FedRAMP
 | |
| Przegląd agencji | |
|---|---|
| uformowany | 2011 |
Federalny program zarządzania ryzykiem i autoryzacjami ( FedRAMP ) to program rządu federalnego Stanów Zjednoczonych , który zapewnia ustandaryzowane podejście do oceny bezpieczeństwa , autoryzacji i ciągłego monitorowania produktów i usług w chmurze .
W 2011 roku Biuro Zarządzania i Budżetu (OMB) wydało memorandum ustanawiające FedRAMP „w celu zapewnienia opłacalnego, opartego na ryzyku podejścia do przyjmowania i korzystania z usług w chmurze dla działów wykonawczych i agencji”. General Services Administration (GSA) ustanowiła FedRAMP Program Management Office (PMO) w czerwcu 2012 r. Misją FedRAMP PMO jest promowanie przyjęcia bezpiecznych usług w chmurze w całym rządzie federalnym poprzez zapewnienie ustandaryzowanego podejścia do oceny bezpieczeństwa i ryzyka. Zgodnie z memorandum OMB wszelkie usługi w chmurze przechowujące dane federalne muszą być autoryzowane przez FedRAMP. FedRAMP określa wymagania bezpieczeństwa i procesy, których dostawcy usług w chmurze muszą przestrzegać, aby rząd mógł korzystać z ich usług.
Istnieją dwa sposoby autoryzacji usługi w chmurze za pośrednictwem FedRAMP: tymczasowa autoryzacja (P-ATO) Wspólnej Rady Autoryzacyjnej (JAB) oraz poszczególne agencje.
Przed wprowadzeniem FedRAMP poszczególne agencje federalne zarządzały własnymi metodologiami oceny zgodnie z wytycznymi określonymi w Federalnej ustawie o zarządzaniu bezpieczeństwem informacji z 2002 r .
Zarządzanie i obowiązujące przepisy prawa
FedRAMP jest zarządzany przez różne podmioty Oddziału Wykonawczego , które współpracują w celu opracowania, zarządzania i obsługi programu. Podmioty te obejmują:
- Biuro Zarządzania i Budżetu (OMB): Organ zarządzający, który wydał notatkę dotyczącą polityki FedRAMP, która określa kluczowe wymagania i możliwości programu
- Joint Authorization Board (JAB): Podstawowy organ zarządzający i decyzyjny FedRAMP składa się z głównych urzędników ds. informacji (CIO) z Departamentu Bezpieczeństwa Wewnętrznego (DHS), General Services Administration (GSA) i Departamentu Obrony (DOD)
- National Institute of Standards and Technology (NIST): Doradza FedRAMP w zakresie wymogów zgodności FISMA i pomaga w opracowywaniu standardów akredytacji niezależnych 3PAO
- Departament Bezpieczeństwa Wewnętrznego (DHS): zarządza strategią ciągłego monitorowania FedRAMP, w tym kryteriami dostarczania danych, strukturą raportowania, koordynacją powiadomień o zagrożeniach i reagowaniem na incydenty
- Federalna Rada Głównych Informatyków (CIO): Rozpowszechnia informacje FedRAMP wśród federalnych CIO i innych przedstawicieli za pośrednictwem komunikacji międzyagencyjnej i wydarzeń
- FedRAMP PMO: Utworzona w ramach GSA i odpowiedzialna za rozwój programu FedRAMP, w tym za zarządzanie codziennymi operacjami
Istnieje kilka praw, mandatów i zasad, które są podstawą FedRAMP. FISMA – federalna ustawa o modernizacji bezpieczeństwa informacji – wymaga od agencji autoryzacji używanych przez nie systemów informatycznych. FedRAMP to FISMA dla chmury. Notatka dotycząca zasad FedRAMP wymaga, aby agencje federalne korzystały z FedRAMP podczas oceny, autoryzacji i ciągłego monitorowania usług w chmurze, aby pomóc agencjom w procesie autoryzacji, a także oszczędzać zasoby rządowe i eliminować powielanie wysiłków. Bazowe linie bezpieczeństwa FedRAMP wywodzą się z NIST SP 800-53 (w wersji poprawionej) z zestawem ulepszeń kontroli, które odnoszą się do unikalnych wymagań bezpieczeństwa przetwarzania w chmurze.
Zewnętrzne organizacje oceniające
Zewnętrzne organizacje oceniające (3PAO) odgrywają kluczową rolę w procesie oceny bezpieczeństwa FedRAMP, ponieważ są niezależnymi organizacjami oceniającymi, które weryfikują implementacje zabezpieczeń dostawców usług w chmurze i zapewniają ogólny poziom ryzyka środowiska chmurowego w celu podjęcia decyzji o autoryzacji bezpieczeństwa. Te organizacje oceniające, akredytowane przez Amerykańskie Stowarzyszenie Akredytacji Laboratoriów (A2LA), muszą wykazać się niezależnością i kompetencjami technicznymi wymaganymi do testowania wdrożeń zabezpieczeń i zbierania reprezentatywnych dowodów.
Rynek FedRAMP
FedRAMP Marketplace zapewnia przeszukiwalną i sortowalną bazę danych ofert usług w chmurze (CSO), które uzyskały oznaczenie FedRAMP. 3PAO, akredytowani audytorzy, którzy mogą przeprowadzać ocenę FedRAMP, są wymienieni na Rynku. Rynek FedRAMP jest obsługiwany przez Biuro Zarządzania Programami FedRAMP (PMO).
Zobacz też
- Problemy z przetwarzaniem w chmurze
- Ustawa o autoryzacji FedRAMP