Sektor publiczny 
Ponieważ agencje federalne stają w obliczu coraz bardziej wyrafinowanych zagrożeń cybernetycznych, zabezpieczanie systemów o dużym znaczeniu i wrażliwych niesklasyfikowanych danych stało się najwyższym priorytetem. Aby z...
Federalny Program Zarządzania Ryzykiem i Autoryzacjami (FedRAMP) to program rządu USA zaprojektowany w celu standaryzacji i usprawnienia oceny, autoryzacji oraz ciągłego monitorowania usług przetwarzania w chmurze dla agencji federalnych. Ustanawia spójny zestaw wymagań bezpieczeństwa dla dostawców usług w chmurze (CSP), aby zapewnić, że ich produkty spełniają rygorystyczne wymagania rządu federalnego dotyczące bezpieczeństwa i prywatności.
Różnica pomiędzy autoryzacją FedRAMP a odpowiednikiem FedRAMP polega na tym, że produkt autoryzowany przez FedRAMP został oficjalnie uznany za bezpieczne i zgodne z przepisami rozwiązanie w chmurze dopuszczone do użytku przez rząd federalny i jest wymieniony w oficjalnym sklepie FedRAMP Marketplace. Dla kontrastu, produkt równoważny FedRAMP oznacza samocertyfikację na podobnym poziomie wysiłku i zamiaru w zakresie bezpieczeństwa, jednak produkt ten nie figuruje w oficjalnym FedRAMP Marketplace.
Co oznacza „równoważność FedRAMP”?
Dostawcy usług w chmurze (CSP), którzy oświadczają, że osiągnęli równoważność FedRAMP, stwierdzają, że ich produkt spełnia standardy bezpieczeństwa porównywalne z FedRAMP, lecz owi CSP nie ukończył formalnie rygorystycznego procesu autoryzacji FedRAMP. Termin ten może być używany przez organizacje spoza Stanów Zjednoczonych, rządy stanowe lub podmioty prywatne wdrażające środki kontroli oparte na wytycznych FedRAMP. Często, lecz nie zawsze, CSP używają równoważności FedRAMP, aby wskazać gotowość do zgodności z FedRAMP lub zamiar uzyskania pełnej autoryzacji FedRAMP.
Oto najważniejsze cechy równoważności FedRAMP:
- CSP samodzielnie potwierdza, że ich produkt albo jest zgodny z kontrolami bezpieczeństwa FedRAMP, albo wykorzystuje je jako punkt odniesienia.
- Produkt CSP mógł zostać formalnie oceniony lub uzyskać zezwolenie na działanie (ATO) od agencji federalnej lub Wspólnej Rady Autoryzacyjnej (JAB), lecz nie jest to pewne.
- Produkt CSP nie jest uwzględniony na oficjalnym FedRAMP Marketplace.
Co oznacza autoryzacja FedRAMP?
CSP sprzedające produkty autoryzowane przez FedRAMP zakończyły proces autoryzacji FedRAMP, w tym rygorystyczne oceny bezpieczeństwa przeprowadzone przez organizację oceniającą stronę trzecią (3PAO), a produkt otrzymał ATO od agencji federalnej lub JAB.
Oto główne cechy autoryzacji FedRAMP:
- Produkt CSP przeszedł bardzo szczegółowy przegląd bezpieczeństwa i proces testowania przez 3PAO i musi przechodzić coroczny audyt ponownej autoryzacji.
- Produkt CSP otrzymał ATO od agencji federalnej lub JAB.
- Produkt CSP jest wymieniony na oficjalnym FedRAMP Marketplace.
Kluczowe różnice między odpowiednikiem FedRAMP a autoryzacją FedRAMP
Poniższa tabela podsumowuje główne różnice między równoważnością FedRAMP a autoryzacją FedRAMP.
