Pesquisa de site

Entendendo o FedRAMP: o que as agências federais precisam saber

FedRAMP refere-se ao Programa Federal de Gerenciamento de Risco e Autorização, um programa criado pelo governo dos EUA para facilitar a conexão entre suas agências federais e provedores de serviços em nuvem.

A Administração de Serviços Gerais (GSA) estabeleceu o Escritório de Gerenciamento de Programas do FedRAMP (FedRAMP PMO) para ajudar a atingir as seguintes metas:

  • Ajude os provedores de serviços em nuvem a oferecer seus serviços ao governo federal.
  • Conecte provedores de serviços de nuvem com organizações de avaliação de terceiros (3PAOs).
  • Permita que as agências governamentais façam mais uso de soluções de nuvem seguras.
  • Melhore a forma como os governos protegem e autorizam tecnologias de computação em nuvem, incluindo o uso da criptografia FIPS (Federal Information Processing Standard).
  • Desenvolver parcerias com as partes interessadas do FedRAMP.

Esta postagem examinará os benefícios do uso do FedRAMP e fornecerá uma visão geral do sistema e seus requisitos para ofertas de serviços em nuvem (CSOs).

Benefícios do FedRAMP

O governo introduziu o FedRAMP como uma interface entre agências federais e produtos em nuvem cada vez mais usados que devem ser protegidos com um padrão suficiente. O FedRAMP ajuda agências federais e ofertas de serviços em nuvem (CSOs) a se conectarem, ao mesmo tempo em que fornece padronização.

Por meio do FedRAMP, as agências federais podem reutilizar a autenticação. Uma vez autenticado, um serviço em nuvem pode ser usado por várias agências, o que é mais eficiente e agiliza os processos para todas as agências federais.

As agências federais também podem se beneficiar do seguinte ao usar o FedRAMP:

  • Reduza as inconsistências
  • Aumente a eficiência, especialmente evitando a duplicação de esforços
  • Facilitar a inovação e o desenvolvimento de tecnologias de informação mais seguras
  • Garantir o uso de uma estrutura de segurança clara, padronizada e comum que promova o uso de serviços de nuvem seguros
  • Ofereça um sistema padronizado para avaliação de risco em conexão com produtos em nuvem

O processo de autorização do FedRAMP

Por meio do FedRAMP, o governo federal visa promover o uso mais amplo e eficiente das tecnologias modernas de nuvem. No entanto, isso não pode ser alcançado sem os níveis necessários de segurança e garantias de que as OSCs atenderam e continuam a atender a esses padrões.

Portanto, a ênfase do FedRAMP está na segurança e na proteção das informações. Ele usa um sistema baseado em risco para avaliar e aprovar potenciais parceiros para o governo federal.

Os serviços de nuvem devem atender aos requisitos de segurança padrão de acordo com o seguinte:

  • A Lei Federal de Modernização da Segurança da Informação (FISMA) exige que as agências federais protejam os dados federais.
  • A Circular A-130 do Escritório de Administração e Orçamento (OMB) especifica que a implementação do FISMA deve seguir os padrões do Instituto Nacional de Padrões e Tecnologia (NIST).
  • Política do FedRAMP — Os requisitos do FedRAMP baseiam-se nos padrões e diretrizes do NIST para padronizar o que as agências federais exigem dos serviços em nuvem e fornecer pacotes de avaliação e autorização de conformidade.

Existem dois caminhos principais para a autorização - o Joint Authorization Board (JAB) e o processo de agência individual. Embora as OSCs possam se envolver com uma agência federal individual a qualquer momento, buscar autorização do Joint Authorization Board (JAB) prioriza a autorização por meio do sistema FedRAMP.

Uma vez autorizado, o FedRAMP armazena os detalhes de segurança do CSO, independentemente do caminho usado. Como este post se preocupa em explorar o FedRAMP, ele examinará o caminho de autorização do JAB, que usa o FedRAMP com mais intensidade.

O caminho de autorização JAB

O JAB inclui CIOs (Chief Information Officers) da Administração de Serviços Gerais (GSA), do Departamento de Segurança Interna (DHS) e do Departamento de Defesa (DoD). O principal órgão de governo do FedRAMP realiza o monitoramento contínuo necessário para que as OSCs autorizadas permaneçam como parte do programa FedRAMP.

A autorização da agência FedRAMP ocorre em três estágios:

  • Preparação
  • Autorização
  • Monitoramento contínuo

Etapa 1 - Preparação

Durante a fase de preparação, espera-se que as OSCs façam os ajustes técnicos e processuais relevantes necessários para se tornarem compatíveis com o FedRAMP.

Nesta fase, vários produtos de segurança são necessários. O CSO pode montá-los por conta própria ou pode contar com a ajuda de uma organização de avaliação terceirizada (3PAOs). Em qualquer caso, será necessário um 3PAO para auditar o CSO e atestar que ele atende aos requisitos do programa FedRAMP.

O JAB avalia as OSCs por meio do sistema FedRAMP Connect. Dessa forma, prioriza 12 OSCs por ano usando os Critérios de Priorização JAB. O JAB então seleciona OSCs em momentos específicos durante o ano.

As OSCs devem atender aos critérios de priorização do JAB para usar esse serviço, preenchendo um caso de negócios do FedRAMP (uma planilha em PDF e Excel) e enviando-o aos info@fedramp.gov para provar a necessidade de uma autorização de segurança acelerada. Principalmente, isso envolve provar que já existe uma ampla demanda de agências federais para o CSO.

Em seguida, é necessária uma Avaliação de Prontidão. Embora isso seja opcional se um CSO trabalhar diretamente com uma agência, é obrigatório para aqueles que usam o processo de autorização JAB.

