FedRAMP

FedRAMP
Обзор агентства
Сформированный	2011

Программа кибербезопасности правительства США

Федеральная программа управления рисками и авторизацией ( FedRAMP ) — это общегосударственная программа по обеспечению соответствия требованиям федерального правительства США , которая обеспечивает стандартизированный подход к оценке безопасности , авторизации и постоянному мониторингу облачных продуктов и услуг. ^[1]

В 2011 году Управление по управлению и бюджету (OMB) выпустило меморандум о создании FedRAMP «для предоставления экономически эффективного, основанного на рисках подхода к принятию и использованию облачных сервисов для исполнительных департаментов и агентств». ^[2] Администрация общих служб (GSA) создала Офис управления программой FedRAMP (PMO) в июне 2012 года. Миссия FedRAMP PMO заключается в содействии принятию безопасных облачных сервисов во всем федеральном правительстве путем предоставления стандартизированного подхода к оценке безопасности и рисков. ^[3] Согласно меморандуму OMB, любые облачные сервисы, которые содержат федеральные данные, должны быть авторизованы FedRAMP. ^[4] FedRAMP предписывает требования безопасности и процессы, которым должны следовать поставщики облачных сервисов, чтобы правительство могло использовать их сервис.

Существует два способа авторизации облачного сервиса через FedRAMP: предварительное разрешение (P-ATO) Объединенного совета по авторизации (JAB) ^[5] и через отдельные агентства ^{[6] .}

До внедрения FedRAMP отдельные федеральные агентства использовали собственные методики оценки, следуя указаниям, установленным Законом об управлении федеральной информационной безопасностью 2002 года . ^[7]

FedRAMP предоставляет аккредитацию облачных сервисов для различных моделей облачных предложений, таких как «инфраструктура как услуга» (IaaS), «платформа как услуга» (PaaS) и «программное обеспечение как услуга» (SaaS).

Управление и применимые законы

FedRAMP управляется различными органами исполнительной власти , которые сотрудничают для разработки, управления и эксплуатации программы. ^[8] Эти органы включают:

Управление по управлению и бюджету (OMB): руководящий орган, выпустивший меморандум о политике FedRAMP, в котором определены основные требования и возможности программы.
Объединенный совет по авторизации (JAB): Основной орган управления и принятия решений для FedRAMP состоит из главных должностных лиц по информационным технологиям (CIO) из Министерства внутренней безопасности (DHS), Управления общих служб (GSA) и Министерства обороны (DOD).
Национальный институт стандартов и технологий (NIST): консультирует FedRAMP по вопросам соответствия требованиям FISMA и помогает в разработке стандартов аккредитации независимых 3PAO.
Министерство внутренней безопасности (DHS): управляет стратегией непрерывного мониторинга FedRAMP, включая критерии подачи данных, структуру отчетности, координацию уведомлений об угрозах и реагирование на инциденты.
Совет директоров федеральных информационных служб (CIO) : распространяет информацию FedRAMP среди директоров федеральных информационных служб и других представителей посредством межведомственных коммуникаций и мероприятий.
Офис управления проектами FedRAMP: создан в рамках GSA и отвечает за разработку программы FedRAMP, включая управление повседневными операциями.

Существует несколько законов, предписаний и политик, которые являются основополагающими для FedRAMP. FISMA — Федеральный закон о модернизации информационной безопасности — требует, чтобы агентства авторизовали используемые ими информационные системы. FedRAMP — это FISMA для облака. Меморандум о политике FedRAMP требует, чтобы федеральные агентства использовали FedRAMP при оценке, авторизации и постоянном мониторинге облачных сервисов, чтобы помочь агентствам в процессе авторизации, а также сэкономить государственные ресурсы и исключить дублирование усилий. ^[9] Базовые показатели безопасности FedRAMP получены из NIST SP 800-53 (в пересмотренной редакции) с набором улучшений контроля, которые относятся к уникальным требованиям безопасности облачных вычислений.