|
|
FedRAMP Authorized | FedRAMP Equivalent |
|---|---|---|
| Definition | A cloud product that has undergone the full FedRAMP security assessment process and received an official Authority to Operate (ATO) or Provisional Authority to Operate (P-ATO). | A cloud product that claims to be aligned with FedRAMP security controls but has not completed the formal FedRAMP authorization process. |
| Assessment Process | Requires a formal review by a FedRAMP-approved 3PAO and approval from a federal agency or the JAB. | Often involves internal assessments or informal audits aligned with FedRAMP standards, which may or may not have been done with oversight by a 3PAO or federal entity. |
| Security Standards | Fully compliant with FedRAMP’s standardized controls, derived from NIST SP 800-53. | Aligns with FedRAMP security controls but may not fully meet them. |
| Government Recognition | Listed on the FedRAMP Marketplace and officially recognized by federal agencies. | Not listed on the FedRAMP Marketplace and may not be recognized by federal agencies. |
| Verification | Includes comprehensive documentation, audits and ongoing monitoring validated by the U.S. government. | May or may not include partial documentation and assessments. |
| Continuous Monitoring | Requires continuous monitoring, with regular reporting and updates to maintain authorization. | Continuous monitoring may be implemented but not necessarily aligned with FedRAMP’s formal requirements. |
| Use Cases | Can be used by U.S. federal agencies procuring cloud services. Suitable for systems processing sensitive but unclassified (Moderate) or highly sensitive (High) data. | May be used for state, local or private sector applications where full FedRAMP authorization is not mandatory. May not be sufficient for direct federal use and cannot be used for highly sensitive (High) data. |
| Reusability Across Agencies | Can be reused across multiple federal agencies without having to examine the CSP’s entire Body of Evidence (BoE). This significantly reduces the time and cost of evaluating and onboarding the product. | No reusability. Each agency or organization may need to conduct its own security assessment, including a review of the CSP’s entire BoE, including their System Security Plan (SSP), Security Assessment Plan (SAP) and all attachments. This duplicates effort and significantly increases the time and cost of evaluating and onboarding the product. |
Ryzyko związane ze współpracą z dostawcą „równoważnym FedRAMP” zamiast z autoryzowanym dostawcą FedRAMP
Wybór współpracy z dostawcą usług w chmurze równoważnym FedRAMP zamiast z autoryzowanym przez FedRAMP dostawcą usług w chmurze niesie ze sobą pewne ryzyko z powodu braku formalnej walidacji i uznania przez rząd środków bezpieczeństwa dostawcy. Dodatkowe ryzyka związane z pracą z CSP „odpowiednikiem FedRAMP” obejmują możliwe luki w zabezpieczeniach oraz niespójne wdrażanie środków bezpieczeństwa. Autoryzacja FedRAMP obejmuje ponad 325 kontroli i ciągłe monitorowanie, co ma zapewnić bardzo wysoki standard bezpieczeństwa. Równoważni dostawcy mogą wdrażać mniej kontroli lub nie posiadać solidnych procesów monitorowania. Co więcej, ponieważ nie istnieje ustandaryzowany proces certyfikacji równoważności FedRAMP, poziom zgodności może się znacznie różnić w zależności od CSP.
Ze względu na te zagrożenia produkty równoważne FedRAMP są najbardziej odpowiednie dla organizacji niefederalnych, takich jak firmy prywatne lub samorządy stanowe i lokalne, które potrzebują dostosowania do wysokich standardów bezpieczeństwa bez kosztów produktu z autoryzacją FedRAMP. Na przykład organizacja opieki zdrowotnej z sektora prywatnego może korzystać z systemu równoważnego FedRAMP, aby zapewnić bezpieczeństwo danych w celu zapewnienia zgodności z HIPAA.
Najważniejsze kwestie
Współpraca z dostawcą równoważnym z FedRAMP zamiast autoryzowanego dostawcy FedRAMP naraża organizacje na ryzyko, takie jak luki w zabezpieczeniach, niezgodność z przepisami i zwiększoną podatność na ataki cybernetyczne. Chociaż dostawcy usług w chmurze równoważni z FedRAMP mogą wykazywać dobrą wolę w dostosowywaniu się do standardów bezpieczeństwa, tylko dostawcy usług w chmurze autoryzowani przez FedRAMP przechodzą formalną walidację i ciągłe monitorowanie wymagane do pełnego zminimalizowania tych ryzyk.
Co więcej, ocena dostawcy równoważnego z FedRAMP jest czasochłonnym i kosztownym procesem, który wymaga zbadania całego BoE dostawcy, który zazwyczaj obejmuje setki, jeśli nie tysiące stron dokumentacji. Z kolei wybór dostawcy z autoryzacją FedRAMP oznacza, że 3PAO przeanalizował już BoE dostawcy, przetestował jego mechanizmy kontrolne i potwierdził, że produkt dostawcy spełnia standardy FedRAMP. Agencje mogą to łatwo zweryfikować przez sprawdzenie CSP w oficjalnym FedRAMP Marketplace.
Na użytek federalny, do zapewnienia solidnego bezpieczeństwa i zgodności niezbędna jest współpraca z dostawcą autoryzowanym przez FedRAMP High, takim jak Keeper.
