Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Федеральная программа управления рисками и разрешение ( FedRAMP ) является США правительства -широкой программой , которая обеспечивает стандартизированный подход к оценке безопасности , авторизации и непрерывному мониторингу для облачных продуктов и услуг. [1] В 2011 году Управление управления и бюджета (OMB) выпустило меморандум [2] об учреждении Федеральной программы управления рисками и авторизацией (FedRAMP), «чтобы обеспечить рентабельный, основанный на оценке рисков подход к внедрению и использованию облачных технологий. услуги исполнительным ведомствам и агентствам ». Администрация общих служб(GSA) учредила Офис управления программами FedRAMP (PMO) в июне 2012 года. Миссия FedRAMP PMO заключается в содействии внедрению безопасных облачных сервисов в федеральном правительстве путем предоставления стандартизированного подхода к оценке безопасности и рисков. [3] Согласно меморандуму OMB, [4] любые облачные сервисы, содержащие федеральные данные, должны быть авторизованы FedRAMP. FedRAMP предписывает требования к безопасности и процессы, которым должны следовать поставщики облачных сервисов, чтобы правительство могло использовать их сервис.

Существует два способа авторизации облачной службы через FedRAMP: предварительная авторизация Объединенного совета по авторизации (JAB) (P-ATO) [5] и через отдельные агентства. [6]

До внедрения FedRAMP отдельные федеральные агентства управляли своими собственными методологиями оценки, следуя указаниям Федерального закона об управлении информационной безопасностью 2002 года . [7]

Управление и применимые законы [ править ]

FedRAMP управляется различными подразделениями исполнительной власти, которые работают совместно над разработкой, управлением и эксплуатацией программы. [8] К этим организациям относятся: Управление управления и бюджета (OMB): руководящий орган, выпустивший меморандум о политике FedRAMP, определяющий ключевые требования и возможности программы. Объединенный совет по авторизации (JAB): основным органом управления и принятия решений FedRAMP являются директора по информационным технологиям (CIO) Министерства внутренней безопасности (DHS), Управления общих служб (GSA) и Министерства обороны (DOD). . Национальный институт стандартов и технологий(NIST): консультирует FedRAMP по требованиям соответствия FISMA и помогает в разработке стандартов для аккредитации независимых 3PAO. Департамент внутренней безопасности (DHS): Управляет непрерывной стратегии мониторинга FedRAMP включая критерии подачи данных, структуры отчетности, координация уведомления угроз и реагирования на инциденты. Совет федеральных директоров по информационным технологиям (CIO): распространяет информацию FedRAMP среди федеральных директоров по информационным технологиям и другим представителям посредством межведомственных коммуникаций и мероприятий. FedRAMP PMO: создан в GSA и отвечает за разработку программы FedRAMP, включая управление повседневными операциями. В основе FedRAMP лежит несколько законов, предписаний и политик. FISMA- Федеральный закон о модернизации информационной безопасности - требует, чтобы агентства санкционировали информационные системы, которые они используют. FedRAMP - это FISMA для облака. Меморандум о политике FedRAMP требует, чтобы федеральные агентства использовали FedRAMP при оценке, авторизации и постоянном мониторинге облачных сервисов, чтобы помочь агентствам в процессе авторизации, а также сэкономить государственные ресурсы и устранить дублирование усилий. [9] Базовые параметры безопасности FedRAMP взяты из NIST SP 800-53 (в новой редакции) с набором улучшений управления, которые относятся к уникальным требованиям безопасности облачных вычислений.

Сторонние организации по оценке [ править ]

Сторонние организации по оценке (3PAO) играют критически важную роль в процессе оценки безопасности FedRAMP, поскольку они являются независимыми оценочными организациями, которые проверяют реализации безопасности облачных провайдеров и предоставляют общую оценку рисков облачной среды для принятия решения об авторизации безопасности. [10] Эти оценочные организации, аккредитованные Американской ассоциацией аккредитации лабораторий (A2LA), должны продемонстрировать независимость и техническую компетентность, необходимые для тестирования реализаций безопасности и сбора репрезентативных свидетельств.

Торговая площадка FedRAMP [ править ]

FedRAMP Marketplace предоставляет доступную для поиска и сортировку базу данных предложений облачных услуг (CSO), получивших обозначение FedRAMP. Аккредитованные аудиторы, которые могут выполнять оценку FedRAMP, известную как 3PAO, перечислены на Marketplace. Торговая площадка FedRAMP поддерживается Офисом управления программами FedRAMP (PMO). [11]

См. Также [ править ]

Ссылки [ править ]

  1. ^ "FedRAMP.gov" . FedRAMP.gov . 2020-03-26 . Проверено 5 апреля 2020 .
  2. ^ «Политическая записка» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 .
  3. ^ "FedRAMP.gov" . FedRAMP.gov . 2020-03-26 . Проверено 5 апреля 2020 .
  4. ^ «Политическая записка» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 .
  5. ^ «Получить авторизацию: Объединенный совет по авторизации» . FedRAMP.gov . Проверено 5 апреля 2020 .
  6. ^ «Получить авторизацию: авторизация агентства» . FedRAMP.gov . Проверено 5 апреля 2020 .
  7. ^ «Министерство обороны обращается к FedRAMP и облачным брокерам - FCW» . FCW . 2014-05-21 . Проверено 5 апреля 2020 .
  8. ^ «Управление» . FedRAMP.gov . Проверено 5 апреля 2020 .
  9. ^ «Политическая записка» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 .
  10. ^ «Политическая записка» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 .
  11. ^ «Обозначения торговой площадки» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 .

Внешние ссылки [ править ]

  • Официальный веб-сайт
  • Торговая площадка FedRAMP
  • Памятка FedRAMP (2011 г.)