FedRAMP
Обзор
Федеральное правительство США стремится предоставлять свои услуги гражданам США самым инновационным, безопасным и экономичным способом. Облачные вычисления играют главную роль в повышении эффективности деятельности федерального правительства и внедрении инновационных технологий для достижения его целей на территории всей страны. Именно поэтому многие федеральные агентства используют облачные сервисы AWS для обработки, хранения и передачи правительственной информации.
Вопросы и ответы
-
Что такое FedRAMP?
Федеральная программа управления рисками и авторизацией (FedRAMP) – это программа правительства США по разработке стандартизированного подхода к оценке безопасности, выдаче разрешений и непрерывному мониторингу облачных продуктов и сервисов. К руководящим органам FedRAMP относятся Административно‑бюджетное управление (OMB), Администрация общих служб США (GSA), Министерство внутренней безопасности США (DHS), Министерство обороны США, Национальный институт стандартов и технологий (NIST) и Совет директоров по информационным технологиям при федеральном правительстве.
Поставщики облачных сервисов, предлагающие свои продукты и сервисы правительству США, должны продемонстрировать соответствие требованиям FedRAMP. FedRAMP руководствуется стандартами специального издания NIST серии 800 и требует от поставщиков облачных сервисов проходить независимое тестирование безопасности, проводимое сторонней экспертной организацией, чтобы подтвердить соответствие системы авторизации Федеральному закону США об управлении информационной безопасностью (Federal Information Security Management Act, FISMA). Подробнее см. на веб‑сайте FedRAMP.
-
Чем важна программа FedRAMP?
В рамках политики First Policy (Облако прежде всего), актуальное название которой звучит как Cloud Smart Strategy (Стратегия «умного» перехода в облако), Административно‑бюджетное управление США (АБУ) опубликовало памятку по соблюдению требованиям FedRAMP (сейчас: федеральная стратегия управления облачными вычислениями), учредив первую общеправительственную программу аттестации безопасности в соответствии с FISMA. Соответствие требованиям FedRAMP является обязательным для всех федеральных агентств США и всех облачных сервисов. Программа FedRAMP важна, так как способствует:
- стабильной и надежной безопасности облачных решений, использующих утвержденные стандарты NIST и FISMA;
- прозрачности отношений между правительством США и поставщиками облачных технологий;
- автоматизации и непрерывному мониторингу в режиме, близком к реальному времени;
- внедрению безопасных облачных решений через регулярное повторение экспертных оценок и процедур авторизации.
-
Что необходимо для соответствия требованиям FedRAMP?
Политика первоочередного использования облака требует от всех федеральных агентств применения процессов FedRAMP для оценки безопасности, авторизации и непрерывного мониторинга облачных сервисов. Бюро управления программами FedRAMP (PMO) изложило следующие условия соответствия требованиям FedRAMP.
- Поставщику облачных сервисов (CSP) было предоставлено разрешение агентства на ведение деятельности (ATO) от федерального агентства США или предварительное разрешение на ведение деятельности (P‑ATO) от объединенного совета по авторизации (JAB).
- Поставщик облачных сервисов соблюдает требования к управлению безопасностью FedRAMP, которые описаны в основных требованиях к управлению безопасностью NIST 800‑53, ред. 4 для умеренного или высокого уровня риска.
- Все системные пакеты по обеспечению безопасности должны использовать соответствующие шаблоны FedRAMP.
- Поставщик облачных сервисов должен пройти тестирование сторонней экспертной организацией.
- Полный пакет оценки безопасности должен быть помещен в безопасный репозиторий FedRAMP.
-
Какие типы соответствия требованиям FedRAMP существуют?
Для поставщиков облачных сервисов существует два способа соблюдения требований FedRAMP.
- Проверка подлинности объединенным советом по авторизации.Чтобы получить предварительное разрешение на ведение деятельности от объединенного совета по авторизации FedRAMP, поставщик облачных сервисов должен пройти проверку сторонней экспертной организации с аккредитацией FedRAMP, что подлежит контролю Офиса управления портфелем проектов (ОУП) FedRAMP, после чего такой поставщик получает предварительное разрешение на ведение деятельности от объединенного совета по авторизации. Членами совета JAB являются директора информационных служб (CIO) из Министерства обороны (МО), Министерства национальной безопасности (DHS) и Управления общих служб (GSA).
- Разрешение агентства. Чтобы получить от FedRAMP разрешение на ведение деятельности, соответствующее требованиям FedRAMP, что подлежит контролю ОУП FedRAMP, поставщик облачных сервисов должен пройти проверку, которую проводит директор информационной службы агентства или уполномоченные должностные лица.
-
Как агентство может использовать авторизацию FedRAMP, полученную AWS?
