Cloud-Lösungen sind für fast jede Organisation – einschließlich Regierungsbehörden – unverzichtbar geworden. Doch die weitverbreitete Einführung von Cloud-Service-Providern bringt die zusätzliche Herausforderung mit sich, sicherzustellen, dass Cloud-Technologien sicher sind.

StateRAMP soll staatlichen und lokalen Regierungen sowie öffentlichen Institutionen helfen, mit CSPs zusammenzuarbeiten, die starke Informationssicherheits- und Datenschutzpraktiken implementiert haben. Im Folgenden erklären wir die Kernkomponenten von StateRAMP, wie es im Vergleich zu FedRAMP steht, und die StateRAMP-Überprüfungsprozesse. Sie finden auch eine StateRAMP-Konformitätscheckliste und Antworten auf häufig gestellte Fragen.

Was ist StateRAMP?

StateRAMP ist eine gemeinnützige Mitgliedsorganisation. Ihr Ziel ist es, staatlichen und lokalen Regierungen zu helfen, einen konsistenten, robusten Cybersicherheitsstandard für Cloud-Service-Provider zu schaffen. Dienstanbieter müssen sich bewerben, um in die StateRAMP Autorisierte Produktliste aufgenommen zu werden, was eine Prüfung durch eine Dritte Bewertungsorganisation (3PAO) beinhaltet.

Während StateRAMP nicht mit der US-Regierung verbunden oder von ihr unterstützt wird, verwendet es das National Institute of Standards and Technology (NIST) 800-53 Rahmenwerk zur Bewertung von Anbietern und ihren Cybersicherheitspraktiken.

Was ist NIST 800-53?

Die National Institute of Standards and Technology (NIST) Special Publication 800-53 ist ein Sicherheitskompliancestandard, der von der US-Regierung erstellt wurde. Er hilft Organisationen aller Art, ihre Informationssicherheitssysteme richtig zu gestalten und zu verwalten und die Anforderungen des Federal Information Security Modernization Act (FISMA) von 2014 zu erfüllen.

NIST 800-53 ist für föderale Informationssysteme, Organisationen und Regierungsbehörden obligatorisch. Jede Organisation, die mit der US-Regierung arbeitet oder deren Daten verwaltet, muss NIST 800-53 einhalten, um die Beziehung aufrechtzuerhalten.

NIST 800-53 wird als Goldstandard für die Sicherheit föderaler Daten betrachtet und ist so konzipiert, dass er allgemein und für föderale Behörden, einschließlich dem Arbeitsministerium, anwendbar ist. Sowohl FedRAMP als auch StateRAMP sind Ableitungen des NIST 800-53 Rahmenwerks.

Die Überarbeitung 5.1 von NIST 800-53 wurde im Dezember 2020 veröffentlicht. Das Board of Directors von StateRAMP genehmigte den Übergang zu Rev 5 im Mai 2023 und StateRAMP arbeitet derzeit daran, die Änderungen zu integrieren. Alle aktualisierten Vorlagen werden bis Januar 2024 auf der StateRAMP-Website veröffentlicht, und die Anbieter müssen bis Oktober 2024 konform sein.

StateRAMP vs FedRAMP

StateRAMP und FedRAMP sind in vielerlei Hinsicht ähnlich. Beide sollen Regierungen dabei helfen, grundlegende Cybersicherheitsstandards für Cloud-Dienstanbieter festzulegen. Beide verwenden die NIST 800-53-Anforderungen als Bewertungskriterien sowie die NIST-Auswirkungsstufen (Niedrig, Mittel, Hoch) zur Bewertung von Kontrollen. Und beide erfordern kontinuierliche Überwachung zur Aufrechterhaltung der Konformität.

StateRAMP und FedRAMP unterscheiden sich jedoch in einigen wichtigen Punkten.

Wie ihre Namen schon andeuten, ist StateRAMP für staatliche Stellen, lokale Regierungen und Hochschulen konzipiert. Die StateRAMP-Anforderungen können zwischen verschiedenen Staats- und Kommunalverwaltungen variieren, da die individuellen Bedürfnisse jeder Gerichtsbarkeit unterschiedlich sind. FedRAMP ist speziell für Bundesprogramme und Auftragnehmer konzipiert, und die Anforderungen sind unabhängig von Bundesstaat oder Behörde dieselben.

Ein weiterer wichtiger Unterschied besteht darin, dass StateRAMP eine gemeinnützige Organisation ist. Im Gegensatz zu FedRAMP ist es nicht direkt mit der US-Bundesregierung verbunden.

