Publieke sector 
Naarmate federale instanties te maken krijgen met steeds geavanceerdere cyberdreigingen, is het beveiligen van cruciale systemen en gevoelige niet-geclassificeerde gegevens een topprioriteit. Om aan deze behoefte
Het Federal Risk and Authorization Management Program (FedRAMP), oftewel ‘het Federale programma voor risico- en autorisatiebeheer’, is een programma van de Amerikaanse overheid dat is ontworpen om de beoordeling, autorisatie en continue monitoring van cloudcomputing-services voor federale instanties te standaardiseren en te stroomlijnen. Het bevat een consistente reeks beveiligingsvereisten voor cloudserviceproviders (CSP’s) om ervoor te zorgen dat hun producten voldoen aan de strenge beveiligings- en privacyvereisten van de federale overheid.
Het verschil tussen FedRAMP Authorized en FedRAMP Equivalent is dat een FedRAMP Authorized-product officieel is erkend als een veilige en conforme cloudoplossing. Deze is goedgekeurd voor gebruik door de federale overheid en is opgenomen in de officiële FedRAMP Marketplace. Een FedRAMP Equivalent-product is echter een zelfverklaring van een vergelijkbaar niveau van inspanningen en intenties op het gebied van beveiliging, terwijl het product niet is opgenomen in de officiële FedRAMP Marketplace.
Wat betekent ‘FedRAMP-equivalentie’?
CSP’s die beweren FedRAMP-equivalentie te hebben bereikt, verklaren dat hun product voldoet aan beveiligingsstandaarden die vergelijkbaar zijn met FedRAMP, maar dat de CSP het strenge FedRAMP-autorisatieproces nog niet formeel heeft doorlopen. Deze term kan worden gebruikt door niet-Amerikaanse organisaties, deelstaatregeringen of particuliere entiteiten die controles uitvoeren op basis van FedRAMP-richtlijnen. CSP’s gebruiken vaak, maar niet altijd, FedRAMP -equivalentie om aan te geven dat ze klaar zijn voor FedRAMP-naleving of van plan zijn om volledige FedRAMP-autorisatie na te streven.
De belangrijkste kenmerken van FedRAMP-equivalentie zijn als volgt:
- De CSP verklaart zelf dat hun product voldoet aan de FedRAMP-beveiligingsmaatregelen of deze als benchmark gebruikt.
- Het product van de CSP kan al dan niet formeel zijn beoordeeld of een Autorisatie om te Opereren (ATO) hebben gekregen van een federale instantie of de Gemeenschappelijke Autorisatiecommissie (JAB).
- Het product van de CSP staat niet vermeld op de officiële FedRAMP Marketplace.
Wat betekent FedRAMP Authorized?
CSP’s die FedRAMP Authorized-producten verkopen, hebben het FedRAMP-autorisatieproces doorlopen. Dit houdt onder meer in dat het product grondig is getest door een beoordelingsorganisatie van derden (3PAO) en dat het een ATO heeft gekregen van een federale instantie of de JAB.
De belangrijkste kenmerken van FedRAMP-autorisatie zijn als volgt:
- Het CSP-product is onderworpen aan een zeer gedetailleerde veiligheidsbeoordeling en testprocedure door een 3PAO en moet jaarlijks een controle voor herautorisatie ondergaan.
- Het product van de CSP heeft een ATO gekregen van een federaal agentschap of de JAB.
- Het product van de CSP is vermeld op de officiële FedRAMP Marketplace.
Belangrijkste verschillen tussen FedRAMP Equivalent en FedRAMP Authorized
In de volgende tabel worden de belangrijkste verschillen tussen FedRAMP-equivalentie en FedRAMP-autorisatie samengevat.