Федеральное агентство или Министерство обороны США может использовать предлагаемые облачные сервисы AWS в качестве основных блоков облачных решений. Все предлагаемые облачные сервисы AWS прошли проверку FedRAMP и DISA и разрешены к использованию на федеральном уровне и в целях Министерства обороны США на основании предварительного разрешения на ведение деятельности. Поставщики облачных сервисов не получают разрешения на ведение деятельности для предлагаемых облачных сервисов, вместо этого они получают предварительные разрешения на ведение деятельности. Предварительное разрешение на ведение деятельности дает право на использование предлагаемых облачных сервисов федеральными агентствами или Министерством обороны США. Федеральные агентства или Министерство обороны США могут использовать пакеты обеспечения безопасности AWS FedRAMP для проверки сопроводительной документации, представления сведений о коллективной ответственности и принятия собственного решения о выдаче разрешения на ведение деятельности. Если у вас есть вопросы или требуется дополнительная информация, обратитесь к персональному менеджеру службы продаж AWS.
Уполномоченный представитель агентства может воспользоваться любым пакетом обеспечения безопасности AWS, авторизованным FedRAMP, чтобы просмотреть сопутствующую документацию или представить сведения о коллективной ответственности и после анализа рисков принять собственное решение о выдаче AWS разрешения на ведение деятельности. Агентства несут ответственность за выдачу собственных разрешений на ведение деятельности в AWS, а также за общую авторизацию всех компонентов системы. Если у вас есть вопросы или требуется дополнительная информация, обратитесь к персональному менеджеру службы продаж AWS или к команде управления разрешениями на ведение деятельности в AWS.
-
Есть ли у AWS разрешение на ведение деятельности?
AWS – это поставщик облачных сервисов, который предоставляет предложения облачных сервисов. Поскольку AWS является поставщиком облачных сервисов, организация соблюдает процедуру FedRAMP для получения разрешения на использование предлагаемых облачных сервисов на федеральном уровне или в целях Министерства обороны США. Процедура FedRAMP не предусматривает выдачу поставщикам облачных сервисов разрешения на ведение деятельности. Вместо этого прохождение процедуры FedRAMP обуславливает право на получение предварительного разрешения на ведение деятельности. Предварительное разрешение на ведение деятельности дает право на использование предлагаемых облачных сервисов федеральными агентствами или Министерством обороны США. Федеральные агентства или Министерство обороны США используют предварительное разрешение на ведение деятельности и связанные с ним производные средства управления безопасностью во время прохождения процедуры в программе США по управлению рисками с целью получения собственного разрешения на ведение деятельности. Обратите внимание, что предварительное разрешение на ведение деятельности AWS не подлежит обновлению до разрешения на ведение деятельности, поскольку процесс FedRAMP не предполагает выдачу разрешения на ведение деятельности поставщикам облачных сервисов. Разрешения на ведение деятельности могут быть выданы исключительно в рамках программы США по управлению рисками федеральным агентством или уполномоченными должностными лицами Министерства обороны США. Дополнительная информация о FedRAMP доступна на веб-сайте FedRAMP.
-
Чем FedRAMP отличается от программы США по управлению рисками?
FedRAMP – это процедура, которую проходят поставщики облачных сервисов для получения разрешения на использование предлагаемых облачных услуг на федеральном уровне или в целях Министерства обороны США в качестве основных блоков облачных систем. Программа США по управлению рисками – это процедура, которую проходят федеральные агентства или Министерство обороны США, чтобы получить разрешение на развертывание своей ИТ-системы. Поставщики облачных сервисов проходят только процедуру FedRAMP, программа США по управлению рисками для них необязательна. Федеральные агентства или Министерство обороны должны выполнять процедуру FedRAMP только в случае создания облачных сервисов (например, MilCloud).
-
Поддерживает ли AWS разрешение агентства на ведение деятельности для сервисов, к которым не применимы требования FedRAMP?
Мы рекомендуем клиентам агентств использовать существующие разрешения на ведение деятельности от объединенного совета по авторизации FedRAMP и пакет авторизации для выдачи собственных разрешений на ведение деятельности.
-
Соответствует ли Amazon Web Services требованиям FedRAMP?
Да, AWS предлагает ряд систем, которые соответствуют требованиям FedRAMP, получили соответствующие разрешения, руководствуются директивами безопасности FedRAMP (на основе NIST SP 800‑53), используют требуемые шаблоны FedRAMP для подготовки пакетов обеспечения безопасности, размещаемые в защищенном репозитории FedRAMP, аттестованы уполномоченной независимой сторонней экспертной организацией и соблюдают требования FedRAMP в отношении непрерывного контроля.
