FedRAMP

Panoramica

FedRAMPLogoSmall

Il governo federale degli Stati Uniti offre i propri servizi ai cittadini americani utilizzando tecnologie economiche, innovative e sicure. Il cloud computing svolge un ruolo fondamentale per raggiungere un livello ottimale di efficienza e innovare in modo continuo, permettendo alla pubblica amministrazione di raggiungere i propri obiettivi in tutta la nazione. Per questo molte agenzie federali impiegano i servizi cloud di AWS per elaborare, archiviare e trasmettere dati della pubblica amministrazione.

  • Che cos'è il programma FedRAMP?

    FedRAMP è l’acronimo di Federal Risk and Authorization Management Program; si tratta di un programma federale statunitense che propone un approccio standardizzato a valutazioni di sicurezza, assegnazione di autorizzazioni e monitoraggio continuo nell'ambito di servizi e prodotti cloud. Gli organi competenti per il programma FedRAMP sono l'Ufficio per la gestione e il bilancio, la U.S. General Services Administration (GSA), il Dipartimento della sicurezza interna degli Stati Uniti, il Dipartimento della Difesa degli Stati Uniti (DoD), il National Institute of Standards and Technology (NIST) e il Federal Chief Information Officers (CIO) Council.

    I provider di servizi cloud che desiderano offrire i propri prodotti e servizi all'amministrazione statunitense devono dimostrare la propria conformità al programma FedRAMP. Il programma FedRAMP applica la pubblicazione speciale serie 800 del NIST e richiede ai fornitori di servizi cloud di sottoporsi a una valutazione di sicurezza indipendente condotta da un ente valutatore di terzi per accertare che le autorizzazioni siano conformi alle norme FISMA (Federal Information Security Management Act). Per ulteriori informazioni, consulta il sito web del programma FedRAMP .

  • Perché è importante il programma FedRAMP?

    In risposta alla policy Cloud First, l'OMB (Office of Management and Budget) ha rilasciato il FedRAMP Policy Memo, un documento che istituisce il primo programma di autorizzazioni di sicurezza governativo per le norme FISMA. FedRAMP è un programma obbligatorio per tutte le agenzie federali statunitensi e tutti i servizi cloud. Il programma FedRAMP è importante perché favorisce:

    • solidità e affidabilità della sicurezza delle soluzioni cloud grazie a standard definiti da NIST e FISMA;
    • trasparenza tra governo USA e provider cloud;
    • automazione e monitoraggio quasi in tempo reale;
    • adozione di soluzioni cloud sicure mediante valutazioni e autorizzazioni.
  • Quali sono i requisiti di conformità del programma FedRAMP?

    La policy Cloud First impone a tutte le agenzie federali di applicare le procedure FedRAMP quando conducono valutazioni di sicurezza, assegnano autorizzazioni e monitorano in continuo i servizi cloud. Il Program Management Office (PMO) di FedRAMP ha delineato i seguenti requisiti per la conformità al programma FedRAMP.

    1. Il provider di servizi cloud deve aver ricevuto un'autorizzazione a operare (ATO) da un'agenzia federale statunitense oppure un'autorizzazione a operare provvisoria (P-ATO) dal Joint Authorization Board (JAB).
    2. Il provider di servizi cloud deve soddisfare i requisiti dei controlli di sicurezza del programma FedRAMP in linea con la normativa NIST 800-53, rev. 4 di livello Moderato o Elevato.
    3. Tutti i pacchetti di sicurezza di sistema devono impiegare i modelli stabiliti dal programma FedRAMP.
    4. Il provider di servizi cloud deve essere stato valutato da un ente di valutazione terzo (3PAO).
    5. Il pacchetto di valutazione di sicurezza completato deve essere pubblicato nel repository di sicurezza FedRAMP.
  • Quali categorie di conformità FedRAMP sono previste?

    I provider di servizi cloud possono ottenere la conformità al programma FedRAMP seguendo due percorsi.