Независимые оценочные организации

Сторонние организации по оценке (3PAO) играют важную роль в процессе оценки безопасности FedRAMP, поскольку они являются независимыми организациями по оценке, которые проверяют реализацию безопасности облачных поставщиков и предоставляют общую оценку риска облачной среды для принятия решения о разрешении безопасности. ^[10] Аккредитованные Американской ассоциацией по аккредитации лабораторий (A2LA), эти организации по оценке должны продемонстрировать независимость и техническую компетентность, необходимые для тестирования реализации безопасности и сбора репрезентативных доказательств.

Торговая площадка FedRAMP

FedRAMP Marketplace предоставляет поисковую, сортируемую базу данных предложений облачных услуг (CSO), которые получили обозначение FedRAMP. ^[11] 3PAO, аккредитованные аудиторы, которые могут выполнять оценку FedRAMP, перечислены в Marketplace. FedRAMP Marketplace поддерживается Офисом управления программой FedRAMP (PMO). ^[12]

Смотрите также

Проблемы облачных вычислений
Закон о полномочиях FedRAMP

Ссылки

^ "FedRAMP.gov". FedRAMP.gov . 2020-03-26 . Получено 2020-04-05 .
^ "Меморандум о политике" (PDF) . www.fedramp.gov . Получено 2020-04-05 .
^ "FedRAMP.gov". FedRAMP.gov . 2020-03-26 . Получено 2020-04-05 .
^ "Меморандум о политике" (PDF) . www.fedramp.gov . Получено 2020-04-05 .
^ "Получить разрешение: Совместный совет по авторизации". FedRAMP.gov . Получено 2020-04-05 .
^ "Получить разрешение: разрешение агентства". FedRAMP.gov . Получено 2020-04-05 .
^ "DOD turn to FedRAMP and cloud brokering -- FCW". FCW . 2014-05-21. Архивировано из оригинала 2020-10-31 . Получено 2020-04-05 .
^ "Управление". FedRAMP.gov . Получено 2020-04-05 .
^ "Меморандум о политике" (PDF) . www.fedramp.gov . Получено 2020-04-05 .
^ "Меморандум о политике" (PDF) . www.fedramp.gov . Получено 2020-04-05 .
^ "Панель инструментов федеральной программы управления рисками". marketplace.fedramp.gov . Получено 28.07.2021 .
^ "Marketplace Designations" (PDF) . www.fedramp.gov . Получено 2020-04-05 .

Внешние ссылки

Официальный сайт
Торговая площадка FedRAMP
Меморандум FedRAMP (2011)

[1] "FedRAMP.gov". FedRAMP.gov . 2020-03-26 . Получено 2020-04-05 .

[2] "Меморандум о политике" (PDF) . www.fedramp.gov . Получено 2020-04-05 .

[3] "FedRAMP.gov". FedRAMP.gov . 2020-03-26 . Получено 2020-04-05 .

[4] "Меморандум о политике" (PDF) . www.fedramp.gov . Получено 2020-04-05 .

[5] "Получить разрешение: Совместный совет по авторизации". FedRAMP.gov . Получено 2020-04-05 .

[6] "Получить разрешение: разрешение агентства". FedRAMP.gov . Получено 2020-04-05 .

[7] "DOD turn to FedRAMP and cloud brokering -- FCW". FCW . 2014-05-21. Архивировано из оригинала 2020-10-31 . Получено 2020-04-05 .

[8] "Управление". FedRAMP.gov . Получено 2020-04-05 .

[9] "Меморандум о политике" (PDF) . www.fedramp.gov . Получено 2020-04-05 .

[10] "Меморандум о политике" (PDF) . www.fedramp.gov . Получено 2020-04-05 .

[11] "Панель инструментов федеральной программы управления рисками". marketplace.fedramp.gov . Получено 28.07.2021 .

[12] "Marketplace Designations" (PDF) . www.fedramp.gov . Получено 2020-04-05 .