- Регион AWS GovCloud (США) получил предварительное разрешение на ведение деятельности от объединенного совета по авторизации (JAB P-ATO), а также несколько разрешений агентств на ведение деятельности (A-ATO) для высокого уровня воздействия. Список сервисов AWS в регионе AWS GovCloud (США), на которые распространяется разрешения на эксплуатацию от объединенного аттестационного комитета (JAB P‑ATO) с высокими базовыми стандартами безопасности, можно найти на странице Сервисы AWS в программе соответствия требованиям.
- Регионы AWS Восток и Запад США (Северная Вирджиния, Огайо, Орегон, Северная Калифорния) получили предварительное разрешение на ведение деятельности от объединенного совета по авторизации, а также несколько разрешений агентств на ведение деятельности для умеренного уровня риска. Список сервисов AWS в регионах Восток и Запад США, на которые распространяется действие предварительного разрешения на ведение деятельности от объединенного совета по авторизации при умеренных базовых стандартах безопасности, можно найти на странице сервисов AWS в программе соответствия требованиям.
-
Повышает ли соответствие требованиям FedRAMP стоимость сервисов AWS?
Нет. Соответствие требованиям стандарта FedRAMP не повышает стоимость сервисов AWS ни в одном регионе.
-
На какие регионы AWS распространяется соответствие данным требованиям?
На данный момент выпущены два отдельных предварительных разрешения на ведение деятельности FedRAMP: первое – для региона AWS GovCloud (США), второе – для регионов AWS Восток и Запад США.
-
Есть ли в США государственные органы, которые уже используют AWS?
Да. Более двух тысяч правительственных агентств и других организаций, предоставляющих услуги в сфере интеграции систем и прочие продукты и сервисы для правительственных организаций, уже используют широкий спектр сервисов AWS. Примеры использования сервисов AWS правительственными организациями США описаны на веб-странице с информацией о достижениях клиентов AWS. Подробнее о том, как AWS соблюдает высокие требования к безопасности, предъявляемые государственными учреждениями, см. на странице AWS для государственных учреждений.
-
На какие сервисы распространяется действие соответствия требованиям FedRAMP и как его оценить?
Список сервисов AWS, на которые распространяется действие программы FedRAMP и руководства по соблюдению требований к безопасности (SRG) МО США, можно найти на странице Сервисы AWS в программе обеспечения соответствия. При нажатии на вкладку FedRAMP или SRG МО США появится список сервисов. Значок «✓» напротив сервиса означает, что он разрешен FedRAMP JAB и соответствует умеренным базовым требованиям FedRAMP (в дальнейшем – SRG МО США IL2) для регионов AWS Восток и Запад США и/или высоким базовым требованиям FedRAMP (в дальнейшем – SRG МО США IL2, IL4 и IL5) для AWS GovCloud (США). Эти сервисы опубликованы в описании сервисов для AWS на странице FedRAMP Marketplace. При наличии пометки 3PAO Assessment (Тестирование сторонней экспертной организации или Under Assessment (Проходит тестирование)) AWS не осуществляет внедрение или обслуживание средств управления безопасностью FedRAMP ввиду нахождения таких сервисов в процессе проверки. Пометки JAB Review (Проверка объединенным советом по авторизации) или DISA Review (Проверка DISA) указывает на то, что сервис прошел тестирование сторонней экспертной организации и сейчас ожидает своей очереди на прохождение проверки регулирующими органами. Для этих сервисов организация AWS обеспечила внедрение соответствующих средств управления безопасностью FedRAMP и проведение проверки с учетом среды применения на основании разрешения от объединенного совета по авторизации. Чтобы подробнее узнать об использовании этих сервисов и / или задать вопросы о других сервисах, свяжитесь с отделом AWS по продажам и развитию бизнеса.
-
Можно ли использовать другие сервисы AWS?
Да. Клиенты могут оценивать свои рабочие процессы с точки зрения целесообразности применения других сервисов AWS. Для получения подробной информации о средствах управления безопасностью и для обсуждения рисков свяжитесь с отделом продаж и развития бизнеса AWS.
-
Можно ли размещать в AWS системы с высоким уровнем риска?
Да. Клиенты могут оценить свои рабочие процессы с высоким уровнем воздействия для использования на AWS. На данный момент клиенты могут размещать нагрузки с высоким уровнем риска в регионе AWS GovCloud (США) ввиду наличия у такого региона предварительного разрешения на ведение деятельности от объединенного совета по авторизации для высокого уровня риска.
-
Как получить доступ к пакетам обеспечения безопасности AWS FedRAMP?
США Клиенты правительственных агентств и подрядчики могут запросить доступ к пакету обеспечения безопасности AWS FedRAMP через ОУП FedRAMP, заполнив форму запроса на доступ к пакету и отправив ее по адресу info@fedramp.gov.