    1. Autorizzazione JAB

    Per ricevere un'autorizzazione a operare provvisoria o P-ATO (Provisional Authority to Operate) dal Joint Authorization Board (JAB) del programma FedRAMP, un provider di servizi cloud viene esaminato dal PMO (Program Management Office) FedRAMP e valutato da un 3PAO accreditato FedRAMP; solo successivamente riceve un'autorizzazione P-ATO dal JAB. Il JAB è composto dai direttori informatici (CIO) di Dipartimento della Difesa (DoD), Dipartimento di Sicurezza Interna (DHS) e Amministrazione Servizi Generali (GSA).

    2. Autorizzazione da un'agenzia

    Per ricevere un'autorizzazione a operare o ATO (Authority to Operate) del programma FedRAMP, un provider di servizi cloud viene esaminato dal CIO o da funzionari delegati autorizzati di un'agenzia cliente per ottenere un’ATO conforme al programma FedRAMP verificata dal PMO FedRAMP.

  • Amazon Web Services è conforme al programma FedRAMP?

    Sì, AWS propone i seguenti sistemi conformi a FedRAMP che hanno ricevuto l'autorizzazione, hanno superato i controlli di sicurezza previsti dal programma FedRAMP (basati su NIST SP 800-53), hanno impiegato i modelli predefiniti da FedRAMP per i pacchetti di sicurezza pubblicati nel repository sicuro FedRAMP, hanno sostenuto la valutazione di un'entità di controllo di terzi indipendente accreditata e soddisfano i requisiti di monitoraggio continuo del programma FedRAMP.

    AWS GovCloud (US) ha ricevuto un'autorizzazione a operare provvisoria del Joint Authorization Board (JAB P-ATO) e autorizzazioni a operare per il livello di impatto Elevato da parte di più agenzie (A-ATO). I servizi coperti dall'autorizzazione provvisoria del Joint Authorization Board nella regione AWS GovCloud (Stati Uniti) sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS.

    Le regioni AWS Stati uniti orientali e occidentali hanno ricevuto un'autorizzazione a operare provvisoria del Joint Authorization Board (JAB P-ATO) e diverse autorizzazioni a operare di agenzie per il livello di impatto Moderato. I servizi coperti dall'autorizzazione provvisoria del Joint Authorization Board nelle regioni Stati Uniti orientali e occidentali sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS.

  • La conformità con il programma FedRAMP fa aumentare i costi dei servizi AWS?

    No, la conformità di AWS con il programma FedRAMP non causa alcun aumento dei costi in alcuna regione.

  • Quali regioni AWS sono coperte?

    AWS ha ottenuto due ATO diverse da agenzie FedRAMP, una a copertura della regione AWS GovCloud (Stati Uniti), l'altra delle regioni Stati Uniti occidentali e orientali.

  • Esistono già enti governativi negli Stati Uniti che si avvalgono di AWS?

    Sì, più di 2.000 agenzie governative, nonché altre entità che forniscono integrazione di sistemi e altri prodotti e servizi alle agenzie stesse, usano già un'ampia gamma di servizi AWS. È possibile esaminare i casi d’uso sugli enti pubblici statunitensi che usano AWS, ad esempio Dipartimento di Stato, US Food and Drug Administration (FDA), US Centers for Disease Control and Prevention (CDC), NASA/JPL's Desert Research and Training Studies, NASA JPL and Amazon SWF e NASA/JPL's Mars Curiosity Mission. Per consultare tutti i casi di uso, visita la pagina web AWS – Storie di successo dei clienti . Per ulteriori informazioni sulla conformità di AWS agli elevati standard di sicurezza a livello di amministrazione statale, consulta la pagina relativa a AwS per enti pubblici.

  • Quali servizi sono coperti?

    I servizi AWS coperti nell'ambito della SRG del dipartimento della difesa statunitense e del programma FedRAMP sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se sei interessato ad altri servizi, contatta l'ufficio commerciale e di sviluppo aziendale di AWS.

  • È possibile usare altri servizi AWS?

    Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con altri servizi AWS.  Contatta l' ufficio commerciale e di sviluppo aziendale per avviare una discussione dettagliata dei controlli di sicurezza e considerazioni di accettabilità dei rischi.

  • È possibile utilizzare in AWS anche sistemi con livello di impatto Elevato?

    Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con livello di impatto Elevato secondo la norma FISMA con altri servizi AWS. Al momento, il programma FedRAMP è applicato solo ai sistemi di cloud computing categorizzati ai livelli FISMA Basso e Moderato, ma AWS è già conforme a molti dei controlli di livello Elevato previsti dalla norma NIST 800-53; inoltre ha già sviluppato la cartella di lavoro AWS FISMA-Elevato per i clienti che desiderano espandersi sulla base dello standard NIST Moderato e creare applicazioni e servizi conformi al livello FISMA-Elevato a sostegno dei propri carichi di lavoro critici. Contatta l'ufficio commerciale e di sviluppo aziendale per avviare una discussione dettagliata dei controlli di sicurezza e considerazioni di accettabilità dei rischi.

  • Dove si trovano i pacchetti di sicurezza FedRAMP di AWS?

    I clienti di AWS possono richiedere l'accesso ai pacchetti di sicurezza FedRAMP di AWS tramite il FedRAMP PMO o l'account manager commerciale di AWS.

    Le agenzie governative statunitensi possono richiede l'accesso al pacchetto di sicurezza FedRAMP di AWS tramite il FedRAMP PMO compilando un modulo di richiesta di accesso al pacchetto e inviandolo all'indirizzo info@fedramp.gov, oppure contattando l'account manager commerciale di AWS.

    I partner di AWS e i clienti potenziali possono anche richiedere l'accesso al pacchetto di sicurezza FedRAMP di AWS per i partner tramite AWS Artifact.

  • In che modo le agenzie possono usare le autorizzazioni FedRAMP di AWS?

    Un funzionario autorizzato di un'agenzia può impiegare uno dei pacchetti di sicurezza FedRAMP di AWS ed esaminarne la documentazione per decidere in base ai rischi di assegnare un'autorizzazione a operare (ATO) ad AWS. Le agenzie sono responsabili del rilascio delle autorizzazioni a operare in AWS e in generale per le autorizzazioni dei componenti dei loro sistemi non coperti dall'autorizzazione a operare di AWS. Per inoltrare domande o richiedere ulteriori informazioni, contatta l'account manager commerciale di AWS.

  • In che modo viene gestito il monitoraggio continuo nelle autorizzazioni FedRAMP?

    All'interno del documento Concept of Operations (CONOPS) del programma FedRAMP, quando un'autorizzazione è stata assegnata, il livello di protezione di un provider di servizi cloud viene monitorato secondo il processo di valutazione e autorizzazione. Per ottenere una nuova autorizzazione di una ATO FedRAMP da un anno all'altro, i provider di servizi cloud devono monitorare i propri controlli di sicurezza, effettuarne delle valutazioni periodiche e dimostrare che la sicurezza della loro offerta di servizi mantiene sempre un livello accettabile. La valutazione della continuità della conformità di AWS è responsabilità delle agenzie federali che si avvalgono del programma di monitoraggio continuo FedRAMP, nonché dei funzionari autorizzati e relativi team. I funzionari autorizzati e i relativi team esaminano gli artefatti forniti tramite il processo di monitoraggio continuo FedRAMP di AWS, oltre alle prove di implementazione di controlli specifici della singola agenzia che fanno parte dei requisiti esterni ai controlli FedRAMP, in modo continuo. Per ulteriori informazioni, consulta la policy o il programma di sicurezza dei sistemi informatici della tua agenzia.

  • Le agenzie federali USA necessitano di un ISA (Interconnection Security Agreement) con AWS?

    No. Il PMO FedRAMP stabilisce che non è necessario stipulare ISA tra provider di servizi cloud e agenzia federale.

  • In che modo è possibile discutere con AWS di carichi di lavoro architetture AWS specifici per il programma FedRAMP?

    Il pacchetto AWS FedRAMP Security è disponibile ai clienti con l’uso di AWS Artifact, un portale self-service per l’accesso on demand ai report di conformità AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.

    Per domande specifiche di follow-uprelative alla conformità FedRAMP o DoD, contatta l’Account Manager AWS o invia il modulo di contatto Conformità AWS per collegarti al tuo account team.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »