Da immer mehr Organisationen auf Cloud-Service-Anbieter (CSP) angewiesen sind, um eine sichere und zuverlässige Infrastruktur und Dienste bereitzustellen, führen staatliche und lokale Regierungen zunehmend Vorschriften und Sicherheitskriterien ein, um sich vor Schwachstellen in Cloud-Plattformen, Fehlkonfigurationen oder Sicherheitslücken in der zugrunde liegenden Infrastruktur zu schützen, die diese Einrichtungen erheblichen Sicherheitsrisiken aussetzen können.

Das Texas Risk and Authorization Management Program (TX-RAMP) ist ein solches Rahmenwerk zur Verwaltung dieser Risiken.

In diesem Blogartikel werden wir erforschen, was TX-RAMP ist, wer sich daran halten muss, wie viele Zertifizierungsstufen es gibt und wie Secureframe den Prozess vereinfachen kann. Wir werden auch einige häufig gestellte Fragen beantworten, um sicherzustellen, dass Sie ein vollständiges Verständnis dieses Rahmens haben.

Was ist das Texas Risk and Authorization Management Program (TX-RAMP)?

Das Texas Risk and Authorization Management Program (TX-RAMP) ist ein Rahmenwerk, das den Prozess der Risikomanagement und Autorisierung für Cloud-Dienste standardisiert, die von Texanischen Staatsbehörden, Universitäten und anderen Institutionen genutzt werden. Entwickelt vom Texas Department of Information Resources (DIR), zielt TX-RAMP darauf ab sicherzustellen, dass Cloud-Service-Anbieter die Sicherheits- und Datenschutzanforderungen des Staates erfüllen, um die sichere und effiziente Nutzung von Cloud-Diensten im öffentlichen Sektor zu erleichtern.

TX-RAMP 3.0, die neueste Version des Rahmens, wurde im Oktober 2023 veröffentlicht und trat im Dezember 2023 in Kraft. Lassen Sie uns diese Überarbeitung näher betrachten.

TX-RAMP 3.0

TX-RAMP 3.0 stellt die neueste Iteration des Programms dar. Ein zentrales Ziel dieser Überarbeitung war es, Verbesserungen zu integrieren und die Arbeitsabläufe zu rationalisieren, um den Compliance-Prozess für Organisationen schneller und weniger schwierig zu gestalten. TX-RAMP 3.0 umfasst auch Aktualisierungen, die auf dem Feedback früherer Versionen und der Weiterentwicklung der Bedrohungslandschaft basieren, um sicherzustellen, dass die von texanischen Staatsbehörden genutzten Cloud-Dienste sicher und widerstandsfähig gegenüber aufkommenden Bedrohungen sind.

Zu diesem Zweck führt TX-RAMP 3.0 strengere Sicherheitskontrollen, klarere Richtlinien und einen rationalisierteren Bewertungsprozess ein.

Hier sind drei der bedeutendsten Änderungen zwischen TX-RAMP 2.0 und TX-RAMP 3.0:

• Hinzugefügter Schnellbewertungsprozess: TX-RAMP 3.0 hat einen Schnellbewertungsprozess eingeführt. Dies ermöglicht es CSPs, von bereits vom DIR genehmigten Drittaudits oder Bewertungsberichten, die Nachweise über Sicherheitspraktiken liefern, zu profitieren, um eine Zertifizierung der Stufe 1 oder 2 zu erhalten. Diese Drittaudits, die für den Schnellbewertungsprozess akzeptabel sein können, umfassen SOC 2 Type 2, PCI DSS und HITRUST.
• Einführung einer Übergangsfrist: TX-RAMP 3.0 hat auch eine Übergangsfrist eingeführt. Dies ermöglicht es staatlichen Agenturen, einen Übergangsplan zu erstellen und zu nutzen, falls die TX-RAMP-Zertifizierung einer konformen Lösung abläuft oder widerrufen wird. Dieser Zeitraum darf 24 Monate ab dem geplanten Beginn der Ausführung nicht überschreiten.
• Klarstellung der Dienstleistungen, die nicht TX-RAMP-zertifiziert sein müssen: In TX-RAMP 3.0 wird eine zusätzliche Klarstellung für Cloud-Computing-Dienste geliefert, die gemäß einer neuen Abschnitt im Programmhandbuch nicht TX-RAMP-zertifiziert sein müssen. Beispiele hierfür sind bestimmte CSPs, die eine nicht wesentliche Verwendung von vom Staat kontrollierten vertraulichen Daten haben, und maßgeschneiderte Anwendungen unter anderen Kategorien.

Welche Organisationen müssen den Anforderungen von TX-RAMP entsprechen?

Staatsbehörden, Hochschulen, öffentliche Community Colleges und Cloud-Service-Provider müssen die Anforderungen von TX-RAMP erfüllen. Die anwendbaren Anforderungen unterscheiden sich jedoch für diese Gruppen.

Staatsbehörden, Hochschulen, öffentliche Community Colleges und andere durch den Texas Government Code, Abschnitt 2054.00 definierte Entitäten müssen die gesetzlichen Anforderungen für die Vergabe von Cloud-Diensten mit der entsprechenden TX-RAMP-Zertifizierung einhalten. Mit anderen Worten, sie dürfen Verträge für Cloud-Computing-Dienste nur schließen oder verlängern, wenn die Dienste den TX-RAMP-Anforderungen entsprechen. Dies erfordert die Feststellung, ob ein Cloud-Computing-Dienst von TX-RAMP abgedeckt ist und welches das geeignete TX-RAMP-Niveau für den Dienst ist.

Cloud-Service-Provider, die sensible oder vertrauliche Daten im Auftrag dieser Entitäten verarbeiten, müssen ihrerseits die Sicherheitskriterien erfüllen, um eine TX-RAMP-Zertifizierung für einen Cloud-Computing-Dienst zu erhalten und aufrechtzuerhalten.

Es ist wichtig zu beachten, dass nicht von allen TX-RAMP-konformen Cloud-Service-Providern verlangt wird, dass sie selbst nur TX-RAMP-konforme Drittanbieter oder Dienste verwenden.

Jetzt, da wir verstanden haben, auf wen TX-RAMP zutrifft, werfen wir einen Blick auf die unten stehenden Zertifizierungsniveaus.

TX-RAMP-Zertifizierungsstufen

TX-RAMP hat drei Zertifizierungsstufen, um den unterschiedlichen Risikograden und der Sensibilität der Daten, die mit Cloud-Diensten verbunden sind, gerecht zu werden. Diese Stufen sind unten beschrieben.

TX-RAMP-Zertifikat Stufe 1

Stufe 1 gilt für Cloud-Dienste, die von der Agentur als Informationsressourcen mit geringem Einfluss eingestuft werden. Das bedeutet, dass der Cloud-Dienstanbieter (CSP) eine geringe Menge und/oder Qualität vertraulicher Daten des Staates verarbeitet oder speichert, sodass jeder Verlust an Vertraulichkeit, Integrität oder Verfügbarkeit dieser Daten nur begrenzte negative Auswirkungen auf die Agentur hätte.

Die Sicherheitsanforderungen auf dieser Stufe sind weniger streng als die der Stufe 2. Die Stufe 1-Referenz besteht aus 117 Kontrollen, die auf dem NIST 800-53 Low Impact Baseline basieren.

TX-RAMP-Zertifikat Stufe 2

Diese Stufe gilt für Cloud-Dienste, die von der Agentur als Informationsressourcen mit mittlerem oder hohem Einfluss eingestuft werden. Das bedeutet, dass der CSP eine erhebliche Menge vertraulicher staatlich kontrollierter Daten verarbeitet oder speichert, sodass jeder Verlust an Vertraulichkeit, Integrität oder Verfügbarkeit dieser Daten schwerwiegende oder katastrophale Auswirkungen auf die Agentur hätte.

Stufe 2 erfordert umfassendere Sicherheitskontrollen und eine gründliche Risikobewertung. Diese Stufe besteht aus 223 Kontrollen, die auf dem NIST 800-53 Moderate Impact Baseline basieren.

