Jump to content

ФедРАМП

Edit links
ФедРАМП
Обзор агентства
Сформированный 2011

Федеральная программа управления рисками и авторизацией ( FedRAMP ) — это общенациональная программа обеспечения соответствия требованиям федерального правительства США , которая обеспечивает стандартизированный подход к оценке безопасности , авторизации и непрерывному мониторингу облачных продуктов и услуг. [1]

В 2011 году Управление управления и бюджета (OMB) опубликовало меморандум о создании FedRAMP «для обеспечения экономически эффективного, основанного на рисках подхода к внедрению и использованию облачных сервисов для исполнительных департаментов и агентств». [2] В июне 2012 года Управление общих служб (GSA) учредило Офис управления программой FedRAMP (PMO). Миссия PMO FedRAMP заключается в содействии внедрению безопасных облачных сервисов в федеральном правительстве путем предоставления стандартизированного подхода к безопасности и оценке рисков. [3] Согласно меморандуму OMB, любые облачные сервисы, хранящие федеральные данные, должны быть авторизованы FedRAMP. [4] FedRAMP предписывает требования и процессы безопасности, которым должны следовать поставщики облачных услуг, чтобы правительство могло использовать их услуги.

Существует два способа авторизации облачного сервиса через FedRAMP: предварительное разрешение Объединенного совета по авторизации (JAB) (P-ATO), [5] и через отдельные агентства. [6]

До внедрения FedRAMP отдельные федеральные агентства использовали свои собственные методики оценки в соответствии с рекомендациями, установленными Федеральным законом об управлении информационной безопасностью 2002 года . [7]

FedRAMP обеспечивает аккредитацию облачных сервисов для различных моделей облачных предложений: «Инфраструктура как услуга» (IaaS), «Платформа как услуга» (PaaS) и «Программное обеспечение как услуга» (SaaS).

Управление и применимое законодательство

[ редактировать ]

FedRAMP управляется различными организациями исполнительной власти , которые сотрудничают в разработке, управлении и эксплуатации программы. [8] К этим субъектам относятся:

  • Управление управления и бюджета (OMB): руководящий орган, выпустивший политическую записку FedRAMP, в которой определяются ключевые требования и возможности программы.
  • Объединенный совет по авторизации (JAB): основной орган управления и принятия решений FedRAMP включает в себя директоров по информационным технологиям (CIO) Министерства внутренней безопасности (DHS), Управления общих служб (GSA) и Министерства обороны (DOD).
  • Национальный институт стандартов и технологий (NIST): консультирует FedRAMP по требованиям соответствия FISMA и помогает в разработке стандартов для аккредитации независимых 3PAO.
  • Министерство внутренней безопасности (DHS): управляет стратегией непрерывного мониторинга FedRAMP, включая критерии подачи данных, структуру отчетности, координацию уведомлений об угрозах и реагирование на инциденты.
  • Совет федеральных директоров по информационным технологиям (CIO) : распространяет информацию FedRAMP среди федеральных директоров по информационным технологиям и других представителей посредством межведомственных коммуникаций и мероприятий.
  • PMO FedRAMP: создан в рамках GSA и отвечает за разработку программы FedRAMP, включая управление повседневной деятельностью.

Существует несколько законов, постановлений и политик, которые лежат в основе FedRAMP. FISMA – Федеральный закон о модернизации информационной безопасности – требует, чтобы агентства авторизовали информационные системы, которые они используют. FedRAMP — это FISMA для облака. Политический меморандум FedRAMP требует, чтобы федеральные агентства использовали FedRAMP при оценке, авторизации и постоянном мониторинге облачных сервисов, чтобы помочь агентствам в процессе авторизации, а также сэкономить государственные ресурсы и устранить дублирование. [9] Базовые параметры безопасности FedRAMP основаны на стандарте NIST SP 800-53 (в новой редакции) с набором улучшений контроля, которые соответствуют уникальным требованиям безопасности облачных вычислений.

Сторонние оценочные организации

[ редактировать ]

Сторонние организации по оценке (3PAO) играют решающую роль в процессе оценки безопасности FedRAMP, поскольку они являются независимыми организациями по оценке, которые проверяют реализации безопасности поставщиков облачных услуг и предоставляют общую картину рисков облачной среды для принятия решения об авторизации безопасности. [10] Эти организации по оценке, аккредитованные Американской ассоциацией по аккредитации лабораторий (A2LA), должны продемонстрировать независимость и техническую компетентность, необходимую для тестирования реализаций безопасности и сбора репрезентативных доказательств.

Торговая площадка FedRAMP

[ редактировать ]

Торговая площадка FedRAMP предоставляет доступную для поиска и сортируемую базу данных предложений облачных услуг (CSO), получивших обозначение FedRAMP. [11] 3PAO, аккредитованные аудиторы, которые могут проводить оценку FedRAMP, перечислены на торговой площадке. Торговая площадка FedRAMP поддерживается Офисом управления программой FedRAMP (PMO). [12]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «ФедРАМП.gov» . FedRAMP.gov . 26 марта 2020 г. Проверено 5 апреля 2020 г.
  2. ^ «Информационная записка» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 г.
  3. ^ «ФедРАМП.gov» . FedRAMP.gov . 26 марта 2020 г. Проверено 5 апреля 2020 г.
  4. ^ «Информационная записка» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 г.
  5. ^ «Получить авторизацию: Объединенный совет по авторизации» . FedRAMP.gov . Проверено 5 апреля 2020 г.
  6. ^ «Получить авторизацию: авторизация агентства» . FedRAMP.gov . Проверено 5 апреля 2020 г.
  7. ^ «Министерство обороны обращается к FedRAMP и облачным брокерам — FCW» . ФКВ . 21 мая 2014 г. Архивировано из оригинала 31 октября 2020 г. Проверено 5 апреля 2020 г.
  8. ^ «Управление» . FedRAMP.gov . Проверено 5 апреля 2020 г.
  9. ^ «Информационная записка» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 г.
  10. ^ «Информационная записка» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 г.
  11. ^ «Информационная панель Федеральной программы управления рисками» . marketplace.fedramp.gov . Проверено 28 июля 2021 г.
  12. ^ «Обозначения торговых площадок» (PDF) . www.fedramp.gov . Проверено 5 апреля 2020 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=FedRAMP&oldid=1217187479"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 0a18d1e79f1d805140143bd82d2f2252__1712213700
URL1:https://arc.ask3.ru/arc/aa/0a/52/0a18d1e79f1d805140143bd82d2f2252.html
Заголовок, (Title) документа по адресу, URL1:
FedRAMP - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)