FedRAMP 101: بررسی اجمالی و راهنمای سازگاری

تاریخ انتشار : سه‌شنبه 22 فروردین 1402

وبلاگ

FedRAMP 101: بررسی اجمالی و راهنمای سازگاری

برآوردن الزامات امنیت و حفظ حریم خصوصی برای انجام تجارت با دولت فدرال ایالات متحده برای کسب و کارهای کوچک و استارت آپ ها می تواند طاقت فرسا باشد. در این مقاله، ما در مورد انطباق FedRAMP، از جمله موارد زیر بحث خواهیم کرد:

بررسی اجمالی: انطباق FedRAMP چیست؟

برنامه مدیریت ریسک و مجوز فدرال (FedRAMP) یک برنامه امنیتی دولتی است که رویکرد استاندارد شده ای را برای ساده کردن فرآیند ارزیابی و مجوز ارائه دهندگان خدمات ابری (CSP) و خدمات ابری ارائه می دهد. این برنامه به طور خاص برای شرکت هایی است که می خواهند با آژانس های فدرال کار کنند و اطلاعات فدرال را ذخیره، پردازش یا پردازش کنند.

FedRAMP راهنمایی هایی را در مورد رعایت مجموعه ای از استانداردهای امنیتی مشترک ارائه می دهد تا اطمینان حاصل شود که فناوری های ابری به طور ایمن توسط سازمان هایی که با دولت فدرال کار می کنند پذیرفته می شوند. این بر اساس استانداردهای NIST است و از یک رویکرد مبتنی بر ریسک برای امنیت استفاده می کند.

به طور کلی، دستیابی به انطباق FedRAMP شامل اجرای کنترل‌های امنیتی، گذراندن ارزیابی‌های امنیتی و حفظ نظارت مداوم بر محیط‌های آن‌ها است.

چرا FedRAMP ایجاد شد؟

ایجاد FedRAMP در پاسخ به دور شدن دولت فدرال از سیستم های قدیمی و پذیرش فناوری ابری بود. برای جلوگیری از به خطر افتادن آژانس‌های فدرال در حین انتقال اطلاعات فدرال به سرویس‌های ابری، باید یک رویکرد منسجم، استاندارد و در سطح دولتی برای مدیریت امنیت و حریم خصوصی وجود داشت.

چه کسی مجوز FedRAMP را مدیریت می کند؟

هیئت مجوز مشترک (JAB) برنامه FedRAMP را مدیریت می کند و متشکل از وزارت دفاع (DoD)، اداره خدمات عمومی و وزارت امنیت داخلی (DHS) است.

JAB استانداردهای امنیتی پایه ای را تعیین می کند که ارائه دهندگان خدمات ابری (CSP) باید برای دریافت مجوز FedRAMP و همکاری با آژانس های دولتی فدرال رعایت کنند.

مجوز FedRAMP توسط سازمان های ارزیابی شخص ثالث (3PAOs) که توسط دفتر مدیریت برنامه FedRAMP (PMO) معتبر هستند، انجام می شود. این سازمان ها مسئول انجام ارزیابی های امنیتی و صدور مجوز برای محصولات و خدمات ابری هستند.

چرا سازمان ها باید از FedRAMP پیروی کنند؟

مجوز FedRAMP برای هر شرکتی که می خواهد محصولات و خدمات ابری را به دولت فدرال ایالات متحده ارائه دهد، لازم است. انطباق FedRAMP نشان می دهد که یک کسب و کار الزامات امنیتی تعیین شده توسط دولت فدرال را برآورده کرده است و سیستم های اطلاعاتی و داده های آن ایمن هستند.

اشخاص ثالثی که اطلاعات فدرال را از طرف یک آژانس فدرال پردازش، ذخیره یا انتقال می دهند باید توسط FedRAMP مجاز باشند. فرآیند دستیابی به انطباق با FedRAMP می تواند طولانی تر و خسته کننده تر از حد انتظار باشد، بنابراین شروع زودهنگام ایده خوبی است.

آماده‌اید برای انطباق با FedRAMP کار کنید اما مطمئن نیستید از کجا شروع کنید؟ با تیم ما صحبت کنید تا بدانید کاربید چگونه می تواند از سفر شما پشتیبانی کند.

چگونه سازمان ها مجوز FedRAMP را دریافت می کنند؟

دو راه برای مجوز دادن به یک CSP از طریق FedRAMP وجود دارد: مجوز توسط هیئت مدیره مجاز مشترک و مجوز آژانس.