Vorläufiges TX-RAMP-Zertifikat

Die Vorläufige TX-RAMP-Zertifizierung ist eine Bezeichnung, die CSPs gewährt wird, um den staatlichen Behörden von Texas zu ermöglichen, vorübergehend einen Vertrag mit einem CSP abzuschließen oder zu erneuern, während sie den vollständigen TX-RAMP-Zertifizierungsprozess durchlaufen. Der CSP muss innerhalb von 18 Monaten nach dem Datum der vorläufigen Zertifizierungsvergabe durch den DIR eine TX-RAMP-Zertifizierung der Stufe 1 oder Stufe 2 erhalten, andernfalls läuft sie ab.

Ein CSP kann die Gültigkeit seiner vorläufigen Zertifizierung auch aufrechterhalten, indem er einen akzeptablen Status innerhalb von StateRAMP oder FedRAMP erhält.

Schritte zur Erlangung der TX-RAMP-Zertifizierung

Die Erlangung der TX-RAMP-Zertifizierung umfasst mehrere Schritte, die darauf ausgelegt sind, sicherzustellen, dass die CSPs die vom Bundesstaat Texas geforderten Sicherheitskriterien erfüllen. Hier ist eine detaillierte Übersicht des Prozesses:

1. Verstehen der Anforderungen des TX-RAMP

Bevor Sie mit dem Zertifizierungsprozess beginnen, ist es wichtig, sich mit den Anforderungen des TX-RAMP vertraut zu machen. Diese werden vom texanischen Ministerium für Informationstechnologie festgelegt und umfassen spezifische Sicherheitskontrollen, Dokumentation und Risikomanagementpraktiken. Das Verstehen dieser Anforderungen ist ein wichtiger erster Schritt, um den Zertifizierungsprozess vorzubereiten und zu rationalisieren.

Wenn Sie Kunde von Secureframe sind, stellt Ihnen die Plattform diese Anforderungen vor. Sie können jedoch auch mit einem Compliance-Beauftragten sprechen, um Ihnen zu helfen, diese Anforderungen zu verstehen und welche je nach Ihrer aktuellen Umgebung zutreffen.

2. Bestimmen Sie das geeignete Zertifizierungsniveau

Eine staatliche Behörde ist dafür verantwortlich, das erforderliche TX-RAMP-Zertifizierungsniveau für Ihren Cloud-Dienst zu bestimmen.

Wenn Sie jedoch die TX-RAMP-Zertifizierung anstreben, bevor ein Kunde dies angefordert hat, können Sie bestimmen, welches Niveau am besten für Ihren Cloud-Dienst zutrifft, basierend auf der Art der Daten, die Sie speichern oder verarbeiten, und der potenziellen Auswirkung von Sicherheitsverstößen.

Wenn Sie eine Compliance-Automatisierungsplattform verwenden, stellen Sie sicher, dass sie beide Zertifizierungsniveaus unterstützt, wie Secureframe. So können Sie mit jeder Behörde arbeiten, unabhängig davon, welches Zertifizierungsniveau sie für Ihren Cloud-Dienst festlegt.

3. Führen Sie eine Selbstbewertung und eine Lückenanalyse durch

Führen Sie eine Selbstbewertung durch, um Ihre aktuelle Sicherheitslage in Bezug auf die Anforderungen des TX-RAMP zu bewerten. Identifizieren Sie Lücken oder Bereiche, die Verbesserungen benötigen. Dieser Schritt ist entscheidend, um sicherzustellen, dass Sie die erforderlichen Kontrollen erfüllen, und um eventuelle Lücken zu schließen, bevor Sie zur formellen Bewertung übergehen.

Ein Compliance-Automatisierungstool wie Secureframe kann diesen Schritt automatisieren. Sobald Sie die relevanten Software und Tools für das tägliche Audit integriert haben, zeigt Ihnen die Secureframe-Plattform genau, wo Sie stehen und was Sie tun müssen, um dem entsprechenden TX-RAMP-Kontrollrahmen gemäß Ihren einzigartigen Konfigurationen und IT-Infrastrukturen zu entsprechen. Während Sie im Rahmen vorankommen und Aktivitäten auf der Secureframe-Plattform abschließen, wird diese aktualisiert, um Ihren Fortschritt in Richtung Compliance anzuzeigen.

