联邦风险和授权管理计划 (FedRAMP) 是一项美国政府范围内的计划，为云产品和服务的安全评估、授权和持续监控提供标准化方法。

希望向美国政府提供云服务产品 (CSO) 的云服务提供商 (CSP) 必须证明 FedRAMP 合规性。FedRAMP 使用美国国家标准与技术研究院 (NIST) 特别出版物 800 系列，并且 CSP 完成第三方评估组织 (3PAO) 的独立安全评估，以确保其遵守联邦信息安全管理法案 (FISMA)。

FedRAMP 的管理机构包括预算和管理办公室 (OMB)、美国国防部 (DoD)、NIST 和联邦首席信息官 (CIO) 委员会。

这是有关安全合规性的系列文章的一部分。

在本文中：

• 哪些类型的企业需要遵守 FedRAMP？
• FedRAMP 治理机构是什么？
• FedRAMP 合规性要求是什么？
  • FIPS 199 评估
  • 初始文件收集
  • 由 3PAO 进行评估
  • 行动计划和里程碑
  • ATO/P-ATO 和连续监控
• FedRAMP 认证有哪些类别？
  • 低影响级别
  • 中等影响级别
  • 高影响力级别

FedRAMP 的重要性

在 FedRAMP 之前，每个美国政府机构都对云服务进行独立评估，通常会导致昂贵、不一致、低效和冗余的流程。FedRAMP 提供了评估云计算服务安全性的基准标准，为所有政府机构建立标准化要求和指南。

尽管 FedRAMP 面向美国的公共部门组织，但地方和州机构也在其评估和合同中应用 FedRAMP 框架，以确保高水平的安全性。2021 年上半年，2021 年启动的授权计划 StateRAMP 正式将这些网络安全标准扩展到地方和州政府级别，包括相关提供商。

FedRAMP（和 StateRAMP）功能对于一般企业用例也很重要，通常会取代 HIPAA、PCI 和 SOC2 等行业特定合规框架提供的标准。私营部门组织可以应用此授权框架来评估云服务提供商。

拥有 FedRAMP 授权产品的云供应商致力于为其技术和数据安全维护最强有力的保障。这些供应商必须定期评估其平台，以保持 FedRAMP 的授权。

哪些类型的企业需要遵守 FedRAMP？

提供云计算服务或软件即服务 (SaaS) 应用程序并有兴趣与美国政府机构或组织合作的公司必须证明其系统符合 FedRAMP 标准。FedRAMP 要求的标准化语言包含在所有联邦合同中。

在将云解决方案出售给联邦机构之前，必须根据标准获得授权。FedRAMP 授权过程需要组织做大量工作。启动 FedRAMP 合规性工作需要完全构建和运行的云解决方案以及完全致力于 FedRAMP 流程的领导团队。

FedRAMP 治理机构是什么？

行政部门的多个实体执行 FedRAMP 治理，合作运营和管理该计划。

以下是参与 FedRAMP 治理的一些机构：

• 联合授权委员会 (JAB) — FedRAMP 治理的主要决策机构。它由来自三个部门的首席信息官 (CIO) 组成：国土安全部 (DHS)、国防部 (DOD) 和总务管理局 (GSA)。
• 管理和预算办公室 (OMB) — 发布 FedRAMP 政策备忘录的管理机构，该备忘录定义了该计划的关键功能和要求。
• CIO 委员会— 通过活动和机构之间的沟通向联邦代表和 CIO 提供有关 FedRAMP 的信息。
• 项目管理办公室 (PMO) — GSA 的一部分，负责管理和改进 FedRAMP 项目，包括日常运营。
• 国土安全部 (DHS) — 管理 FedRAMP 的持续监控，包括数据馈送、事件响应、报告、通知和协调标准。
• 美国国家标准与技术研究所 (NIST) — 提供有关联邦信息安全现代化法案 (FISMA) 合规性要求的建议。它有助于建立独立评估组织的认证标准。

FedRAMP 合规性要求是什么？

要实现 FedRAMP 合规性，云服务提供商需要进行评估、获得授权并持续监控其安全措施。以下基本步骤可以帮助组织实现 FedRAMP 合规性并保留授权。

FIPS 199 评估

NIST 创建了联邦信息处理标准 (FIPS) 199，用于根据影响级别对云数据进行分类。CSP 必须将其存储和传输的所有数据分为低影响、中影响和高影响类别。这些分类决定了组织必须实施的控制措施。

初始文件收集

FedRAMP 指定了准备、授权和监控组织安全计划所需的模板和文档。完成 FIPS-199 评估后，组织应该知道必须提交哪些文件。领导团队必须收集准备模板和文件，并根据组织处理的数据类型确定最相关的授权路径。

由 3PAO 进行评估

第三方评估组织 (3PAO) 是经过认可的独立组织，负责进行网络安全认证并创建就绪评估报告 (RAR)。此步骤对于机构授权路径是可选的，但对于 JAB 路径是必需的。

行动计划和里程碑

创建行动计划和里程碑 (POA&M) 是源自 NIST SP 800-53 的另一项 FedRAMP 要求。寻求 FedRAMP 授权的 CPS 或机构必须实施一份时间表来记录安全控制，包括组织为纠正评估期间发现的安全缺陷而采取的补救措施的计划。

ATO/P-ATO 和连续监控

CSP 必须选择其想要获得的授权类型：操作授权 (ATO) 或临时操作授权 (P-ATO)。获得授权后，组织必须制定并实施时间表，以持续监控其运营和安全计划。

FedRAMP 认证有哪些类别？

FedRAMP 可以按三个影响级别向 CSP 授予授权：高、中和低。FedRAMP 影响级别估计因破坏基于云的信息系统而造成的破坏规模。

低影响级别

FedRAMP 低影响级别设定了云安全标准。它适用于云服务产品 (CSO)，其中失去数据可用性、机密性或完整性将对联邦机构的资产和运营造成最小的损害。

具有 FedRAMP 低影响数据的系统可以具有低基线或低影响 SaaS 级别。标准低级别与处理供公众使用的联邦数据的 CSP 最相关，包括 125 个安全控制。在此级别丢失数据不会影响该机构的安全、使命、声誉或财务。

FedRAMP 的定制基准适用于具有低影响 SaaS 系统的 CSP。该基线比标准的低影响基线（仅 38）具有更少的安全控制，并且具有整合的安全文档。

定制的基线可以为低风险云服务提供更快、简化的授权流程。示例包括项目管理系统、协作平台和开源代码开发应用程序。

中等影响级别

对于为联邦政府组织和机构处理受控非机密信息 (CUI) 的云服务，FedRAMP 的中等影响级别很常见。此级别适用于处理机密政府数据而非公开信息的 CSP。

中度影响系统的妥协可能会严重损害政府机构的运作和使命。这种损害可能会影响数字资产、伤害个人或导致财务损失。中等风险数据的一个显着示例是个人身份信息 (PII)。中等级别系统的基线是 325 个安全控制。

中等影响系统必须通过自动化机制实施控制，以促进账户管理和信息系统安全。例如，客户经理应该收到有关用户转移或终止的自动文本或电子邮件通知。CSP 还必须持续监控帐户使用情况。

高影响力级别

FedRAMP 高影响级别是最关键和敏感的政府数据所需的安全标准。它适用于云环境中的非机密信息。

使用高影响力数据的行业包括执法、医疗保健和紧急服务。破坏此类数据（或存储此类数据的云系统）可能会给政府机构带来灾难性后果。

高影响力的违规行为可能会导致运营和信息系统关闭，从而造成严重的财务损失并扰乱政府调查。暴露这些数据还会威胁知识产权甚至人的生命。

FedRAMP 和 LvBug

作为 FedRAMP 授权公司，LvBug 被美国联邦政府认可为遵守云产品和服务安全评估、授权和持续监控的标准化方法。LvBug 是第一家获得此授权的众包安全公司，并且仍然是该领域的领导者。

所有 LvBug 客户（包括来自美国联邦政府部门的客户）都可以通过值得信赖、经过验证的安全合作伙伴来保护其云应用程序，从而受益于这一认可。