A Avaliação de Prontidão inclui:

  • Desenvolvimento do Relatório de Avaliação de Prontidão (RAR)
  • Uma revisão do RAR
  • Correção, se necessário

Quando o CSO é considerado pronto para o FedRAMP, ele pode passar por uma avaliação de segurança completa. Esta avaliação envolve:

  • Finalizando o Plano de Segurança do Sistema (SSP) e conectando-se a um 3PAO aprovado
  • Desenvolvimento de um Plano de Avaliação de Segurança (SAP) pelo 3PAO, uma avaliação de segurança completa e a produção de um Relatório de Avaliação de Segurança (SAR)
  • Desenvolvimento de um Plano de Ação e Marcos (POA&M) pelo CSP, que se destina a monitorar e gerenciar riscos de segurança com base no SAR
  • Entregas confirmando um mês de monitoramento contínuo

Estas quatro categorias de informações devem ser apresentadas em simultâneo utilizando os modelos fornecidos no fedramp.gov.

Quanto tempo leva a preparação depende da postura de infraestrutura e segurança do CSO em relação aos padrões do governo. Após um mês inteiro de monitoramento contínuo, o processo levará pelo menos duas semanas para avançar para a próxima etapa, que é a autorização.

Etapa 2 - Autorização

Uma vez inicializada, essa parte do caminho de autorização JAB leva cerca de três meses para ser concluída. Durante esse tempo, o JAB executa uma revisão do pacote de segurança, uma análise de risco e determina quais riscos aceitar.

A revisão da Avaliação de Prontidão, a correção e a revisão final devem levar cerca de quatro semanas. Tendo passado com sucesso por essa avaliação de segurança, o CSO pode receber uma Autoridade Provisória para Operar (P-ATO) e uma Designação de FedRAMP Marketplace.

Qualquer que seja a rota seguida, seja direta ou por meio de um JAB, os pacotes de segurança são armazenados pelo FedRAMP para revisão, análise de risco e reutilização.

Etapa 3 - Monitoramento Contínuo

>

Isso é indiscutivelmente pós-autorização, mas não deixa de ser uma parte crítica do processo de autorização de segurança das OSCs que buscam contratos com o governo dos EUA.

Todas as OSCs que alcançaram a conformidade com o FedRAMP devem se submeter ao seguinte:

  • Avaliações anuais
  • Verificações mensais de vulnerabilidades

Além disso, seus resultados devem incluir:

  • Relatório de incidentes
  • Fazendo solicitações de desvio e mudança significativa

Em última análise, as agências individuais são responsáveis pela aprovação final em relação às OSCs. No entanto, o JAB facilita o monitoramento contínuo e ajuda as agências federais a tomar essas decisões.

Durante todo o processo de monitoramento contínuo, o JAB mantém a responsabilidade pelo seguinte:

  • Revisar regularmente o monitoramento contínuo e os artefatos de segurança
  • Suspender ou revogar o P-ATO de um CSO, de acordo com os critérios de conformidade com o FedRAMP
  • Autorizar ou negar o desvio de um CSO e solicitações de mudança significativa
  • Garantir a transmissão imediata de resultados de monitoramento contínuo para agências de alavancagem

Níveis de autorização de agência do FedRAMP

Obter a autorização JAB não é o fim do jogo para a certificação do FedRAMP. Monitoramento contínuo significa manter constantemente os níveis alcançados durante a fase de preparação e quaisquer atividades corretivas.

Além disso, existem três níveis de autorização de segurança. A categoria em que uma OSC se enquadra determina quais agências federais poderiam fazer parceria com ela.

Para categorizar as OSCs, a JAB considera três objetivos comuns e fundamentais de segurança cibernética: Confidencialidade, Integridade e Disponibilidade (CIA).

  • Confidencialidade — O acesso aos sistemas de informação deve incluir protocolos de proteção de dados e privacidade.
  • Integridade — As informações armazenadas devem ser protegidas contra destruição ou modificação sem autorização.
  • Disponibilidade — As informações armazenadas pelo CSO devem estar prontamente disponíveis.

Tendo em vista essas três considerações e usando controles de segurança derivados do NIST SP 800-53 do National Institute of Standards and Technology, as OSCs podem se encontrar em um dos três níveis de impacto de acordo com suas posturas de segurança:

  • Baixo impacto
  • Impacto moderado
  • Alto impacto

Baixo nível de impacto

Esta é a categoria de OSCs adequadas para processar ou armazenar dados de baixo impacto. O baixo impacto aqui significa que comprometer a confidencialidade, integridade ou disponibilidade teria efeitos negativos limitados na agência federal.

De acordo com o FedRAMP, os dados de baixo impacto têm duas linhas de base:

Linha de base LI-SaaS

Isso se refere a aplicativos Saas (Software as a Service) de baixo impacto que armazenam apenas informações de identificação pessoal (PII) para fins de login. Da mesma forma, um CSO requer menos controles de segurança para alcançar e manter esse nível de credenciamento do FedRAMP.

Linha de base baixa

A categorização de baixo impacto de linha de base requer mais controles de segurança NIST 800-53 do que a linha de base Li-Saas e, no entanto, requer testes e verificação, mas menos são necessários do que para CSOs de impacto moderado ou alto.

Nível de impacto moderado

A maioria dos aplicativos CSP que obtêm uma certificação do FedRAMP está na categoria de impacto moderado. Isso é para OSCs nas quais a perda da CIA causaria efeitos negativos significativos para uma agência federal em termos de seu pessoal, seus ativos e suas operações.

Alto nível de impacto

A categoria de alto nível de impacto geralmente é reservada para OSCs que trabalham com sistemas críticos, como finanças, saúde, aplicação da lei e serviços de emergência. A perda de CIA para tais serviços pode levar a efeitos prejudiciais graves ou mesmo catastróficos.