FedRAMP

Panoramica

FedRAMPLogoSmall

Il governo federale degli Stati Uniti offre i propri servizi ai cittadini americani utilizzando tecnologie efficienti, innovative e sicure. Il cloud computing ha un ruolo fondamentale per raggiungere un livello ottimale di efficienza e innovare in modo continuo, e permette alla pubblica amministrazione di raggiungere i propri obiettivi in tutta la nazione. Per questo molte agenzie federali impiegano i servizi cloud di AWS per elaborare, immagazzinare e trasmettere informazioni relative al governo federale.

  • Cos'è il programma FedRAMP?

    FedRAMP sta per Federal Risk and Authorization Management Program; si tratta di un programma federale per la gestione di rischio e autorizzazioni applicato a livello di pubblica amministrazione che fornisce un approccio standardizzato a valutazioni di sicurezza, assegnazione di autorizzazioni e monitoraggio continuo nell'ambito di servizi e prodotti cloud. Gli organi competenti per il programma FedRAMP sono l'Ufficio per la gestione e il bilancio, la U.S. General Services Administration (GSA), il Dipartimento della sicurezza interna degli Stati Uniti, il Dipartimento della Difesa degli Stati Uniti (DoD), il National Institute of Standards and Technology (NIST) e il Federal Chief Information Officers (CIO) Council.

    I provider di servizi cloud che desiderano offrire i propri prodotti e servizi all'amministrazione statunitense devono dimostrare la propria conformità al programma FedRAMP. Il programma FedRAMP applica la pubblicazione speciale 800 del NIST e richiede ai fornitori di servizi cloud di sottoporsi a una valutazione di sicurezza indipendente condotta da un ente valutatore di terze parti per accertare che le autorizzazioni siano conformi alle norme FISMA (Federal Information Security Management Act). Per ulteriori informazioni, consulta il sito Web del programma FedRAMP.

  • Perché è importante il programma FedRAMP?

    In risposta alla policy Cloud First, l'OMB (Office of Management and Budget) ha rilasciato il FedRAMP Policy Memo, un documento che istituisce il primo programma di autorizzazioni di sicurezza governativo per le norme FISMA. FedRAMP è un programma obbligatorio per tutte le agenzie federali statunitensi e tutti i servizi cloud. Il programma FedRAMP è importante perché favorisce:

    • Solidità e affidabilità della sicurezza delle soluzioni cloud grazie a standard definiti da NIST e FISMA
    • Trasparenza tra governo USA e fornitori cloud
    • Automazione e monitoraggio quasi in tempo reale
    • Adozione di soluzioni cloud sicure mediante valutazioni e autorizzazioni
  • Quali sono i requisiti di conformità del programma FedRAMP?

    La policy Cloud First impone a tutte le agenzie federali di applicare le procedure FedRAMP quando conducono valutazioni del rischio, assegnano autorizzazioni e monitorano i servizi cloud. Il Program Management Office (PMO) di FedRAMP ha delineato i seguenti requisiti per la conformità al programma FedRAMP:

    1. Il provider di servizi cloud deve aver ricevuto un'autorizzazione operativa (ATO) da un'agenzia federale statunitense oppure un'autorizzazione operative provvisoria (P-ATO) dal Joint Authorization Board (JAB).
    2. Il provider di servizi cloud deve soddisfare i requisiti dei controlli di sicurezza del programma FedRAMP in linea con la normativa NIST 800-53, Rev. 4 di livello Moderate o High.
    3. Tutti i pacchetti dei sistemi di sicurezza devono impiegare i modelli stabiliti dal programma FedRAMP.
    4. Il provider di servizi cloud deve essere stato valutato da un ente di valutazione di terze parti.
    5. Il pacchetto di valutazione di sicurezza completato deve essere pubblicato nel repository di sicurezza FedRAMP.
  • Quali categorie di conformità FedRAMP sono previste?

    I CSP possono ottenere la conformità al programma FedRAMP seguendo due percorsi:

    1. Un'autorizzazione JAB

    Per ricevere un'autorizzazione operativa provvisoria o P-ATO (Provisional Authority to Operate) dal Joint Authorization Board (JAB) del programma FedRAMP, un fornitore di servizi cloud viene esaminato dal PMO (Program Management Office) FedRAMP e valutato da un ente di valutazione di terze parti accreditato FedRAMP; solo successivamente riceve un'autorizzazione P-ATO dal JAB. Il JAB è composto dai direttori informatici di Dipartimento della Difesa, Dipartimento di Sicurezza Interna e General Services Administration.

    2. Un'autorizzazione da un'agenzia

    Per ricevere un'autorizzazione operativa o ATO (Authority to Operate) del programma FedRAMP, un fornitore di servizi cloud viene valutato esaminato dal CIO di un'agenzia o da funzionari delegati autorizzati per ottenere ATO conformi al programma FedRAMP verificate dal PMO FedRAMP.

  • Amazon Web Services è conforme al programma FedRAMP?

    Sì, sono disponibili alcuni sistemi che hanno ricevuto l'autorizzazione; AWS ha soddisfatto i controlli di sicurezza previsti dal programma FedRAMP (basati su NIST SP 800-53), ha impiegato modelli predefiniti per i pacchetti di sicurezza pubblicati nel repository FedRAMP, ha sostenuto la valutazione di un'entità di controllo indipendente accreditata e soddisfa i requisiti di monitoraggio continuo del programma FedRAMP. I sistemi conformi sono i seguenti:

    AWS GovCloud (US) ha ricevuto un'autorizzazione provvisoria del Joint Authorization Board (JAB P-ATO) e diverse autorizzazioni operative per il livello di impatto High. I servizi coperti dall'autorizzazione provvisoria del Joint Authorization Board nella regione AWS GovCloud (Stati Uniti) sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS.

    Le regioni Stati uniti orientali e occidentali hanno ricevuto un'autorizzazione provvisoria del Joint Authorization Board (JAB P-ATO) e diverse autorizzazioni operative per il livello di impatto Moderate. I servizi coperti dall'autorizzazione provvisoria del Joint Authorization Board nelle regioni Stati Uniti orientali e occidentali sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS.

  • La conformità con il programma FedRAMP farà aumentare i costi dei servizi AWS?

    No, la conformità di AWS con il programma FedRAMP non provocherà alcun aumento dei costi in alcuna regione.

  • Quali regioni AWS sono coperte?

    AWS ha ottenuto due Agency ATO FedRAMP separate, una a copertura della regione AWS GovCloud (Stati Uniti), l'altra delle regioni Stati Uniti occidentali e orientali.

  • Sono già disponibili enti governativi negli Stati Uniti che si avvalgono di AWS?

    Sì, più di 2.000 agenzie governative, così come altre entità che forniscono integrazione di sistemi e altri prodotti e servizi alle agenzie stesse, usano già un'ampia gamma di servizi AWS. È possibile visionare i casi d'uso sugli enti pubblici statunitensi che usano AWS, ad esempio il Dipartimento di Stato, la Food and Drug Administration (FDA), il Centers for Disease Control and Prevention (CDC), NASA/JPL's Desert Research and Training Studies, NASA/JPL e Amazon SWF e NASA/JPL: la missione Curiosity su Marte. Per consultare tutti i casi di studio, visita la pagina AWS – Storie di successo dei clienti. Per ulteriori informazioni su come AWS soddisfa gli elevati standard di sicurezza a livello di amministrazione statale, consulta la pagina relativa agli enti pubblici.

  • Quali servizi sono coperti?

    I servizi AWS coperti nell'ambito della SRG del dipartimento della difesa statunitense e del programma FedRAMP sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se sei interessato ad altri servizi, contatta l'ufficio commerciale e di sviluppo aziendale di AWS.

  • È possibile usare altri servizi AWS?

    Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con altri servizi AWS. Contatta l'ufficio commerciale e di sviluppo aziendale per avviare una discussione su controlli di sicurezza e accettabilità dei rischi.

