Adobe Connect
  • Управляемые службы Adobe Experience Manager.
Adobe в настоящее время находится в процессе перехода от авторизации FedRAMP Tailored к авторизации FedRAMP Moderate для Adobe Sign.
Помните, что авторизацию получает сервис, а не поставщик услуг. Как и Adobe, вам может потребоваться несколько авторизаций, если вы предлагаете более одного облачного решения.

Слабина

Авторизованный в мае этого года, Slack имеет 21 авторизацию FedRAMP. Продукт авторизован на среднем уровне. Его используют агентства, в том числе:
  • Центры по контролю и защите заболеваний,
  • Федеральная комиссия связи и
  • Национальный научный фонд.
Изначально Slack получил авторизацию FedRAMP Tailored. Затем они получили разрешение умеренного уровня, установив партнерские отношения с Департаментом по делам ветеранов.
Slack на своем веб-сайте обращает внимание на преимущества безопасности этой авторизации для клиентов из частного сектора :
«Эта последняя авторизация обеспечивает более безопасный опыт для клиентов Slack, включая частный сектор, которым не требуется среда, авторизованная FedRAMP. Все клиенты, использующие коммерческие предложения Slack, могут воспользоваться повышенными мерами безопасности, необходимыми для получения сертификата FedRAMP ».

Trello Enterprise Cloud

Trello только что получил авторизацию Li-SaaS в сентябре. Trello пока используется только Администрацией общих служб. Но компания хочет изменить это, как видно из их сообщений в социальных сетях об их новом статусе FedRAMP:

Zendesk

Также авторизованный в мае Zendesk используется:
  • Министерство энергетики,
  • Федеральное агентство жилищного финансирования
  • Офис Генерального инспектора FHFA, и
  • Администрация общих служб.
Платформа поддержки клиентов и службы поддержки Zendesk имеет авторизацию Li-Saas .

FedRAMP для управления социальными сетями

Hootsuite авторизован FedRAMP. Государственные учреждения теперь могут легко работать с мировым лидером в области управления социальными сетями, чтобы взаимодействовать с гражданами, управлять коммуникациями в кризисных ситуациях и предоставлять услуги и информацию через социальные сети.



-->
image
X