4. Bereiten Sie die erforderliche Dokumentation vor

• Zu diesem Zeitpunkt müssen Sie die gesamte erforderliche Dokumentation zusammenstellen und vorbereiten. Dies umfasst in der Regel:
• Sicherheitsrichtlinien und -verfahren
• TX-RAMP-Sicherheitsplanbuch
• Vorfallreaktionspläne
• Nachweis der Einhaltung der Sicherheitskontrollen
• Dokumentation von Audits oder Zertifizierungen durch Dritte (wie FedRAMP, SOC 2 Typ 2 usw.)

Ein POA&M für jede vom Anbieter oder vom DIR als unzureichend identifizierte Sicherheitskontrolle (d. h. nicht implementiert, teilweise implementiert)

5. Senden Sie einen Bewertungsantrag ein

Sobald Ihre Dokumentation fertig ist, starten Sie den Zertifizierungsprozess, indem Sie das TX-RAMP-Bewertungsformular über die TX-RAMP-Webseite auf der DIR-Webseite ausfüllen.

Der DIR wird Sie durch die spezifischen Schritte führen und die zusätzlichen Informationen bereitstellen, die für Ihr Zertifizierungsniveau erforderlich sind. Der wichtigste Schritt ist das Ausfüllen des TX-RAMP-Bewertungsfragebogens, einschließlich des TX-RAMP-Sicherheitsplans (Control Implementation Workbook), und das Einreichen beim DIR.

6. Eine formelle Bewertung bestehen

Nachdem Ihr Antrag eingereicht wurde, wird der DIR oder ein autorisierter Dritter eine formelle Bewertung Ihres Cloud-Dienstes durchführen. Diese Bewertung überprüft, ob Sie die TX-RAMP-Sicherheitskontrollen und die Anforderungen Ihres Zertifizierungsniveaus einhalten. Der Bewertungsprozess kann Folgendes umfassen:

• Überprüfung der Dokumentation
• Führung von Interviews mit Schlüsselpersonen
• Durchführung technischer Bewertungen Ihrer Sicherheitsmaßnahmen

7. Bearbeitung der Beobachtungen

Wenn die Bewertung Kontrollmängel identifiziert (d. h. nicht implementierte oder teilweise implementierte Kontrollen), müssen Sie diese Beobachtungen in einem POA&M dokumentieren und bearbeiten. Die Behebung dieser Mängel kann die Implementierung zusätzlicher Sicherheitsmaßnahmen, die Aktualisierung von Dokumentationen oder Verfahrensänderungen umfassen. Nachdem die Probleme behoben wurden, müssen Sie möglicherweise einer Nachbewertung unterzogen werden.

8. Erhalten Sie die Zertifizierung

Nachdem Sie die Bewertung bestanden und die Beobachtungen bearbeitet haben, erhalten Sie Ihre TX-RAMP-Zertifizierung. Diese Zertifizierung zeigt, dass Ihr Cloud-Dienst die erforderlichen Sicherheits- und Risikomanagementstandards erfüllt und dass Sie in der Lage sind, mit texanischen Regierungseinrichtungen zu arbeiten.

9. Aufrechterhaltung der Konformität

Die TX-RAMP-Zertifizierung ist in der Regel drei Jahre gültig, mit jährlichen Überprüfungen, um die Konformität aufrechtzuerhalten. Während dieser Zeit müssen Sie Ihre Sicherheitskontrollen aufrechterhalten, Änderungen in Ihrem Dienst oder in der Bedrohungslandschaft berücksichtigen und kontinuierliche Überwachungsberichte einreichen.

Eine Compliance-Automatisierungsplattform kann auch den kontinuierlichen Überwachungsprozess automatisieren und Ihrer Organisation eine viel dynamischere Sicht auf die Wirksamkeit Ihrer Kontrollen und den gesamten Sicherheitsstatus der Organisation im Vergleich zu manuellen Prozessen bieten.

Indem Sie diese Schritte befolgen und die richtigen Werkzeuge verwenden, können Sie den TX-RAMP-Zertifizierungsprozess effektiv navigieren und sicherstellen, dass Ihr Cloud-Dienst den höchsten Sicherheits- und Konformitätsstandards entspricht, die vom Bundesstaat Texas gefordert werden.

TX-RAMP-Konformitäts-Checkliste

Die Erlangung und Aufrechterhaltung der TX-RAMP-Zertifizierung erfordert einen strukturierten Ansatz, der eine Reihe von Aktivitäten umfasst, von der anfänglichen Bewertung bis zur kontinuierlichen Wartung. Verwenden Sie diese Checkliste, um Ihre Organisation durch den Konformitätsprozess zu führen.

Wie lange ist eine TX-RAMP-Zertifizierung gültig?

TX-RAMP-Zertifizierungen der Stufe 1 und Stufe 2 sind drei Jahre lang gültig, vorausgesetzt, der Cloud-Dienstanbieter erfüllt weiterhin die Programmanforderungen. Dies erfordert jährliche Überprüfungen, die die Bewertung aller Änderungen im Service, der Bedrohungslage und der Sicherheitslage des Anbieters umfassen. Eine kontinuierliche Überwachung und die Einhaltung der TX-RAMP-Anforderungen sind essentiell, um die Gültigkeit des Zertifikats während der gesamten Laufzeit aufrechtzuerhalten.

Um rezertifiziert zu werden, müssen Cloud-Dienstanbieter die Implementierungsdetails der Kontrollen überprüfen und bei Bedarf aktualisieren sowie aktualisierte Dokumentationen an DIR zur Prüfung einreichen. Die CSP können die Rezertifizierung bis zu 12 Monate vor Ablauf der Zertifizierung beantragen.

Eine vorläufige TX-RAMP-Zertifizierung ist ab dem Datum der Zertifizierungserteilung 18 Monate lang gültig.

Schnellbewertung von TX-RAMP

Die Schnellbewertung von TX-RAMP ist ein beschleunigtes Verfahren, das für Cloud-Dienstanbieter entwickelt wurde, die bereits strenge Sicherheitsüberprüfungen durchlaufen haben und über von DIR genehmigte Drittbewerter-Bewertungen oder Prüfberichte verfügen, die nachweisbare Sicherheitspraktiken belegen.

Indem CSPs ihre bestehenden Drittanbieter-Bewertungen oder Prüfberichte nutzen können, um die TX-RAMP-Zertifizierung schneller zu erhalten, ist diese Schnellbewertungsoption darauf ausgelegt, Redundanzen zu reduzieren und den Genehmigungsprozess zu beschleunigen, während die erforderlichen Sicherheitsstandards aufrechterhalten werden.

DIR akzeptiert derzeit die folgenden Drittanbieter-Bewertungen oder Prüfberichte für die Schnellbewertung:

• SOC 2 Type 2 Bericht
• Von einem autorisierten externen HITRUST-Bewerter validierte Bewertung
• PCI DSS-Konformitätsprüfungsbericht von einem qualifizierten Sicherheitssachverständigen (RoC)

Beste Praktiken für die TX-RAMP-Zertifizierung

Hier sind einige bewährte Methoden, um die TX-RAMP-Zertifizierung zu erlangen und aufrechtzuerhalten:

• Führen Sie umfassende Dokumentationen: Führen Sie detaillierte Dokumentationen aller Richtlinien, Verfahren und Sicherheitskontrollen und stellen Sie sicher, dass diese leicht zugänglich und aktuell sind. Entwickeln Sie einen klar definierten Plan zur Vorfallreaktion, der die spezifischen Schritte bei einer Sicherheitsverletzung beschreibt. Diese umfassende Dokumentation unterstützt die Einhaltung und Vorbereitung.
• Regelmäßige Schulungen für Mitarbeiter: Organisieren Sie regelmäßige Schulungen zur Sicherheitsbewusstsein, um die Mitarbeiter über ihre Rolle bei der Aufrechterhaltung der Sicherheit zu informieren. Implementieren Sie Phishing-Simulationen und andere Schulungsübungen, um ihre Fähigkeit, Sicherheitsbedrohungen zu erkennen und darauf zu reagieren, zu verbessern. Eine kontinuierliche Schulung trägt dazu bei, eine Sicherheitskultur in der Organisation zu schaffen.
• Regelmäßige Überprüfungen durchführen: Führen Sie regelmäßige Überprüfungen Ihrer Sicherheitspraktiken und -kontrollen durch, um sicherzustellen, dass sie weiterhin wirksam und konform bleiben. Wenn Bereiche identifiziert werden, in denen Ihre aktuellen Praktiken nicht den TX-RAMP-Standards entsprechen, entwickeln Sie einen Abhilfeplan mit spezifischen Maßnahmen, Zeitplänen und zugewiesenen Verantwortlichkeiten, um diese Mängel zu beheben. Dieser proaktive Ansatz hilft, den Weg zur Konformität zu vereinfachen.
• Automatisierung nutzen: Die Verwendung einer Plattform zur Konformitätsautomatisierung kann den TX-RAMP-Zertifizierungsprozess erheblich vereinfachen. Mit einem solchen Tool können Sie Risikobewertungen automatisieren, Dokumentationen verwalten, Sicherheitskontrollen überwachen und kontinuierliche Konformität sicherstellen. Dies kann den Zeit- und Arbeitsaufwand für das Erlangen und Aufrechterhalten der TX-RAMP-Zertifizierung reduzieren.

