Государственный сектор 
В условиях постоянных и все более сложных киберугроз обеспечение безопасности важных систем и конфиденциальных несекретных данных стало первостепенной задачей для федеральных ведомств. Для удовлетворения этой потребности...
Федеральная программа управления рисками и авторизацией (FedRAMP) — это программа правительства США, разработанная для стандартизации и упрощения оценки, авторизации и постоянного мониторинга облачных вычислительных услуг для федеральных агентств. Он устанавливает единый набор требований безопасности для поставщиков облачных услуг (CSP), чтобы гарантировать, что их продукты соответствуют строгим требованиям безопасности и конфиденциальности федерального правительства.
Разница между авторизацией FedRAMP и эквивалентом FedRAMP заключается в том, что продукт, авторизованный FedRAMP, официально признан безопасным и соответствующим облачным решением, одобренным для использования федеральным правительством и включён в официальный каталог FedRAMP Marketplace. В отличие от этого, продукт, эквивалентный FedRAMP, представляет собой самостоятельное подтверждение аналогичного уровня усилий по обеспечению безопасности и намерений, но не указан в официальном каталоге FedRAMP Marketplace.
Что означает «эквивалентность FedRAMP»?
Поставщики облачных услуг (CSP), утверждающие, что достигли эквивалентности FedRAMP, заявляют, что их продукт соответствует стандартам безопасности, сопоставимым с FedRAMP, но CSP формально не завершили строгий процесс авторизации FedRAMP. Этот термин может использоваться не только в США. организации, государственные органы или частные структуры, внедряющие средства контроля на основе рекомендаций FedRAMP. Часто, но не всегда, CSP используют эквивалентность FedRAMP, чтобы указать на готовность к соответствию FedRAMP или намерение получить полную авторизацию FedRAMP.
Ключевые характеристики эквивалентности FedRAMP следующие:
- CSP самостоятельно подтверждает, что их продукт либо соответствует требованиям безопасности FedRAMP, либо использует их в качестве эталона.
- Продукт CSP мог быть официально оценен или получить разрешение на эксплуатацию (ATO) от федерального агентства или Объединенного совета по авторизации (JAB), а мог и не быть.
- Продукт CSP не котируется на официальной торговой площадке FedRAMP.
Что означает «авторизовано FedRAMP»?
Поставщики облачных услуг (CSP), продающие продукты, авторизованные в рамках FedRAMP, завершили процесс авторизации FedRAMP, включая тщательную оценку безопасности, проведенную сторонней организацией по оценке (3PAO), и продукт получил разрешение на эксплуатацию (ATO) от федерального агентства или JAB.
Ключевые характеристики авторизации FedRAMP следующие:
- Продукт CSP прошел очень детальную проверку и тестирование безопасности независимой сторонней оценочной организацией (3PAO) и должен ежегодно проходить аудит для повторной авторизации.
- Продукт CSP получил ATO от федерального агентства или JAB.
- Продукт CSP представлен на официальной торговой площадке FedRAMP.
Ключевые различия между эквивалентом FedRAMP и авторизованным FedRAMP
Следующая таблица обобщает основные различия между эквивалентностью FedRAMP и авторизацией FedRAMP.