Welche Staaten verwenden StateRAMP?

Jede staatliche, lokale, bildungsbezogene oder stammes-/territoriale Regierungsbeamte bzw. jeder IT-/Informationssicherheitsexperte kann durch eine Online-Registrierung ein Mitglied der StateRAMP-Organisation werden. Viele staatliche, lokale und bildungsbezogene (SLED) Organisationen haben StateRAMP übernommen, darunter über zwei Dutzend Staatsregierungen und öffentliche Bildungseinrichtungen.

StateRAMP Sicherheitsstatus

StateRAMP führt eine Liste autorisierter Produkte (APL), die täglich aktualisiert wird, um Dienstanbieter zu reflektieren, die die StateRAMP-Anforderungen erfüllen. Es gibt sechs Sicherheitsstatus in der APL:

Verifizierte Angebote

Diese Dienstanbieter haben eine unabhängige Prüfung durch eine Third-Party-Assessing-Organization (3PAO) abgeschlossen und erfüllen die Mindestanforderungen an die Sicherheit.

• Bereit: Erfüllt die Mindestanforderungen an die Sicherheit
• Vorläufig: Übertrifft die Mindestanforderungen und beinhaltet einen staatlichen Sponsor
• Autorisiert: Erfüllt alle Anforderungen und beinhaltet einen staatlichen Sponsor

Fortschreitende Angebote

Diese Dienstanbieter sind derzeit mit einer Third-Party-Assessing-Organization verbunden und arbeiten aktiv an einem verifizierten Angebot.

• Aktiv: Arbeiten an einem verifizierten Bereit-Status
• In Bearbeitung: Arbeiten an einem verifizierten autorisierten Status
• Ausstehend: Hat dem StateRAMP Program Management Office (PMO) ein Sicherheitspaket eingereicht und wartet auf ihren festgelegten verifizierten Status

Wie oben erwähnt, ist ein Regierungssponsor erforderlich, um den Status „StateRAMP Authorized“ oder „Provisional“ zu erreichen. Regierungssponsoren können alle SLED-Regierungsbeamten oder -angestellten sein, die:

• In der Rolle des Chief Information Security Officer oder deren Bevollmächtigten dienen
• Ein StateRAMP Individual Government Member ist

Die Rolle eines Regierungssponsors besteht darin, die Empfehlungen des PMO und die jährlichen kontinuierlichen Überwachungsberichte der Serviceorganisation zu überprüfen. CSPs, die keinen Regierungssponsor haben, können auch ein Mitglied des StateRAMP Approvals Committee nutzen, um als autorisierende Behörde im Namen der Regierung zu fungieren.

Vorteile von StateRAMP für die Cybersicherheit

Da er auf NIST 800-53 basiert, umfasst die StateRAMP-Compliance eine umfassende Reihe von Sicherheitskontrollen zum Schutz von Informationssystemen. Die Einhaltung des Standards bietet eine Reihe von Geschäftsvorteilen:

• Wachstum ankurbeln: Cloud-Lösungen, die staatliche und lokale Regierungen, Bildungseinrichtungen und andere Kunden im öffentlichen Sektor umwerben, profitieren von der verbesserten Glaubwürdigkeit, die mit der StateRAMP-Compliance und der Aufnahme in die Authorized Products List einhergeht. Stakeholder, einschließlich Kunden, Partner und Investoren, können volles Vertrauen in das Engagement der Organisation für Cloud-Sicherheit haben.
• Stärkere Sicherheitslage: Die Implementierung der NIST 800-53-Kontrollen hilft Organisationen, ihre Informationssysteme vor einer Reihe von Bedrohungen, einschließlich Cyberangriffen, Insider-Bedrohungen und physischen Bedrohungen, zu schützen. Die strengen Richtlinien tragen dazu bei, das Risiko von Sicherheitsverletzungen, Datenverlusten und unbefugter Datenoffenlegung zu verringern. NIST 800-53 ist der Goldstandard unter den Frameworks und umfassenden Kontrollsätzen.
• Erweiterter Datenschutz: Die Integration von Datenschutzkontrollen stellt sicher, dass auch persönlich identifizierbare Informationen (PII) geschützt werden, wodurch die mit Datenschutzverletzungen verbundenen Risiken verringert werden.
• Verbesserte Incident Response: Mit einem klar definierten Satz von Kontrollen und Prozessen können Organisationen effizienter und effektiver auf Zwischenfälle reagieren und sich von ihnen erholen.
• Standardisiertes Risikomanagement: StateRAMP bietet einen organisierten, konsistenten Rahmen zur Bewertung der Risiken für Informationssysteme und zur Implementierung geeigneter Sicherheitskontrollen.
• Fundierte Entscheidungsfindung: Die Richtlinien helfen dabei, fundierte Entscheidungen in Bezug auf Sicherheitsinvestitionen und Mittelzuteilungen zu treffen und Sicherheitsbedürfnisse anhand tatsächlicher Risiken zu priorisieren.
• Kosteneinsparungen: Während die Einhaltung der Vorschriften möglicherweise eine anfängliche Investition erfordert, kann dies zu langfristigen Einsparungen führen, indem kostspielige Verstöße verhindert und die betriebliche Effizienz verbessert werden.
• Kontinuierliche Überwachung und Verbesserung: StateRAMP erfordert eine kontinuierliche Überwachung, um sicherzustellen, dass sich Sicherheitsmaßnahmen mit den sich ändernden Bedrohungen weiterentwickeln.
• Compliance über mehrere Frameworks hinweg: Die StateRAMP-Anforderungen überschneiden sich mit mehreren anderen Frameworks, wodurch es effizient wird, die Einhaltung anderer gefragter Standards wie FedRAMP, NIST, SOC 2, ISO 27001 und anderer zu erreichen. Organisationen, die Compliance-Automatisierungssoftware verwenden, können Richtlinien und Kontrollen für StateRAMP problemlos über mehrere Frameworks hinweg abbilden und so doppelte Anstrengungen vermeiden.

Die Einhaltung von StateRAMP und NIST 800-53 bietet einen gründlichen und gut strukturierten Ansatz für Informationssicherheit und Datenschutz, weshalb viele Regierungs- und Privatsektororganisationen ihn als Leitfaden für ihre eigenen Sicherheitspraktiken verwenden.

Wie Sie die StateRAMP-Autorisierung erhalten

Der Prozess, um eine StateRAMP-Autorisierung zu erhalten, umfasst mehrere eindeutige Schritte. Gehen wir jeden einzelnen durch, um zu klären, wie Organisationen StateRAMP-konform werden. 

1. Werden Sie Mitglied bei StateRAMP: Dienstleister müssen Mitglied bei StateRAMP werden, bevor ihre IaaS-, PaaS- oder SaaS-Lösungen vom Program Management Office (PMO) validiert, ein StateRAMP-Sicherheitsstatus erhalten oder in die Authorized Product List (APL) aufgenommen werden können.

2. Füllen Sie einen StateRAMP Security Snapshot aus (Optional): Diese Vorabbewertung bewertet Ihre Organisation, um mögliche Lücken in Ihrer Cybersicherheitslage zu identifizieren und sicherzustellen, dass Sie vollständig den StateRAMP-Anforderungen entsprechen.

3. Wählen Sie den entsprechenden StateRAMP-Autorisierungspfad: Verwenden Sie das Data Classification Tool von StateRAMP, um die entsprechende Sicherheitskategorie und die entsprechenden Anforderungen zu bestimmen. Dies wird Ihnen helfen zu entscheiden, ob Sie den Status „StateRAMP Ready“ oder „StateRAMP Authorized“ erhalten sollten. 

4. Arbeiten Sie mit einer Third-Party Assessment Organization zusammen. Wählen Sie zunächst aus der Liste der StateRAMP Approved Assessors. Arbeiten Sie dann mit dem 3PAO zusammen, um einen Readiness Assessment Report (RAR) oder Security Assessment Report (SAR) zu erstellen und Ihre Konformitätslage zu bewerten.

5. Dokumentation zusammenstellen: Die Dokumentationsanforderungen unterscheiden sich je nach dem relevanten Verifizierungsstatus. Wenn Sie den Ready-Status anstreben, müssen Sie 50% Ihrer Dokumentation abgeschlossen haben, bevor der 3PAO den Readiness Assessment Report (RAR) abschließen kann. 

Wenn Sie sich auf Ihre StateRAMP Authorization Review vorbereiten, benötigen Sie die folgenden abgeschlossenen Dokumentationen: 

• System Security Plan (SR-SSP)
• Security Controls Matrix (SR-SCM)
• Plan of Actions and Milestones (POA&M)
• Alle anderen vom 3PAO angeforderten Dokumente, um das SR-SAP und SR-SAR abzuschließen.

6. Reichen Sie einen Sicherheitsüberprüfungsantrag ein: Sobald Sie alle Ihre Sicherheitsdokumentationen beim StateRAMP PMO eingereicht haben, beträgt die durchschnittliche Zeit für die Überprüfung einige Wochen. 

7. Finden Sie einen Regierungssponsor oder ein Genehmigungskomitee: Dieser Schritt ist nur für Organisationen erforderlich, die den Status „StateRAMP Authorized“ anstreben.

8. Erhalten Sie den StateRAMP Verified Status: Nach der Bewertung erhält Ihre Organisation ihren Verified-Status und wird in die Liste der zugelassenen Anbieter aufgenommen.

9. Etablieren Sie kontinuierliche Überwachungspraktiken. Arbeiten Sie mit Ihrem 3PAO zusammen, um den geeigneten Ansatz zur kontinuierlichen Überwachung festzulegen. Jeden Monat müssen Sie: 

• Ihr Dokument über Maßnahmenpläne und Meilensteine (POAM) abschließen
• Ihre Schwachstellenanalysen und das Inventar-Arbeitsblatt aktualisieren
• Einen monatlichen Bericht zur Überprüfung an das StateRAMP PMO einreichen

Automatisierung der StateRAMP-Konformität

Da es sich um einen strengen Standard handelt, erfordert die Erreichung der StateRAMP-Konformität einen erheblichen Zeit- und Ressourcenaufwand. Sie müssen eine Risikobewertung und Lückenanalyse durchführen, Kontrollen auswählen und implementieren, Richtlinien verfassen, Mitarbeiter schulen und Dokumentationen und Beweise für Ihren 3PAO sammeln. Und sobald das erledigt ist, müssen Sie fortlaufende Bewertungen und kontinuierliche Überwachung implementieren, um die Konformität aufrechtzuerhalten.

Compliance-Automatisierungsplattformen wie Secureframe können den Aufwand und die Zeit, die für diese manuellen Aufgaben benötigt werden, erheblich reduzieren, sodass Ihr Team sich auf strategische Ziele konzentrieren kann.

Hier sind einige Gründe, warum sich Organisationen für Secureframe als Partner zur Erreichung und Aufrechterhaltung der Konformität mit Regierungs- und Bundesrahmen entscheiden:

Fachwissen in Regierungs- und Bundeskonformität

Unser engagiertes erstklassiges Compliance-Team umfasst ehemalige FISMA-, FedRAMP- und CMMC-Auditoren, die über das Fachwissen und die Erfahrung verfügen, um Sie in jedem Schritt zu unterstützen.

Integrationen mit Bundes-Cloud-Produkten

Secureframe integriert sich in Ihren bestehenden Tech-Stack, einschließlich AWS GovCloud, um die Infrastrukturüberwachung und Beweissammlung zu automatisieren.

Vertrauenswürdiges 3PAO-Partnernetzwerk

Secureframe hat starke Beziehungen zu angesehenen Wirtschaftsprüfungsgesellschaften, die als zertifizierte Third Party Assessment Organizations (3PAOs) anerkannt sind und StateRAMP- und andere Bundesprüfungen wie FedRAMP, CMMC und CJIS unterstützen können.

Cross-Mapping über Rahmenwerke hinweg

NIST 800-53 hat viele überlappende Anforderungen mit StateRAMP, NIST 800-171, FedRAMP, CJIS und anderen bundesstaatlichen Rahmenwerken. Anstatt von Grund auf neu zu beginnen, kann Ihnen unsere Plattform dabei helfen, das, was Sie bereits für StateRAMP getan haben, auf andere Rahmenwerke zu übertragen, sodass Sie niemals doppelte Anstrengungen unternehmen müssen.

Kontinuierliche Überwachung

Durch die 24/7-Überwachung Ihres Tech-Stacks, um Sie auf Nichtkonformitäten aufmerksam zu machen, erleichtert Secureframe die Aufrechterhaltung einer kontinuierlichen Konformität. Sie können Testintervalle und Benachrichtigungen für regelmäßig erforderliche Aufgaben festlegen, um die StateRAMP-Konformität aufrechtzuerhalten. Sie können auch unser Risikoregister und unsere Risikomanagement-Funktionen nutzen, um Ihre kontinuierlichen Überwachungsbemühungen und die Wartung des POA&M zu unterstützen.

Um mehr darüber zu erfahren, wie Secureframe Ihnen bei der Einhaltung von StateRAMP, FedRAMP und anderen bundesstaatlichen Rahmenwerken helfen kann, vereinbaren Sie eine Demo mit einem Produktexperten.