TX-RAMP-Konformität mit Secureframe automatisieren

Als die einzige Plattform zur Konformitätsautomatisierung, die TX-RAMP unterstützt, vereinfacht Secureframe den TX-RAMP-Zertifizierungsprozess erheblich und hilft Cloud-Dienstanbietern, die erforderlichen Sicherheitsanforderungen effektiv zu verwalten und zu erfüllen.

Zu den Hauptmerkmalen gehören:

• Expertise in Regierungs- und Bundeskonformität: Unser weltweit führendes Compliance-Team umfasst ehemalige FISMA-, FedRAMP- und CMMC-Prüfer, die über das notwendige Fachwissen und die Erfahrung verfügen, um Sie in jedem Schritt zu unterstützen.
• Integrationen mit Bundes-Cloud-Produkten: Secureframe integriert sich in Ihre bestehende Technologie, einschließlich AWS GovCloud, um die Überwachung der Infrastruktur und das Sammeln von Nachweisen zu automatisieren.
• Netzwerk vertrauenswürdiger Partner: Secureframe pflegt starke Beziehungen zu Partnern, die vCISO-Dienste (d.h. Beratung und maßgeschneiderte Unterstützung) anbieten können, um die TX-RAMP-Konformität zu vereinfachen, wie z.B. RISC point und CyAlpha. Secureframe arbeitet auch mit anerkannten Auditfirmen zusammen, die als Third Party Assessment Organizations (3PAOs) zertifiziert sind, und kann Fast-Track-TX-RAMP-Bewertungen durch andere Bundesprüfungen wie FedRAMP unterstützen.
• Richtlinienmanagement: Die Plattform bietet modellierte Richtlinien, Verfahren und einen Systemsicherheitsplan (SSP), um die Anforderungen zu erfüllen und Ihnen bei der Vorbereitung auf Bewertungen zu helfen, einschließlich POA&M-Dokumenten, Auswirkungenbewertungen und Vorbereitungskontrolllisten.
• Übergreifende Kartierung der Rahmenwerke: TX-RAMP hat viele Anforderungen, die sich mit NIST 800-53, StateRAMP, NIST 800-171, FedRAMP, CJIS, CMMC und anderen Bundesrahmenwerken überschneiden. Anstatt von vorne zu beginnen, kann unsere Plattform Ihnen helfen, das, was Sie bereits für TX-RAMP getan haben, auf andere Rahmenwerke abzubilden, damit Sie Ihre Bemühungen nicht doppeln.
• Ständige Überwachung: Indem es Ihre technologische Infrastruktur rund um die Uhr überwacht und Sie bei Nichtkonformitäten warnt, erleichtert Secureframe die Einhaltung der kontinuierlichen Konformität. Sie können die Testintervalle und Benachrichtigungen für regelmäßige Aufgaben spezifizieren, die erforderlich sind, um die TX-RAMP-Konformität aufrechtzuerhalten. Sie können auch unsere Fähigkeiten im Risikomanagement und bei der Schwachstellenbewertung nutzen, um Ihre kontinuierlichen Überwachungs- und POA&M-Wartungsbemühungen zu unterstützen.

Um zu erfahren, wie Secureframe Ihrer Organisation helfen kann, die Zeit und den Aufwand für die Erlangung und Aufrechterhaltung der TX-RAMP-Zertifizierung zu reduzieren, planen Sie eine Demo mit einem Produktexperten.