El Programa Federal de Gestión de Autorizaciones y Riesgos ( FedRAMP ) es un programa del gobierno de EE. UU. Que proporciona un enfoque estandarizado para la evaluación de la seguridad , la autorización y el monitoreo continuo de productos y servicios en la nube . [1] En 2011, la Oficina de Gestión y Presupuesto (OMB) publicó un memorando [2] que establece el Programa Federal de Autorización y Riesgo (FedRAMP) “para proporcionar un enfoque rentable y basado en el riesgo para la adopción y el uso de la nube servicios a departamentos y agencias ejecutivas ”. La Administración de Servicios Generales(GSA) estableció la Oficina de Gestión de Programas (PMO) de FedRAMP en junio de 2012. La misión de la PMO de FedRAMP es promover la adopción de servicios seguros en la nube en todo el Gobierno Federal proporcionando un enfoque estandarizado de seguridad y evaluación de riesgos. [3] Según el memorando de la OMB, [4] cualquier servicio en la nube que contenga datos federales debe estar autorizado por FedRAMP. FedRAMP prescribe los requisitos de seguridad y el proceso que los proveedores de servicios en la nube deben seguir para que el gobierno utilice su servicio.
Hay dos formas de autorizar un servicio en la nube a través de FedRAMP: una autorización provisional (P-ATO) de la Junta de Autorización Conjunta (JAB), [5] y a través de Agencias individuales. [6]
Antes de la introducción de FedRAMP, las agencias federales individuales administraban sus propias metodologías de evaluación siguiendo la guía establecida por la Ley Federal de Administración de Seguridad de la Información de 2002 . [7]
Gobernanza y leyes aplicables
FedRAMP se rige por diferentes entidades del Poder Ejecutivo que trabajan de manera colaborativa para desarrollar, administrar y operar el programa. [8] Estas entidades incluyen: La Oficina de Administración y Presupuesto (OMB): el organismo rector que emitió el memo de política de FedRAMP que define los requisitos clave y las capacidades del programa. La Junta de Autorización Conjunta (JAB): el principal órgano de gobierno y toma de decisiones de FedRAMP son los directores de información (CIO) del Departamento de Seguridad Nacional (DHS), la Administración de Servicios Generales (GSA) y el Departamento de Defensa (DOD). . El Instituto Nacional de Estándares y Tecnología (NIST): asesora a FedRAMP sobre los requisitos de cumplimiento de FISMA y ayuda a desarrollar los estándares para la acreditación de 3PAO independientes. El Departamento de Seguridad Nacional (DHS): administra la estrategia de monitoreo continuo de FedRAMP, incluidos los criterios de alimentación de datos, la estructura de informes, la coordinación de notificaciones de amenazas y la respuesta a incidentes. El Consejo Federal Chief Information Officer (CIO): difunde información de FedRAMP a los CIO federales y otros representantes a través de comunicaciones y eventos entre agencias. FedRAMP PMO: establecida dentro de GSA y responsable del desarrollo del programa FedRAMP, incluida la gestión de las operaciones diarias. Hay varias leyes, mandatos y políticas que son fundamentales para FedRAMP. FISMA , la Ley Federal de Modernización de la Seguridad de la Información, requiere que las agencias autoricen los sistemas de información que utilizan. FedRAMP es FISMA para la nube. El Memorando de Política de FedRAMP requiere que las agencias federales utilicen FedRAMP al evaluar, autorizar y monitorear continuamente los servicios en la nube para ayudar a las agencias en el proceso de autorización, así como ahorrar recursos gubernamentales y eliminar esfuerzos duplicados. [9] Las líneas de base de seguridad de FedRAMP se derivan de NIST SP 800-53 (revisado) con un conjunto de mejoras de control que pertenecen a los requisitos de seguridad únicos de la computación en la nube.
Organizaciones de evaluación de terceros
Las organizaciones de evaluación de terceros (3PAO) desempeñan un papel fundamental en el proceso de evaluación de seguridad de FedRAMP, ya que son las organizaciones de evaluación independientes que verifican las implementaciones de seguridad de los proveedores de nube y proporcionan la postura de riesgo general de un entorno de nube para una decisión de autorización de seguridad. [10] Acreditado por la Asociación Estadounidense de Acreditación de Laboratorios (A2LA), estas organizaciones de evaluación deben demostrar independencia y la competencia técnica requerida para probar implementaciones de seguridad y recopilar evidencia representativa.
Mercado de FedRAMP
FedRAMP Marketplace proporciona una base de datos clasificable y de búsqueda de ofertas de servicios en la nube (CSO) que han obtenido la designación FedRAMP. Los auditores acreditados que pueden realizar la evaluación de FedRAMP, conocidos como 3PAO, se enumeran en Marketplace. FedRAMP Marketplace es mantenido por FedRAMP Program Management Office (PMO). [11]
Ver también
Referencias
- ^ "FedRAMP.gov" . FedRAMP.gov . 2020-03-26 . Consultado el 5 de abril de 2020 .
- ^ "Nota de política" (PDF) . www.fedramp.gov . Consultado el 5 de abril de 2020 .
- ^ "FedRAMP.gov" . FedRAMP.gov . 2020-03-26 . Consultado el 5 de abril de 2020 .
- ^ "Nota de política" (PDF) . www.fedramp.gov . Consultado el 5 de abril de 2020 .
- ^ "Obtenga autorización: Junta de autorización conjunta" . FedRAMP.gov . Consultado el 5 de abril de 2020 .
- ^ "Obtenga autorización: autorización de la agencia" . FedRAMP.gov . Consultado el 5 de abril de 2020 .
- ^ "El DOD recurre a FedRAMP y la intermediación en la nube - FCW" . FCW . 2014-05-21 . Consultado el 5 de abril de 2020 .
- ^ "Gobernanza" . FedRAMP.gov . Consultado el 5 de abril de 2020 .
- ^ "Nota de política" (PDF) . www.fedramp.gov . Consultado el 5 de abril de 2020 .
- ^ "Nota de política" (PDF) . www.fedramp.gov . Consultado el 5 de abril de 2020 .
- ^ "Designaciones del mercado" (PDF) . www.fedramp.gov . Consultado el 5 de abril de 2020 .
enlaces externos
- Página web oficial
- Mercado de FedRAMP
- Memo de FedRAMP (2011)