Войти
Федеральная программа управления рисками и авторизацией (FedRAMP ) - это US правительственная программа, которая обеспечивает стандартизованный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и услуг. В 2011 году Управление управления и бюджета (OMB) выпустило меморандум об учреждении Федеральной программы управления рисками и авторизацией (FedRAMP), «чтобы обеспечить рентабельный, основанный на оценке рисков подход к внедрению и использованию облака. услуги исполнительным ведомствам и агентствам ». Администрация общих служб (GSA) создала Офис управления программами FedRAMP (PMO) в июне 2012 года. Миссия FedRAMP PMO состоит в том, чтобы способствовать внедрению безопасных облачных сервисов в федеральном правительстве путем предоставления стандартизированного подхода к безопасности. и оценка рисков. Согласно меморандуму OMB, любые облачные сервисы, хранящие федеральные данные, должны быть авторизованы FedRAMP. FedRAMP предписывает требования безопасности и процессы, которым должны следовать поставщики облачных сервисов, чтобы правительство могло использовать их сервис.
Существует два способа авторизации облачной службы через FedRAMP: предварительная авторизация Joint Authorization Board (JAB) (P-ATO) и через отдельные агентства.
До внедрения FedRAMP, отдельные федеральные агентства управляли своими собственными методологиями оценки в соответствии с указаниями, изложенными в Федеральном законе об управлении информационной безопасностью 2002 года.
FedRAMP регулируется различными организациями исполнительной власти, которые работают совместно для разработки, управления и эксплуатации программа. К таким организациям относятся: Офис управления и бюджета (OMB): руководящий орган, выпустивший меморандум о политике FedRAMP, определяющий ключевые требования и возможности программы. Объединенный совет по авторизации (JAB): основным органом управления и принятия решений FedRAMP являются директора по информационным технологиям (CIO) из Министерства внутренней безопасности (DHS), Администрации общих служб <27.>(GSA) и Министерство обороны (DOD). Национальный институт стандартов и технологий (NIST): консультирует FedRAMP по требованиям соответствия FISMA и помогает в разработке стандартов для аккредитации независимых 3PAO. Министерство внутренней безопасности (DHS): управляет стратегией непрерывного мониторинга FedRAMP, включая критерии подачи данных, структуру отчетности, координацию уведомлений об угрозах и реагирование на инциденты. Совет федеральных директоров по информационным технологиям (CIO): распространяет информацию FedRAMP среди федеральных директоров по информационным технологиям и другим представителям посредством межведомственных коммуникаций и мероприятий. FedRAMP PMO: создан в GSA и отвечает за разработку программы FedRAMP, включая управление повседневными операциями. В основе FedRAMP лежит несколько законов, предписаний и политик. FISMA - Федеральный закон о модернизации информационной безопасности - требует, чтобы агентства санкционировали информационные системы, которые они используют. FedRAMP - это FISMA для облака. Меморандум о политике FedRAMP требует, чтобы федеральные агентства использовали FedRAMP при оценке, авторизации и непрерывном мониторинге облачных сервисов, чтобы помочь агентствам в процессе авторизации, а также сэкономить государственные ресурсы и устранить дублирование усилий. Базовые параметры безопасности FedRAMP взяты из NIST SP 800-53 (в новой редакции) с набором улучшений контроля, которые относятся к уникальным требованиям безопасности облачных вычислений.
Сторонние организации по оценке (3PAO) играют критически важную роль в процессе оценки безопасности FedRAMP, поскольку они являются независимыми оценочными организациями, которые проверяют реализации безопасности облачных провайдеров и предоставляют общая степень риска облачной среды для решения об авторизации безопасности. Эти оценочные организации, аккредитованные Американской ассоциацией аккредитации лабораторий (A2LA), должны продемонстрировать независимость и техническую компетентность, необходимые для тестирования реализаций безопасности и сбора репрезентативных доказательств.
FedRAMP Marketplace предоставляет доступную для поиска и сортировку базу данных предложений облачных услуг (CSO), получивших обозначение FedRAMP. Аккредитованные аудиторы, которые могут выполнять оценку FedRAMP, известную как 3PAO, перечислены на Marketplace. Торговая площадка FedRAMP поддерживается Офисом управления программами FedRAMP (PMO).