|
|
FedRAMP Authorized | FedRAMP Equivalent |
|---|---|---|
| Definition | A cloud product that has undergone the full FedRAMP security assessment process and received an official Authority to Operate (ATO) or Provisional Authority to Operate (P-ATO). | A cloud product that claims to be aligned with FedRAMP security controls but has not completed the formal FedRAMP authorization process. |
| Assessment Process | Requires a formal review by a FedRAMP-approved 3PAO and approval from a federal agency or the JAB. | Often involves internal assessments or informal audits aligned with FedRAMP standards, which may or may not have been done with oversight by a 3PAO or federal entity. |
| Security Standards | Fully compliant with FedRAMP’s standardized controls, derived from NIST SP 800-53. | Aligns with FedRAMP security controls but may not fully meet them. |
| Government Recognition | Listed on the FedRAMP Marketplace and officially recognized by federal agencies. | Not listed on the FedRAMP Marketplace and may not be recognized by federal agencies. |
| Verification | Includes comprehensive documentation, audits and ongoing monitoring validated by the U.S. government. | May or may not include partial documentation and assessments. |
| Continuous Monitoring | Requires continuous monitoring, with regular reporting and updates to maintain authorization. | Continuous monitoring may be implemented but not necessarily aligned with FedRAMP’s formal requirements. |
| Use Cases | Can be used by U.S. federal agencies procuring cloud services. Suitable for systems processing sensitive but unclassified (Moderate) or highly sensitive (High) data. | May be used for state, local or private sector applications where full FedRAMP authorization is not mandatory. May not be sufficient for direct federal use and cannot be used for highly sensitive (High) data. |
| Reusability Across Agencies | Can be reused across multiple federal agencies without having to examine the CSP’s entire Body of Evidence (BoE). This significantly reduces the time and cost of evaluating and onboarding the product. | No reusability. Each agency or organization may need to conduct its own security assessment, including a review of the CSP’s entire BoE, including their System Security Plan (SSP), Security Assessment Plan (SAP) and all attachments. This duplicates effort and significantly increases the time and cost of evaluating and onboarding the product. |
Риски работы с поставщиком, имеющим «эквивалентность FedRAMP», по сравнению с поставщиком, имеющим авторизацию FedRAMP
Выбор работы с CSP, эквивалентным FedRAMP, вместо CSP, авторизованного FedRAMP, сопряжен с определенными рисками из-за отсутствия формальной проверки и государственного признания мер безопасности поставщика. Дополнительные риски работы с «FedRAMP-эквивалентным» CSP включают возможные пробелы в безопасности и непоследовательное внедрение средств контроля безопасности. Авторизация FedRAMP включает более 325 контрольных элементов и непрерывный мониторинг для обеспечения очень высокого уровня безопасности. Эквивалентные поставщики могут внедрять меньше средств контроля или не иметь надежных процессов мониторинга. Более того, поскольку не существует стандартизированного процесса сертификации на эквивалентность FedRAMP, уровень соответствия может значительно варьироваться между различными CSP.
Из-за этих рисков продукты, эквивалентные FedRAMP, наиболее подходят для нефедеральных организаций, таких как частные компании или государственные и местные органы власти, которым необходимо соответствие высоким стандартам безопасности без затрат на продукт, авторизованный FedRAMP. Например, частная организация здравоохранения может использовать систему, эквивалентную FedRAMP, чтобы обеспечить безопасность данных для соблюдения требований HIPAA.
Итог
Работа с поставщиком, эквивалентным FedRAMP, вместо поставщика, авторизованного FedRAMP, подвергает организации рискам, таким как пробелы в безопасности, несоблюдение нормативных требований и повышенная уязвимость к кибератакам. Хотя CSP, эквивалентные FedRAMP, могут демонстрировать добросовестность в соблюдении стандартов безопасности, только CSP, авторизованные FedRAMP, проходят формальную проверку и постоянный мониторинг, необходимые для полного снижения этих рисков.
Кроме того, оценка поставщика, эквивалентного FedRAMP, — это трудоемкий и дорогостоящий процесс, включающий изучение всего пакета документов поставщика, который обычно включает сотни, если не тысячи страниц документации. И наоборот, выбор провайдера, авторизованного в рамках FedRAMP, означает, что 3PAO уже изучила документацию провайдера, проверила его средства контроля и подтвердила, что продукт провайдера соответствует стандартам FedRAMP. Агентства могут убедиться в этом, просто проверив наличие CSP в официальном каталоге FedRAMP Marketplace.
Для федерального использования работа с поставщиком, авторизованным по программе FedRAMP High, таким как Keeper, является необходимой для обеспечения надежной безопасности и соответствия требованиям.