در حالی که فرآیند مجوز آژانس، CSP ها را با یک آژانس فدرال ایالات متحده مرتبط می کند که آنها را در کل فرآیند مجوز FedRAMP دنبال می کند، فرآیند هیئت مجوز مشترک از سازمان های خارجی استفاده می کند که ارزیابی و بررسی می کنند که آیا CSP الزامات FedRAMP را برآورده می کند یا خیر.

این رویکردها را می توان به سه مرحله – آماده سازی، مجوز و نظارت مستمر تقسیم کرد. هدف نهایی هر مرحله، کسب یک نام جدید بازار FedRAMP است. نام‌های FedRAMP Ready، FedRAMP In Process و FedRAMP Authorized زمانی که CSPها در سه فاز حرکت می‌کنند، به دست می‌آیند.

منبع: https://www.fedramp.gov/

مجوز هیئت مجوز مشترک

رویکرد هیئت مجاز مشترک یک فرآیند مجوز موقت است و به یک گروه خارجی به نام نیاز دارد سازمان ارزیابی شخص ثالث (3PAO) برای ارزیابی کنترل‌ها و رویه‌های امنیتی CSP. این فرآیند ارزیابی همچنین شامل CSP و 3PAO آنها می‌شود که یک بسته مجوز امنیتی متشکل از یک طرح امنیت سیستم (SSP)، یک طرح ارزیابی امنیتی (SAP)، یک گزارش ارزیابی امنیتی (SAR) و یک اقدام و نقاط عطف (POA&M) را تشکیل می‌دهند. اگر نیازی به اصلاح نباشد و الزامات FedRAMP برآورده شود، JAB یک مجوز موقت برای عملیات (P-ATO) صادر می کند. P-ATO به ارائه‌دهنده خدمات ابری این اختیار را می‌دهد که به صورت دوره‌ای کار با آژانس‌های فدرال را آغاز کند.

پس از دریافت P-ATO خود، CSP ها باید تحت نظارت مداوم قرار گیرند تا اطمینان حاصل شود که کنترل های امنیتی آنها حفظ می شود و الزامات FedRAMP را برآورده می کند. 3PAO این نظارت مستمر را برای شناسایی آسیب پذیری های احتمالی در سیستم های شرکت بر اساس گزارش های دوره ای که CSP برای آنها ارسال می کند، انجام می دهد.

اگر کنترل‌های امنیتی فروشنده به درستی اجرا شود و همچنان الزامات FedRAMP را برآورده کند، JAB یک نامه رسمی صادر خواهد کرد. مرجع عملیاتی (ATO)، اعطای اختیار به CSP برای شروع کار با آژانس های فدرال به صورت دائمی.

مجوز آژانس

مجوز FedRAMP از طریق مسیر مجوز آژانس نیز یک فرآیند ارزیابی امنیتی دقیق است. هنگام کار با یک آژانس فدرال ایالات متحده، دریافت نام FedRAMP Ready از طریق گزارش ارزیابی آمادگی (RAR) اختیاری است، اما توسط دفتر مدیریت برنامه FedRAMP به شدت توصیه می شود.

آژانس سپس بسته مجوز امنیتی ایجاد شده توسط CSP و 3PAO آنها را بررسی خواهد کرد. بسته مجوز امنیتی شامل چهار جزء است:

طرح امنیت سیستم (SSP)
طرح ارزیابی امنیتی (SAP)
گزارش ارزیابی امنیتی (SAR)
برنامه اقدام و نقاط عطف (POA&M)

اگر هیچ اصلاحی مورد نیاز نباشد، آژانس برای CSP درخواست می‌کند تا مجوز عملیات (ATO) را دریافت کند. مشابه فرآیند JAB، هنگامی که CSPها ATO خود را دریافت کردند، باید اسناد نظارت مستمر ماهانه را برای بررسی قبل از دریافت مجوز دائمی ارائه دهند.

سطوح تاثیر بالقوه تحت FedRAMP چیست؟

انتشار FIPS 199 سطوح تاثیر FedRAMP را بر اساس قانون مدیریت امنیت اطلاعات فدرال (FISMA) به سه دسته تقسیم می کند: کم، متوسط و زیاد. FISMA چارچوب اطلاعاتی است که همه شرکت ها و سازمان ها برای همکاری با دولت فدرال باید به آن پایبند باشند. این برای همه ارائه دهندگان شخص ثالث اعمال می شود در حالی که به عنوان FedRAMP فقط برای ارائه دهندگان خدمات ابری اعمال می شود.

سطوح تأثیر تعریف شده توسط انتشارات FIPS به سازمان ها ایده ای از تأثیر بالقوه ای می دهد که نقض اهداف امنیتی FISMA (محرمانه بودن، یکپارچگی و در دسترس بودن) می تواند بر سیستم ها و افراد آنها داشته باشد.

انتشارات FIPS 199 این تأثیرات بالقوه را به صورت زیر تعریف می کند:

تاثیر بالقوه کم

از دست دادن حریم خصوصی، یکپارچگی یا در دسترس بودن را می توان انتظار داشت محدود تأثیر نامطلوب بر عملیات سازمانی، دارایی های سازمانی یا افراد.

تاثیر بالقوه متوسط

از دست دادن حریم خصوصی، یکپارچگی یا در دسترس بودن را می توان انتظار داشت به طور جدی تأثیر نامطلوب بر عملیات سازمانی، دارایی های سازمانی یا افراد.

تاثیر بالقوه بالا

از دست دادن حریم خصوصی، یکپارچگی یا در دسترس بودن را می توان انتظار داشت شدید یا فاجعه بار تأثیر نامطلوب بر عملیات سازمانی، دارایی های سازمانی یا افراد.

6 نکته برای شروع کار با FedRAMP Compliance

کسب‌وکارهای کوچک می‌توانند فرآیند انطباق با FedRAMP خود را با پیروی از نکات FedRAMP برای کسب‌وکارهای کوچک و استارت‌آپ‌ها آغاز کنند:

تجزیه و تحلیل شکاف را انجام دهید و یاد بگیرید که وضعیت امنیتی فعلی شما چگونه اندازه گیری می شود.
شما بین بخش ها خرید دارید. این فرآیند مستلزم آن است که رهبری تیم‌های فنی را با حسابرسان همکاری کنند تا ارزیابی‌های امنیتی را در اسرع وقت تکمیل کنند.
یک شریک آژانس فدرال دریافت کنید – برای کار با آژانس فدرال باید مجوز کار (ATO) را دریافت کنید، بنابراین ترجیحا شریکی را انتخاب کنید که از محصول یا خدمات شما استفاده می کند یا برنامه دارد.
محدوده پیشنهاد خود را تعریف کنید – و آماده باشید که دقیقاً نحوه ذخیره، پردازش یا مدیریت اطلاعات فدرال را به طور ایمن سیستم شما شرح دهید.
به یاد داشته باشید که امنیت یک رویداد یک بار نیست. نیاز به نظارت و نگهداری مداوم دارد.
اگر بیش از یک محصول دارید، به طور همزمان تعداد زیادی از آنها را قبول نکنید و خطر عدم رعایت الزامات امنیتی را داشته باشید.

تفاوت بین چارچوب NIST و FedRAMP چیست؟

NIST یا موسسه ملی استانداردها و فناوری، یک آژانس غیرقانونی وزارت بازرگانی ایالات متحده است. به عنوان یک چارچوب، NIST استانداردها، دستورالعمل ها و بهترین شیوه ها را برای امنیت اطلاعات و حفظ حریم خصوصی به طور کلی توسعه و منتشر می کند. از سوی دیگر، FedRAMP یک برنامه خاص دولت است. کنترل ها و الزامات آن بر اساس استاندارد NIST 800-53 است که راهنمایی در مورد کنترل های امنیتی برای سیستم های اطلاعات فدرال ارائه می دهد.

مراحل بعدی شما: از نظارت مداوم ابری Carbide برای ساده کردن انطباق FedRAMP استفاده کنید

از تجزیه و تحلیل شکاف پلتفرم ما، جمع‌آوری خودکار شواهد، سرویس نظارت مداوم ابری و تیم کارشناسان امنیتی ما برای سرعت بخشیدن به روند انطباق خود و کمک به دریافت مجوز برای عملیات (ATO) استفاده کنید. از وضعیت امنیتی خود یک دید پرنده دریافت کنید، به ما اجازه دهید کارهای روزمره را خودکار کنیم و راهنمایی های متخصص ارائه کنیم تا بتوانید روی کسب و کار خود تمرکز کنید.

در اینجا دو راه برای شروع وجود دارد:

برای کسب اطلاعات بیشتر، نسخه نمایشی را با تیم ما رزرو کنید.
اگر این پست وبلاگ را از طریق لینکدین یا مفید می دانید به اشتراک بگذارید توییتر.