Клиенты коммерческих организаций и партнеры могут запросить доступ к партнерскому пакету AWS FedRAMP для получения руководства по разработке на основе предложений AWS, а также с целью предоставления им помощи при создании таких сервисов AWS, которые соответствуют требованиям FedRAMP и Министерства обороны США. Чтобы получить доступ к партнерскому пакету, перейдите в раздел AWS Artifact в аккаунте AWS или отправьте запрос при помощи персонального менеджера AWS.
-
Что такое контрольный ИД FedRAMP?
ИД FedRAMP для регионов AWS Восток и Запад США: AGENCYAMAZONEW. ИД FedRAMP для региона AWS GovCloud (США): F1603047866.
-
Как осуществляется непрерывный мониторинг с авторизацией FedRAMP?
В рамках концепции деятельности FedRAMP (CONOPS) после получения авторизации безопасность поставщика облачных сервисов отслеживается в соответствии с процессами тестирования и авторизации. Чтобы каждый год получать авторизацию FedRAMP, поставщик облачных сервисов должен отслеживать свои средства управления безопасностью, регулярно оценивать их и показывать, что безопасность сервиса всегда находится на должном уровне. Федеральные службы, использующие программу непрерывного мониторинга FedRAMP, уполномоченные представители (УП) и их команды несут ответственность за пересмотр соответствия сервисов AWS. Уполномоченные представители и назначенные ими группы непрерывно и постоянно проверяют артефакты, получаемые в рамках процесса непрерывного мониторинга AWS FedRAMP, в дополнение к доказательствам применения специфических для агентства мер контроля, не входящих в меры контроля FedRAMP. Для получения дополнительной информации ознакомьтесь с программой или политикой соответствующего агентства в области безопасности.
-
Нужно ли федеральным агентствам США заключать с AWS соглашение о безопасности соединений?
Нет. Согласно Еженедельным советам и подсказкам FedRAMP, 10 августа 2016 г., соглашения о безопасности соединений не предназначены для заключения между поставщиками облачных сервисов и федеральными агентствами.
-
Что делать, если организации требуется обсудить с AWS рабочие нагрузки или архитектурные решения на AWS, подпадающие под действие FedRAMP?
Доступ к пакету безопасности FedRAMP для AWS клиенты могут получить с помощью AWS Artifact – портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.
Если у вас есть определенные вопросы об обеспечению соответствия требованиям FedRAMP и Министерства обороны США, обратитесь к персональному менеджеру AWS или отправьте форму для связи с AWS по вопросам соответствия требованиям, чтобы с вами связались наши специалисты по вопросам соответствия требованиям FedRAMP.
-
Где найти дополнительную информацию о других программах нормативно-правового соответствия, связанных с FedRAMP?
Дополнительная информация о действующих программах нормативно-правового соответствия доступна на веб-странице программ нормативно-правового соответствия AWS. Также доступна дополнительная информация о Федеральном стандарте обработки информации (FIPS) 140-2, руководстве Министерства обороны США по соблюдению требований к безопасности облачных вычислений (DoD CC SRG), Федеральном законе об управлении информационной безопасностью (FISMA) и Национальном институте по стандартизации и технологии (NIST).
-
Какова связь между FedRAMP и другими федеральными программами нормативно-правового соответствия (FISMA, DFARS, DoD SRG, NIST SP 800-171, FIPS 140-2)?
Федеральные правительственные агентства проходят проверку Управления генерального инспектора, а также внутренние оценивания на основе показателей, предоставленных Министерством национальной безопасности (МНБ). Критерии соответствия показателям, установленные Управлением генерального инспектора FISMA и директором информационных служб, описаны в специальном издании NIST SP 800 с упором на NIST SP 800-53. Чтобы эти агентства могли полагаться на безопасность поставщика облачных сервисов, существует программа нормативно-правового соответствия FedRAMP, которая основана на базовых средствах управления безопасностью NIST SP 800-53, что гарантирует соблюдения требований FISMA в облачной среде.
Программа нормативно-правового соответствия FedRAMP используется Министерством обороны США, что гарантирует соответствие уровням риска, которые описаны в руководстве Министерства обороны США по соблюдению требований к безопасности облачных вычислений (DoD CC SRG) и предусматривают соблюдения условий FIPS 140-2, применимых к определенным средствам управления шифрованием. Согласно требованиям, изложенным в приложении к руководству Министерства обороны по федеральным закупкам, подрядчики Министерства обороны, которые обрабатывают, хранят или передают контролируемую некритичную информацию, должны соблюдать определенный свод стандартов безопасности, включая требования NIST SP 800-171. NIST SP 800-171 – это требования к безопасности, рекомендуемые к соблюдению агентствами для защиты конфиденциальности контролируемой некритичной информации.