FedRAMP

Обзор

FedRAMPLogoSmall

Федеральное правительство США стремится предоставлять свои услуги гражданам США самым инновационным, безопасным и экономичным способом. Облачные вычисления играют главную роль в повышении эффективности деятельности федерального правительства и внедрения инновационных технологий для достижения его целей на территории всей страны. Именно поэтому многие федеральные агентства используют облачные сервисы AWS для обработки, хранения и передачи правительственной информации.

  • Что такое FedRAMP?

    Федеральная программа управления рисками и авторизацией (FedRAMP) – это программа правительства США по разработке стандартизированного подхода к оценке безопасности, выдаче разрешений и непрерывному мониторингу облачных продуктов и сервисов. К руководящим органам FedRAMP относятся Административно-бюджетное управление (OMB), Администрация общих служб США (GSA), Министерство внутренней безопасности США (DHS), Министерство обороны США, Национальный институт стандартов и технологий (NIST) и Совет директоров по информационным технологиям при федеральном правительстве.

    Поставщики облачных сервисов, предлагающие свои продукты и сервисы правительству США, должны продемонстрировать соответствие требованиям FedRAMP. FedRAMP руководствуется стандартами «Специального издания NIST» серии 800 и требует от поставщиков облачных сервисов проходить независимую оценку защищенности, проводимую сторонней экспертной организацией (3PAO), чтобы подтвердить соответствие системы авторизации Федеральному закону США об управлении информационной безопасностью (FISMA). Подробнее см. на сайте FedRAMP.

  • Чем важна программа FedRAMP?

    В рамках политики первоочередного использования облака Административно-бюджетное управление США (OMB) опубликовало памятку по соответствию требованиям FedRAMP, учредив первую общеправительственную программу аттестации безопасности в соответствии с Федеральным законом США об управлении информационной безопасностью (FISMA). Соответствие требованиям FedRAMP является обязательным для всех федеральных агентств США и всех облачных сервисов. Программа FedRAMP важна, так как способствует:

    • стабильности и доверию к безопасности облачных решений, использующих утвержденные стандарты NIST и FISMA;
    • прозрачности отношений между правительством США и поставщиками облачных технологий;
    • автоматизации и постоянному контролю в режиме, близком к реальному времени;
    • внедрению безопасных облачных решений через регулярное повторение экспертных оценок и процедур авторизации.
  • Что необходимо для соответствия требованиям FedRAMP?

    Политика первоочередного использования облака требует от всех федеральных агентств применения процессов FedRAMP для оценки безопасности, авторизации и непрерывного мониторинга облачных сервисов. Бюро управления программами FedRAMP (PMO) изложило следующие условия соответствия требованиям FedRAMP.

    1. Поставщику облачных сервисов (CSP) было предоставлено разрешение агентства на ведение деятельности (ATO) от федерального агентства США или предварительное разрешение на ведение деятельности (P-ATO) от объединенного совета по авторизации (JAB).
    2. CSP отвечает требованиям к управлению безопасностью FedRAMP, которые описаны в основных требованиях к управлению безопасностью NIST 800-53, ред. 4 для умеренных или высоких уровней воздействия.
    3. Все системные пакеты по обеспечению безопасности должны использовать соответствующие шаблоны FedRAMP.
    4. CSP должен получить оценку от независимой оценивающей организации (3PAO).
    5. Полный пакет оценки безопасности должен быть помещен в безопасный репозиторий FedRAMP.
  • Какие типы соответствия требованиям FedRAMP существуют?

    Для поставщиков облачных сервисов существует два пути обеспечить соответствие требованиям FedRAMP.

    1. Авторизация JAB

    Для получения предварительного разрешения на ведение деятельности (P-ATO) от объединенного совета по авторизации FedRAMP (JAB), поставщик облачных сервисов проходит проверку Бюро по управлению программами FedRAMP (PMO), оценивается 3PAO, имеющей аккредитацию FedRAMP, и получает P-ATO от JAB. Членами совета JAB являются директора информационных служб (CIO) из Министерства обороны (МО), Министерства национальной безопасности (DHS) и Управления общих служб (GSA).

    2. Авторизация агентства

    Для получения соответствующего требованиям FedRAMP разрешения агентства на ведение деятельности (ATO) CSP проверяется директором информационной службы агентства или уполномоченным должностным лицом (лицами) для получения ATO, соответствующего требованиям FedRAMP, которое проверяется Бюро по управлению программами FedRAMP (PMO).

  • Соответствует ли Amazon Web Services требованиям FedRAMP?

    Да, платформа AWS предлагает ряд систем, которые соответствуют требованиям FedRAMP, получили соответствующие разрешения, руководствуются директивами безопасности FedRAMP (на основе NIST SP 800-53), используют требуемые шаблоны FedRAMP для подготовки пакетов обеспечения безопасности, размещаемые в защищенном репозитории FedRAMP, аттестованы уполномоченной независимой сторонней экспертной организацией (3PAO) и соблюдают требования FedRAMP в отношении постоянного контроля; соответствующие регионы перечислены ниже.

    Регион AWS GovCloud (США) получил предварительное разрешение на ведение деятельности от объединенного совета по авторизации (JAB P-ATO), а также несколько разрешений агентств на ведение деятельности (A-ATO) для высокого уровня воздействия. Список сервисов AWS в регионе AWS GovCloud (США), на которые распространяется разрешения на эксплуатацию от объединенного аттестационного комитета (JAB P-ATO) с высокими базовыми стандартами безопасности, можно найти на странице Сервисы AWS в программе соответствия требованиям.

    Регионы AWS Восток и Запад США получили предварительное разрешение на ведение деятельности от объединенного совета по авторизации (JAB P-ATO), а также несколько разрешений агентств на ведение деятельности (A-ATO) для умеренного уровня воздействия. Список сервисов AWS в регионах Восток и Запад США, на которые распространяется разрешения на эксплуатацию от объединенного аттестационного комитета (JAB P-ATO) с умеренными базовыми стандартами безопасности, можно найти на странице сервисов AWS в программе соответствия требованиям.

  • Повышает ли соответствие требованиям FedRAMP стоимость сервисов AWS?

    Нет. Соответствие требованиям стандарта FedRAMP не повышает стоимость сервисов AWS ни в одном регионе.

  • На какие регионы распространяется соответствие данным требованиям?

    На данный момент выпущены два разрешения на ведение деятельности FedRAMP: первое – для региона AWS GovCloud (США), второе – для регионов AWS Восток США/Запад США.

  • Есть ли государственные органы, которые уже используют AWS?

    Да. Больше двух тысяч правительственных агентств и других организаций, предоставляющих услуги в сфере интеграции систем и прочие продукты и услуги для правительственных организаций, уже используют широкий спектр сервисов AWS. Вы можете ознакомиться с примерами того, как AWS используется в разных правительственных агентствах США, в том числе в Государственном департаменте США, Управлении по контролю за продуктами и лекарствами США (FDA), Центрах США по контролю и профилактике заболеваний (CDC), отделе пустынных научно-технологических исследований NASA/JPL, NASA JPL и Amazon SWF, а также в экспедиции марсохода «Кьюриосити» агентства NASA/JPL. Все имеющиеся примеры использования AWS собраны в разделе Истории успеха клиентов AWS. Подробнее о том, как AWS отвечает высоким требованиям к безопасности, предъявляемым государственными учреждениями, см. на странице AWS для государственных учреждений.

  • На какие сервисы это распространяется?

    Список сервисов AWS, на которые распространяется действие программы FedRAMP и руководства по соблюдению требований к безопасности (SRG) МО США, можно найти на странице Сервисы AWS в программе обеспечения соответствия. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с отделом AWS по продажам и развитию бизнеса.

  • Можно ли использовать другие сервисы AWS?

    Да. Клиенты могут оценивать свои рабочие процессы с точки зрения целесообразности применения других сервисов AWS. Для получения подробной информации о средствах управления безопасностью и для обсуждения рисков свяжитесь с отделом AWS по продажам и развитию бизнеса.

  • Можно ли размещать в AWS системы с высокой степенью воздействия?

    Да. Клиенты могут оценить свои рабочие процессы с высоким уровнем риска для использования на платформе AWS. В настоящий момент FedRAMP применим только к системам облачных вычислений с низким или средним уровнем FISMA, но AWS уже соответствует многим требованиям средств управления высокого уровня NIST 800-53. Мы разработали пособие FISMA-High для клиентов, желающих повысить уровень приложений и сервисов с NIST Moderate до FISMA-High для поддержки критически важных рабочих процессов. Для получения подробной информации о средствах управления безопасностью и для обсуждения рисков свяжитесь с отделом AWS по продажам и развитию бизнеса.

  • Как получить доступ к пакетам обеспечения безопасности AWS FedRAMP?

    Клиенты AWS могут запросить доступ к пакетам обеспечения безопасности AWS FedRAMP через Бюро управления программами FedRAMP или через персонального менеджера по продажам AWS.

    Клиенты правительственных агентств США могут запросить доступ к пакету обеспечения безопасности AWS FedRAMP через Бюро управления программами FedRAMP, заполнив форму Package Access Request Form и отправив ее по адресу info@fedramp.gov, или через персонального менеджера по продажам AWS.

    Партнеры AWS и потенциальные клиенты могут также запросить доступ к пакету безопасности, авторизованному FedRAMP для партнеров AWS через AWS Artifact.

  • Как агентство может использовать авторизацию FedRAMP, полученную AWS?

    Представитель агентства, уполномоченный выдавать разрешения, может воспользоваться любым пакетом обеспечения безопасности AWS, авторизованным FedRAMP, чтобы просмотреть сопутствующую документацию и после анализа рисков принять собственное решение о предоставлении сервисам AWS разрешения агентства на ведение деятельности. Агентства отвечают за выдачу собственных разрешений на ведение деятельности в AWS, а также за авторизацию всех компонентов системы, на которые не распространяются такие разрешения. Если у вас остались вопросы или требуется дополнительная информация, обратитесь к персональному менеджеру по продажам AWS.

  • Как осуществляется непрерывный мониторинг с авторизацией FedRAMP?

    В рамках концепции деятельности FedRAMP (CONOPS) после получения авторизации безопасность поставщика облачных сервисов отслеживается в соответствии с процессами проверки и авторизации. Чтобы ежегодно подтверждать авторизацию FedRAMP, поставщик облачных сервисов должен отслеживать свои средства управления безопасностью, регулярно оценивать их и показывать, что безопасность сервиса всегда находится на должном уровне. Федеральные службы, использующие программу непрерывного мониторинга FedRAMP, уполномоченные представители (УП) и их команды несут ответственность за пересмотр соответствия сервисов AWS. Уполномоченные представители и назначенные ими группы непрерывно и постоянно проверяют артефакты, получаемые в рамках процесса непрерывного мониторинга AWS FedRAMP, в дополнение к доказательствам применения специфических для агентства мер контроля, не входящих в меры контроля FedRAMP. Для получения дополнительной информации ознакомьтесь с программой или политикой соответствующего агентства в области безопасности.

  • Нужно ли федеральным агентствам США заключать с AWS Соглашение о безопасности соединений (ISA)?

    Нет. Бюро управления программами (PMO) FedRAMP указывает, что соглашения ISA не предназначены для заключения между поставщиками облачных сервисов и федеральными агентствами.

  • Что делать, если организации требуется обсудить с AWS рабочие нагрузки или архитектурные решения на AWS, подпадающие под действие FedRAMP?

    Доступ к пакету безопасности FedRAMP для AWS клиенты могут получить с помощью AWS Artifact – портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

    Если после этого у вас останутся вопросы по обеспечению соответствия требованиям FedRAMP или МО США, свяжитесь с нами по адресу awscompliance@amazon.com.

compliance-contactus-icon
Есть вопросы? Свяжитесь с представителем AWS по соответствию требованиям
Ищете работу в сфере соответствия требованиям?
Подайте заявку сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следите за новостями в Twitter »