FedRAMP: Что это такое, почему это важно и у кого это есть

Взломанные фотоаппараты знаменитостей. Государственный кибершпионаж. И все, что между ними. Безопасность данных имеет огромное количество приложений. И это серьезная проблема для всех, кто использует или поставляет облачные сервисы.

Когда речь идет о государственных данных, эти опасения могут достигать уровня национальной безопасности. Вот почему правительство США требует, чтобы все облачные сервисы, используемые федеральными агентствами, соответствовали тщательному набору стандартов безопасности, известному как FedRAMP.

Итак, что же такое FedRAMP и что оно влечет за собой? Вы находитесь в нужном месте, чтобы узнать.

Что такое FedRAMP?

FedRAMP означает «Федеральная программа управления рисками и авторизацией». Он стандартизирует оценку безопасности и авторизацию для облачных продуктов и сервисов, используемых федеральными агентствами США.

Цель состоит в том, чтобы обеспечить постоянную защиту федеральных данных на высоком уровне в облаке.

Получение авторизации FedRAMP — серьезное дело. Требуемый уровень безопасности установлен законом. Существует 14 применимых законов и правил, а также 19 стандартов и руководящих документов. Это одна из самых строгих в мире сертификаций программного обеспечения как услуги.

Вот краткое введение:

FedRAMP существует с 2012 года. начали заменять устаревшие привязанные программные решения. Он родился из стратегии правительства США «Сначала облако». Эта стратегия требовала, чтобы агентства смотрели на облачные решения в качестве первого выбора.

До FedRAMP поставщики облачных услуг должны были подготовить пакет авторизации для каждого агентства, с которым они хотели работать. Требования не согласовывались. И для провайдеров, и для агентств было много дублирования усилий.

FedRAMP ввел согласованность и оптимизировал процесс.

Теперь оценки и требования стандартизированы. Несколько правительственных агентств могут повторно использовать пакет безопасности авторизации FedRAMP поставщика.

Первоначальное внедрение FedRAMP было медленным. За первые четыре года было одобрено только 20 предложений облачных услуг. Но с 2018 года темпы роста действительно увеличились, и сейчас существует 204 авторизованных облачных продукта FedRAMP.

 Рост FedRAMP за счет авторизованных облачных продуктов

Источник: FedRAMP

FedRAMP контролируется Объединенным советом по авторизации (JAB). Правление состоит из представителей:

  • Министерства внутренней безопасности
  • Управления общих служб и
  • Министерства обороны.

Программа одобрена Федеральным советом директоров по информационным технологиям правительства США. .

Почему важна сертификация FedRAMP?

Все облачные сервисы, содержащие федеральные данные, требуют авторизации FedRAMP. Итак, если вы хотите работать с федеральным правительством, авторизация FedRAMP является важной частью вашего плана безопасности.

FedRAMP важен, потому что он обеспечивает согласованность в безопасности государственных облачных сервисов, а также потому, что он обеспечивает согласованность в оценке и мониторинг этой безопасности. Он предоставляет единый набор стандартов для всех государственных учреждений и всех поставщиков облачных услуг.

Поставщики облачных услуг, авторизованные FedRAMP, перечислены на FedRAMP Marketplace. Эта торговая площадка — первое место, куда обращаются правительственные учреждения, когда хотят найти новое облачное решение. Для агентства намного проще и быстрее использовать продукт, который уже авторизован, чем начинать процесс авторизации с новым поставщиком.

Таким образом, листинг на торговой площадке FedRAMP увеличивает вероятность получения дополнительных заказов от государственных органов. Но это также может улучшить ваш профиль в частном секторе.

Это потому, что рынок FedRAMP виден широкой публике. Любая компания частного сектора может просмотреть список авторизованных решений FedRAMP.

Это отличный ресурс, когда они хотят получить безопасный облачный продукт или услугу.

Авторизация FedRAMP может повысить уверенность любого клиента в протоколах безопасности. . Это означает постоянное стремление к соблюдению высочайших стандартов безопасности.

Разрешение FedRAMP также значительно повышает надежность вашей системы безопасности за пределами FedRAMP Marketplace. Вы можете поделиться своей авторизацией в социальных сетях и на своем веб-сайте.

На самом деле большинство ваших клиентов, вероятно, не знают, что такое FedRAMP. Им все равно, авторизованы вы или нет. Но для тех крупных клиентов, которые понимают FedRAMP — как в государственном, так и в частном секторе — отсутствие авторизации может стать преградой.

Что нужно для получения сертификата FedRAMP?

Есть два разных способа стать Утверждено FedRAMP.

1. Совместная комиссия по авторизации (JAB) Временные полномочия для работы

В этом процессе JAB выдает временную авторизацию. Это позволяет агентствам знать, что риск был рассмотрен.

Это важное первое одобрение. Но любое агентство, которое хочет использовать сервис, все равно должно выдать собственное разрешение на работу.

Этот процесс лучше всего подходит для поставщиков облачных услуг с высоким или умеренным риском. (Уровни риска мы рассмотрим в следующем разделе.)

Вот визуальный обзор процесса JAB:

 4-этапный процесс JAB для FedRAMP

Источник: FedRAMP

2. Полномочия агентства на работу

В этом процессе поставщик облачных услуг устанавливает отношения с определенным федеральным агентством. Это агентство участвует на протяжении всего процесса. Если процесс проходит успешно, агентство выдает письмо о разрешении на работу.