  • È possibile utilizzare in AWS anche sistemi con livello di impatto High?

    Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con livello di impatto High secondo la norma FISMA con altri servizi AWS. Al momento, il programma FedRAMP è applicato ai sistemi di cloud computing categorizzati come Low e Moderate, ma AWS è già conforme a molti dei controlli di alto livello previsti dalla norma NIST 800-53; inoltre ha già sviluppato la cartella di lavoro AWS FISMA-High per i clienti che desiderano espandersi secondo lo standard NIST Moderate e creare applicazioni e servizi conformi al livello FISMA-High per i propri carichi di lavoro critici. Contatta l'ufficio commerciale e di sviluppo aziendale per avviare una discussione su controlli di sicurezza e accettabilità dei rischi.

  • Dove si trovano i pacchetti di sicurezza FedRAMP di AWS?

    I clienti di AWS possono richiedere l'accesso ai pacchetti di sicurezza FedRAMP di AWS tramite il FedRAMP PMO o all'account manager delle vendite di AWS.

    Le agenzie governative statunitensi possono richiede l'accesso al pacchetto di sicurezza FedRAMP di AWS tramite il FedRAMP PMO compilando un modulo di richiesta di accesso al pacchetto e inviandolo all'indirizzo info@fedramp.gov, oppure contattando l'account manager delle vendite di AWS.

    I partner di AWS e i clienti potenziali possono anche richiedere l'accesso al pacchetto di sicurezza FedRAMP di AWS per i partner tramite AWS Artifact.

  • In che modo le agenzie possono usare le autorizzazioni FedRAMP di AWS?

    Un funzionario autorizzato di un'agenzia può impiegare uno dei pacchetti di sicurezza FedRAMP di AWS ed esaminarne la documentazione per decidere in base ai rischi di assegnare un'autorizzazione operativa (ATO) ad AWS. Le agenzie sono responsabili per il rilascio delle autorizzazioni operative in AWS e in generale per le autorizzazioni dei componenti dei loro sistemi non coperte dall'autorizzazione operativa di AWS. Per inoltrare domande o richiedere ulteriori informazioni, contatta l'account manager delle vendite di AWS.

  • In che modo viene gestito il monitoraggio continuo nelle autorizzazioni FedRAMP?

    All'interno del documento Concept of Operations (CONOPS) del programma FedRAMP, quando un'autorizzazione è stata assegnata, il livello di protezione di un CSP viene monitorato secondo il processo di valutazione e autorizzazione. Per ottenere una nuova autorizzazione di una ATO FedRAMP da un anno all'altro, i CSP devono monitorare i propri controlli di sicurezza, effettuarne delle valutazioni periodiche e dimostrare che la sicurezza della loro offerta di servizi mantiene sempre un livello accettabile. La valutazione della continuità della conformità è responsabilità delle agenzie federali che si avvalgono del programma di monitoraggio continuo FedRAMP, nonché dei funzionari autorizzati e relativi team. I funzionari autorizzati e i relativi team esamineranno gli artefatti forniti tramite il processo di monitoraggio continuo FedRAMP di AWS, oltre alle prove di implementazione di controlli specifici della singola agenzia che fanno parte dei requisiti esterni ai controlli FedRAMP, in modo continuo. Per ulteriori informazioni, consulta la policy o il programma di sicurezza dei sistemi informatici della tua agenzia.

  • Le agenzie federali USA necessitano di un ISA (Interconnection Security Agreement) con AWS?

    No. Il FedRAMP stabilisce che non è necessario stringere ISA tra fornitore di servizi cloud e agenzia federale.

  • In che modo è possibile discutere con AWS di carichi di lavoro in AWS o architetture specifici per il programma FedRAMP?

    In AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità di AWS è disponibile il pacchetto di sicurezza FedRAMP di AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.

    In caso di ulteriori domande sulla conformità ai programmi FedRAMP o DoD, scrivi all'indirizzo awscompliance@amazon.com.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »