Я хочу получать информацию о FedRAMP в облаке
FedRAMP AWS

Федеральное правительство США стремится предоставить свои услуги гражданам США самым инновационным, безопасным и экономичным способом. Облачные вычисления остаются главным катализатором повышения эффективности деятельности федерального правительства и внедрения инновационных технологий для достижения его целей на территории всей страны. Именно поэтому многие федеральные агентства используют облачные сервисы AWS с оплатой по факту использования для обработки, хранения и передачи правительственной информации.

govcloud_video

Федеральная программа управления рисками и авторизацией (FedRAMP) – это программа правительства США по разработке стандартизированного подхода к оценке безопасности, выдаче разрешений и непрерывному мониторингу облачных продуктов и сервисов. К руководящим органам FedRAMP относятся Административно-бюджетное управление (OMB), Администрация общих служб США (GSA), Министерство внутренней безопасности США (DHS), Министерство обороны США, Национальный институт стандартов и технологий (NIST) и Совет директоров по информационным технологиям при федеральном правительстве.

FedRAMP руководствуется стандартами «Специального издания NIST» серии 800 и требует от поставщиков облачных сервисов проходить независимую оценку защищенности, проводимую сторонней экспертной организацией (3PAO), чтобы подтвердить соответствие системы авторизации Федеральному закону США об управлении информационной безопасностью (FISMA). Поставщики облачных технологий, предлагающие свои продукты и сервисы правительству США, должны продемонстрировать соответствие требованиям FedRAMP. Дополнительную информацию о требованиях FedRAMP см. на сайте www.FedRAMP.gov.

Платформа Amazon Web Services (AWS) может предложить следующие системы, соответствующие стандартам FedRAMP.

Регион AWS GovCloud (США) получил предварительное разрешение объединенного аттестационного комитета (JAB P-ATO) на использование с высокой степенью воздействия. Разрешение распространяется на следующие сервисы: EC2, EBS, IAM, S3 и VPC.

Регионы AWS Восток и Запад США авторизованы несколькими правительственными агентствами для использования со средней степенью воздействия. Разрешение распространяется на следующие сервисы: EC2, EBS, IAM, Redshift, S3 и VPC.

В рамках политики первоочередного использования облака Административно-бюджетное управление США (OMB) опубликовало памятку по соответствию требованиям FedRAMP, учредив первую общеправительственную программу аттестации безопасности в соответствии с Федеральным законом США об управлении информационной безопасностью (FISMA). Соответствие требованиям FedRAMP является обязательным для всех федеральных агентств США и всех облачных сервисов. Программа FedRAMP важна, так как способствует:

  • стабильности и доверию к безопасности облачных решений, использующих утвержденные стандарты NIST и FISMA;
  • прозрачности отношений между правительством США и поставщиками облачных технологий;
  • автоматизации и постоянному контролю в режиме, близком к реальному времени;
  • внедрению безопасных облачных решений через регулярное повторение экспертных оценок и процедур авторизации.

Политика первоочередного использования облака требует от всех федеральных агентств использовать процессы FedRAMP для оценки безопасности, авторизации и непрерывного мониторинга облачных сервисов. Управление программы FedRAMP определило пять требований для соответствия FedRAMP:

1. Поставщик облачных сервисов получил разрешение на ведение деятельности от федерального агентства.

2. Поставщик облачных сервисов удовлетворяет требованиям по управлению безопасностью FedRAMP, которые соответствуют основным требованиям управления безопасности NIST 800-53, ред. 4, для среднего уровня.

3. Все системные пакеты по обеспечению безопасности должны использовать шаблоны FedRAMP.

4. Поставщик облачных сервисов прошел проверку независимым аудитором.

5. Полный пакет оценки безопасности помещен в безопасный репозиторий FedRAMP.

Требования FedRAMP

Для поставщиков облачных сервисов существует три пути обеспечить соответствие требованиям FedRAMP.

1. Получение временной авторизации JAB (JAB P-ATO).

Поставщики облачных сервисов с временной авторизацией FedRAMP проверяются ОУП FedRAMP, оцениваются сторонней проверяющей организацией, аккредитованной FedRAMP, и получают P-ATO от ИТ-департаментов МВБ, МО и АОУ.

2. Авторизация агентством FedRAMP (A-ATO).

Поставщики облачных сервисов с авторизацией агентством проверяются ИТ-департаментом клиентского агентства или уполномоченными представителями для получения разрешения на ведение деятельности FedRAMP, проверенного ОУП FedRAMP.

3. Предоставление пакета сторонней проверяющей организации.

Поставщики облачных сервисов с предоставленным пакетом передают ОУП FedRAMP полный пакет оценки безопасности, проверенный сторонней проверяющей организацией (СПО), аккредитованной FedRAMP.

Соответствие облака требованиям FedRAMP

Да, платформа AWS предлагает ряд систем, которые соответствуют требованиям FedRAMP, получили соответствующие разрешения, руководствуются директивами безопасности FedRAMP (на основе NIST SP 800-53), используют требуемые шаблоны FedRAMP для подготовки пакетов обеспечения безопасности, размещаемые в защищенном репозитории FedRAMP, аттестованы уполномоченной независимой сторонней экспертной организацией (3PAO) и соблюдают требования FedRAMP в отношении постоянного контроля; соответствующие регионы перечислены ниже.

Регион AWS GovCloud (США) получил предварительное разрешение на эксплуатацию от объединенного аттестационного комитета (JAB P-ATO), а также разрешение на работу с несколькими агентствами (A-ATO) с высокой степенью воздействия. Список сервисов AWS в регионе AWS GovCloud (США), на которые распространяется разрешения на эксплуатацию от объединенного аттестационного комитета (JAB P-ATO) с высокими базовыми стандартами безопасности, можно найти на странице Сервисы AWS в программе обеспечения соответствия. Полный перечень разрешительных органов, выдавших разрешение на эксплуатацию региона AWS GovCloud (США), см. на странице FedRAMP Compliant Systems.

Регионы AWS Восток и Запад США получили разрешения от нескольких правительственных агентств для использования со средней степенью воздействия. Список сервисов AWS, на которые распространяется разрешения на эксплуатацию в регионах Восток США и Запад США, можно найти на странице Сервисы AWS в программе обеспечения соответствия. Полный перечень разрешительных органов, выдавших разрешение на эксплуатацию систем регионов AWS Восток и Запад США, см. на странице FedRAMP Compliant Systems.

Нет. Соответствие требованиям FedRAMP не повышает стоимость сервисов AWS ни в каком регионе.

На данный момент выпущены два разрешения на ведение деятельности FedRAMP: первое – для региона AWS GovCloud (США), а второе – для регионов AWS Восток США/Запад США.

Да. Многочисленные правительственные агентства и другие организации, предоставляющие сервисы в сфере интеграции систем и прочие продукты для правительственных ведомств, уже используют широкий перечень сервисов AWS.

FIPS AWS
CJIS AWS
FERPA AWS
DoD AWS
Список сервисов AWS, на которые распространяется действие программы FedRAMP и руководства по соблюдению требований к безопасности (SRG) МО США, можно найти на странице Сервисы AWS в программе обеспечения соответствия. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с отделом AWS по продажам и развитию бизнеса.

Да. Клиенты могут оценить свои рабочие процессы с точки зрения целесообразности применения других сервисов AWS. Для получения подробной информации о средствах управления безопасностью и для обсуждения рисков свяжитесь с отделом AWS по продажам и развитию бизнеса.

Да. Клиенты могут оценить свои рабочие процессы с высоким уровнем риска для использования на платформе AWS. В настоящий момент FedRAMP применим только к системам облачных вычислений с низким или средним уровнем FISMA, но AWS уже соответствует многим требованиям средств управления высокого уровня NIST 800-53. Мы разработали пособие FISMA-High для клиентов, желающих повысить уровень приложений и сервисов с NIST Moderate до FISMA-High для поддержки критически важных рабочих процессов. Для получения подробной информации о средствах управления безопасностью и для обсуждения рисков свяжитесь с отделом AWS по продажам и развитию бизнеса.

В AWS для клиентов доступен широкий спектр функций безопасности, позволяющих защитить данные в соответствии с федеральными требованиями и рекомендациями МО. Мы постоянно напоминаем своим клиентам о доступных им инструментах безопасности и регулярно выпускаем обновления существующих функциональных возможностей для обеспечения безопасности. Для получения дополнительной информации по обеспечению безопасности данных в облаке обратитесь к следующим руководствам по безопасности AWS.

Клиенты AWS могут запросить доступ к пакетам обеспечения безопасности AWS FedRAMP через отдел управления программой FedRAMP или через персонального менеджера по продажам AWS.

Клиенты правительственных агентств США могут запросить доступ к пакету обеспечения безопасности AWS FedRAMP через отдел управления программой FedRAMP, заполнив форму Package Access Request Form и отправив ее по адресу info@fedramp.gov, или через персонального менеджера по продажам AWS.

Партнеры и потенциальные клиенты AWS также могут запросить доступ к пакету обеспечения безопасности AWS Partner FedRAMP, обратившись к персональному менеджеру по продажам AWS.

Представитель агентства, уполномоченный выдавать разрешения, может воспользоваться любым пакетом обеспечения безопасности AWS, авторизованным FedRAMP, чтобы просмотреть сопутствующую документацию и после анализа рисков принять собственное решение о предоставлении сервисам AWS авторизации агентства или разрешения на эксплуатацию. Агентства отвечают за выдачу собственных разрешений на эксплуатацию сервисов AWS, а также за авторизацию всех компонентов системы, на которые не распространяются такие разрешения. Чтобы узнать подробнее о модели общей ответственности AWS, обращайтесь к персональному менеджеру по продажам AWS.

С помощью функций безопасности AWS и нашего сообщества поставщиков можно управлять созданием доступных систем и встраивать в них ваши политики управления безопасностью, конфиденциальностью и рисками.

В рамках концепции деятельности FedRAMP (CONOPS)после получения авторизации безопасность поставщик облачных сервисов отслеживается в соответствии с процессами проверки и авторизации. Чтобы каждый год получать авторизацию FedRAMP, поставщик облачных сервисов должен отслеживать свои средства управления безопасностью, регулярно оценивать их и показывать, что безопасность сервиса всегда находится на должном уровне. Федеральные службы, использующие программу непрерывного мониторинга FedRAMP, уполномоченные представители (УП) и их команды будут нести ответственность за пересмотр соответствия сервисов AWS. Уполномоченные представители и их команды будут регулярно пересматривать артефакты, составленные в процессе непрерывного мониторинга AWS FedRAMP, в дополнение к доказательствам реализации любых других средств управления, необходимых для агентства. Для получения дополнительной информации ознакомьтесь с программой или политикой вашего агентства в области безопасности.

Отдел управления программой (PMO) FedRAMP указывает, что соглашения ISA не предназначены для заключения между поставщиками облачных сервисов и федеральными агентствами. Для дополнительной информации обращайтесь на веб-сайт PMO FedRAMP.

Чтобы получить ответы на вопросы, связанные с обеспечением соответствия требованиям FedRAMP, просмотрите пакет партнера AWS по FedRAMP в AWS Artifact. Если после этого у вас останутся вопросы по обеспечению соответствия требованиям FedRAMP/МО США, свяжитесь с нами по адресу awscompliance@amazon.com. Если имеется необходимость рассмотрения и обсуждения рабочих нагрузок/архитектур на AWS, обратитесь к своему торговому представителю.

 

Свяжитесь с нами