Источник: FedRAMP

Шаги к авторизации FedRAMP [19659009] Независимо от типа авторизации, авторизация FedRAMP включает четыре основных этапа:

  1. Разработка пакета. Во-первых, начальное совещание по вопросам авторизации. Затем провайдер составляет план безопасности системы. Затем одобренная FedRAMP сторонняя организация по оценке разрабатывает план оценки безопасности.
  2. Оценка. Организация, проводящая оценку, представляет отчет об оценке безопасности. Поставщик создает План действий и вехи.
  3. Авторизация. ОАС или уполномоченное агентство решает, является ли описанный риск приемлемым. Если да, они отправляют письмо о разрешении на эксплуатацию в офис управления проектом FedRAMP. После этого поставщик будет указан в FedRAMP Marketplace.
  4. Мониторинг. Провайдер ежемесячно отправляет результаты мониторинга безопасности каждому агентству, использующему службу.

Лучшие практики авторизации FedRAMP

Процесс авторизации FedRAMP может быть трудным. Но в интересах всех участников добиться успеха, когда поставщики облачных услуг начнут процесс авторизации.

Чтобы помочь, FedRAMP опросил несколько малых предприятий и стартапов об уроках, извлеченных во время авторизации. Вот семь их лучших советов по успешной навигации в процессе авторизации:

  1. Поймите, как ваш продукт соотносится с FedRAMP, включая анализ пробелов.
  2. Получите поддержку и приверженность организации, в том числе со стороны исполнительной команды и технических групп. [19659023] Найдите агентство-партнера, которое использует ваш продукт или намерено его использовать.
  3. Уделите время точному определению своих границ. Это включает:
    • внутренние компоненты
    • подключения к внешним сервисам и
    • поток информации и метаданных.
  4. Думайте о FedRAMP как о непрерывной программе, а не просто о проекте с датой начала и окончания. Услуги должны постоянно контролироваться.
  5. Тщательно продумайте свой подход к авторизации. Для нескольких продуктов может потребоваться несколько разрешений.
  6. FedRAMP PMO — ценный ресурс. Они могут ответить на технические вопросы и помочь вам спланировать вашу стратегию.

FedRAMP предлагает шаблоны, которые помогут поставщикам облачных услуг подготовиться к соответствию FedRAMP.

Каковы категории соответствия FedRAMP?

FedRAMP предлагает четыре уровня воздействия для служб с различные виды риска. Они основаны на потенциальных последствиях нарушения безопасности в трех различных областях.

  • Конфиденциальность: Защита конфиденциальности и служебной информации.
  • Целостность: Защита от модификации или уничтожение информации.
  • Доступность: Своевременный и надежный доступ к данным.

Первые три уровня воздействия основаны на Федеральном стандарте обработки информации (FIPS) 199 Национального института стандартов и технологий ( NIST). Четвертый основан на специальной публикации NIST 800-37. Уровни воздействия следующие:

  • Высокий, на основе 421 контроля. «Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет серьезное или катастрофическое неблагоприятное воздействие на деятельность организации, активы организации или отдельных лиц». Обычно это относится к правоохранительным органам, службам экстренной помощи, финансовым службам и системам здравоохранения.
  • Умеренное, на основе 325 контрольных показателей. «Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет серьезное неблагоприятное воздействие на деятельность организации, активы организации или отдельных лиц». Почти 80 процентов утвержденных приложений FedRAMP находятся на умеренном уровне воздействия.
  • Низкий, на основе 125 элементов управления. «Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет ограниченное неблагоприятное воздействие на деятельность организации, активы организации или отдельных лиц».
  • Низкое влияние на программное обеспечение как услугу (LI-SaaS) ) на основе 36 контролей . Для «систем с низким риском использования, таких как инструменты для совместной работы, приложения для управления проектами и инструменты, помогающие разрабатывать открытый исходный код». Эта категория также известна как FedRAMP Tailored.

Эта последняя категория была добавлена ​​в 2017 году, чтобы облегчить для агентств утверждение «вариантов использования с низким уровнем риска». Чтобы получить право на участие в FedRAMP Tailored, провайдер должен ответить утвердительно на шесть вопросов. Они размещены на странице политики FedRAMP Tailored:

  • Работает ли служба в облачной среде?
  • Является ли облачная служба полностью работоспособной?
  • Является ли облачная служба программным обеспечением как услугой (SaaS) в соответствии с определением от NIST SP 800-145, Определение облачных вычислений NIST?
  • Облачный сервис не содержит информации, позволяющей установить личность (PII), за исключением случаев, когда это необходимо для обеспечения возможности входа в систему (имя пользователя, пароль и адрес электронной почты)?
  • Является ли облачный сервис низким уровнем безопасности согласно определению FIPS PUB 199, Стандарты категоризации безопасности федеральных информационных и информационных систем?
  • Размещается ли облачный сервис на авторизованной FedRAMP Платформе как Сервис (PaaS) или Инфраструктуре как услуга (IaaS), или CSP предоставляет базовую облачную инфраструктуру?

Имейте в виду, что достижение соответствия FedRAMP не является одноразовой задачей. Помните этап мониторинга авторизации FedRAMP? Это означает, что вам нужно будет регулярно проводить аудиты безопасности, чтобы убедиться, что вы соблюдаете FedRAMP.

Примеры продуктов и услуг, сертифицированных FedRAMP

Существует много типов продуктов и услуг, разрешенных FedRAMP. Вот несколько примеров от поставщиков облачных услуг, которых вы знаете и, возможно, уже используете.

Amazon Web Services

В FedRAMP Marketplace есть два списка AWS. AWS GovCloud авторизован на высоком уровне. AWS Восток / Запад США авторизован на среднем уровне.

Комментарии запрещены.