|
|
FedRAMP Authorized | FedRAMP Equivalent |
|---|---|---|
| Definition | A cloud product that has undergone the full FedRAMP security assessment process and received an official Authority to Operate (ATO) or Provisional Authority to Operate (P-ATO). | A cloud product that claims to be aligned with FedRAMP security controls but has not completed the formal FedRAMP authorization process. |
| Assessment Process | Requires a formal review by a FedRAMP-approved 3PAO and approval from a federal agency or the JAB. | Often involves internal assessments or informal audits aligned with FedRAMP standards, which may or may not have been done with oversight by a 3PAO or federal entity. |
| Security Standards | Fully compliant with FedRAMP’s standardized controls, derived from NIST SP 800-53. | Aligns with FedRAMP security controls but may not fully meet them. |
| Government Recognition | Listed on the FedRAMP Marketplace and officially recognized by federal agencies. | Not listed on the FedRAMP Marketplace and may not be recognized by federal agencies. |
| Verification | Includes comprehensive documentation, audits and ongoing monitoring validated by the U.S. government. | May or may not include partial documentation and assessments. |
| Continuous Monitoring | Requires continuous monitoring, with regular reporting and updates to maintain authorization. | Continuous monitoring may be implemented but not necessarily aligned with FedRAMP’s formal requirements. |
| Use Cases | Can be used by U.S. federal agencies procuring cloud services. Suitable for systems processing sensitive but unclassified (Moderate) or highly sensitive (High) data. | May be used for state, local or private sector applications where full FedRAMP authorization is not mandatory. May not be sufficient for direct federal use and cannot be used for highly sensitive (High) data. |
| Reusability Across Agencies | Can be reused across multiple federal agencies without having to examine the CSP’s entire Body of Evidence (BoE). This significantly reduces the time and cost of evaluating and onboarding the product. | No reusability. Each agency or organization may need to conduct its own security assessment, including a review of the CSP’s entire BoE, including their System Security Plan (SSP), Security Assessment Plan (SAP) and all attachments. This duplicates effort and significantly increases the time and cost of evaluating and onboarding the product. |
De risico’s van het werken met een ‘FedRAMP-equivalente’ provider in plaats van een FedRAMP Authorized provider
Als u ervoor kiest om met een FedRAMP-equivalente CSP te werken in plaats van een FedRAMP-geautoriseerde CSP, dan zijn er bepaalde risico’s omdat de beveiligingsmaatregelen van de provider niet officieel zijn gevalideerd en niet door de overheid worden erkend. Bijkomende risico’s van het werken met een ‘FedRAMP-equivalent’ CSP zijn onder meer mogelijke gaten in de beveiliging en een inconsistente implementatie van beveiligingscontroles. FedRAMP-autorisatie bestaat uit meer dan 325 controles en continue monitoring om een zeer hoge beveiligingsstandaard te garanderen. Gelijkwaardige providers implementeren mogelijk minder controles of hebben geen robuuste monitoringprocessen. Aangezien er geen standaard certificeringsproces voor FedRAMP-equivalentie bestaat, kan het nalevingsniveau tussen CSP’s aanzienlijk verschillen.
Vanwege deze risico’s zijn FedRAMP-equivalente producten het meest geschikt voor niet-federale organisaties. Denk aan bedrijven of lokale en regionale overheden die moeten voldoen aan strenge beveiligingsstandaarden, maar niet de kosten van een FedRAMP-geautoriseerd product willen maken. Een particuliere zorgorganisatie kan bijvoorbeeld een FedRAMP-equivalent systeem gebruiken om de gegevensbeveiliging te waarborgen en zo de naleving van HIPAA te garanderen.
Waar het op neerkomt
Als organisaties samenwerken met een FedRAMP-equivalente provider in plaats van een FedRAMP-geautoriseerde provider, lopen ze het risico op beveiligingslekken, niet-naleving en een verhoogde kwetsbaarheid voor cyberaanvallen. Hoewel FedRAMP-equivalente CSP’s kunnen aangeven dat ze zich te goeder trouw aan de beveiligingsstandaarden houden, ondergaan alleen FedRAMP-geautoriseerde CSP’s de formele validatie en continue monitoring die nodig zijn om deze risico’s volledig te beperken.
Bovendien is het evalueren van een FedRAMP-equivalente provider een tijdrovend en duur proces waarbij het gehele RvB van de provider moet worden onderzocht, wat doorgaans honderden of zelfs duizenden pagina’s aan documentatie omvat. Anderzijds betekent de keuze voor een FedRAMP-geautoriseerde provider dat een 3PAO de RvB van de provider al heeft onderzocht, de controles heeft getest en heeft bevestigd dat het product van de provider voldoet aan de FedRAMP-standaarden. Agentschappen kunnen dit eenvoudig verifiëren door de vermelding van de CSP op de officiële FedRAMP Marketplace te controleren.
Voor federaal gebruik is het werken met een FedRAMP High-geautoriseerde provider, zoals Keeper, essentieel om een robuuste beveiliging en naleving te garanderen.
