Ein umfassender Leitfaden zum Federal Risk and Authorization Program (FedRAMP)
FedRAMP ist ein regierungsweites Programm, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet. Das Federal Risk and Authorization Program (FedRAMP) wurde 2011 vom Office of Management and Budget (OMB) ins Leben gerufen, um einen gemeinsamen Satz von Sicherheitsanforderungen bereitzustellen, den Bundesbehörden zur Bewertung und Autorisierung von Cloud-Diensten verwenden können. FedRAMP liegt in der gemeinsamen Verantwortung von Regierungsbehörden, Cloud-Service-Anbietern und dritten Bewertungsorganisationen und soll sicherstellen, dass Cloud-Services alle Sicherheitsanforderungen erfüllen.
FedRAMP vereinfacht den Sicherheitsgenehmigungsprozess, indem es einen wiederholbaren, konsistenten und messbaren Ansatz zur Bewertung und Genehmigung von Cloud-Diensten bietet. Die Implementierung von FedRAMP kann Organisationen die Gewissheit geben, dass die von ihnen genutzten Cloud-Dienste sicher sind und den Bundesvorschriften entsprechen. Darüber hinaus ermöglicht FedRAMP den Unternehmen, ihre Bemühungen auf strategischere Sicherheitsziele zu konzentrieren und ihre Sicherheitskosten zu senken.
FedRAMP bietet einen Basissatz von Sicherheitskontrollen für Cloud-Service-Anbieter (CSPs), die sie bei der Entwicklung und Bereitstellung von Cloud-Services anwenden können. Die FedRAMP-Sicherheitskontrollen basieren auf Standards wie NIST SP 800-53 und ISO 27001 und konzentrieren sich auf Bereiche wie Zugangskontrolle, Identitätsmanagement, System- und Netzwerksicherheit, Datenschutz und Reaktion auf Vorfälle.
Der FedRAMP-Autorisierungsprozess umfasst drei Hauptschritte: Bewertung, Autorisierung und kontinuierliche Überwachung. Während des Bewertungsschritts bewerten und validieren der CSP und seine externe Bewertungsorganisation (3PAO) die Sicherheitslage des CSP. Während des Autorisierungsschritts wird das Sicherheitspaket des CSP von der Federal Risk Management Authority (FedRAMP PMO) geprüft und genehmigt. Während des Schritts der kontinuierlichen Überwachung überwachen und bewerten der CSP und sein 3PAO kontinuierlich die Sicherheitslage des CSP, um sicherzustellen, dass er die FedRAMP-Sicherheitsanforderungen erfüllt.
Organisationen müssen ihre Einhaltung der FedRAMP-Anforderungen bewerten, um autorisiert zu werden. Die Bewertung umfasst sowohl eine Selbstbewertung durch den CSP als auch eine unabhängige Bewertung durch einen 3PAO. Die Selbstbewertung umfasst eine Überprüfung der Sicherheitslage, Richtlinien und Verfahren des ZDA, während die unabhängige Bewertung eine Überprüfung und einen Test der Sicherheitslage des ZDA vor Ort umfasst.
Der FedRAMP-Marktplatz ist ein Online-Portal, das Informationen über Cloud-Service-Anbieter bereitstellt, die von FedRAMP autorisiert wurden. Der Marktplatz enthält eine Liste der autorisierten CSPs, ihrer autorisierten Dienste und Kontaktinformationen. Der Marktplatz bietet auch Informationen über CSPs, die sich im Prozess befinden, FedRAMP-autorisiert zu werden.
Zusätzlich zum Standard-FedRAMP-Autorisierungsprozess ist der FedRAMP Tailored Approach für Cloud-Dienste verfügbar, die einen maßgeschneiderten Sicherheitsansatz erfordern. Der Tailored Approach wurde für Cloud-Dienste mit besonderen Sicherheitsanforderungen entwickelt und kann zusätzliche Sicherheitskontrollen und einen individuelleren Bewertungs- und Autorisierungsprozess beinhalten.
Die Kosten für die Implementierung von FedRAMP hängen vom Umfang und der Komplexität des Cloud-Dienstes ab. Im Allgemeinen können Unternehmen mit Kosten für die Bewertung, Autorisierung und laufende Überwachung ihrer Cloud-Dienste rechnen. Darüber hinaus können Unternehmen Kosten für Schulungen, die Entwicklung von Richtlinien und Verfahren sowie andere sicherheitsrelevante Aktivitäten anfallen.
Das Federal Risk and Authorization Management Program (FedRAMP) ist ein regierungsweites Programm, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet. FedRAMP wird von der General Services Administration (GSA) in Zusammenarbeit mit dem Department of Homeland Security (DHS) und dem National Institute of Standards and Technology (NIST) verwaltet.
Die FedRAMP-Anforderungen sollen sicherstellen, dass die von einem Cloud-Service-Anbieter (CSP) implementierten Sicherheitskontrollen ausreichen, um Informationen und Systeme des Bundes zu schützen. Um eine FedRAMP-Autorisierung zu erhalten, müssen sich CSPs einer unabhängigen Bewertung ihrer Sicherheitskontrollen durch Dritte unterziehen. Diese Bewertung wird anhand der in der NIST Special Publication 800-53 aufgeführten Sicherheitskontrollen durchgeführt. CSPs müssen außerdem einen Systemsicherheitsplan (SSP) entwickeln und einreichen, um ihre Sicherheitskontrollen und -verfahren zu beschreiben. Der SSP wird von einem von FedRAMP autorisierten unabhängigen Prüfer vor der Autorisierung überprüft und genehmigt.
Sobald ein CSP eine FedRAMP-Autorisierung erhalten hat, muss er ein kontinuierliches Überwachungsprogramm einführen, um sicherzustellen, dass seine Sicherheitskontrollen wirksam bleiben. Die kontinuierliche Überwachung umfasst Aktivitäten wie Sicherheitstests, Schwachstellen-Scans sowie die Protokollierung und Überwachung von Sicherheitsereignissen. CSPs müssen dem FedRAMP Program Management Office (PMO) vierteljährliche Berichte vorlegen, in denen sie ihre kontinuierlichen Überwachungsaktivitäten und alle Änderungen an ihren Sicherheitskontrollen detailliert beschreiben.