Definition und Zweck

Das ultimative Ziel von FedRAMP ist der Schutz von Bundsinformationen in der Cloud. FedRAMP ermöglicht es der Bundesregierung, die Einführung von Cloud-Computing zu beschleunigen, indem transparente Standards und Prozesse für Sicherheitsautorisierungen geschaffen werden und die Behörden Sicherheitsautorisierungen auf Regierungsebene nutzen können.

Gremium

Das primäre Regierungs- und Entscheidungsgremium für FedRAMP ist das Joint Authorization Board (JAB), das aus den Chief Information Officers des Verteidigungsministeriums (DoD), des Ministeriums für innere Sicherheit (DHS) und der Allgemeinen Dienstverwaltungsbehörde (GSA) besteht.

Zuletzt aktualisiert

FedRAMP wird in Übereinstimmung mit NIST 800-53 aktualisiert. Zuletzt wurden die FedRAMP-Baselines im Dezember 2021 aktualisiert, um sich mit der Überarbeitung 5 von NIST in Einklang zu bringen.

Gilt für

FedRAMP ist für jede Organisation obligatorisch, die Cloud-Computing-Produkte und -Dienste für Regierungsbehörden bereitstellt.

Kontrollen und Anforderungen

FedRAMP ist eine Ableitung von NIST 800-53. Es verwendet dieselben NIST 800-53-Baselines (Niedrig, Mittel, Hoch) mit denselben zugehörigen Kontrollen, fügt jedoch bestimmte Parameter und Anforderungen hinzu.

Cloud-Dienstanbieter (CSPs), die eine FedRAMP-Compliance anstreben, müssen die Kontrollen implementieren, die ihrer jeweiligen Sicherheitskontrollbaseline zugewiesen sind. Wie oben erwähnt, hat die niedrigste Baseline die geringste Anzahl von Kontrollen (125) und kann als am wenigsten streng betrachtet werden. Hoch hat die meisten Kontrollen (421) und kann als am strengsten angesehen werden. Mittel liegt mit 325 Kontrollen im Mittelfeld.

Bitte beziehen Sie sich auf die offizielle FedRAMP-Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Audit-Typ, Häufigkeit und Dauer

Es gibt zwei Möglichkeiten, wie ein Cloud-Dienstanbieter (CSP) sein Cloud-Dienstangebot durch FedRAMP autorisieren lassen kann: durch die Unterstützung durch einzelne Bundesbehörden oder durch die Erhalt einer vorläufigen JAB-Autorisierung (P-ATO). Beide Wege beinhalten eine Bereitschaftsbewertung (RAR). Sobald das FedRAMP-PMO den RAR genehmigt, wird der CSP im FedRAMP-Marktplatz als bereit eingestuft und kann mit dem Autorisierungsprozess fortfahren.

Unabhängig davon, ob ein CSP eine Behördenautorisierung oder vorläufige JAB-Autorisierung anstrebt, müssen sie von 3PAOs bewertet werden. 3PAOs sind unabhängige Bewertungsorganisationen, die die Sicherheitsimplementierungen der CSPs überprüfen und die allgemeine Risikoposition einer Cloud-Umgebung für eine Sicherheitsautorisierungsentscheidung bereitstellen.

Diese Bewertungen werden dann von der Agentur oder JAB überprüft. Wenn Probleme identifiziert werden, müssen der CSP und 3PAO diese beheben. Nach Abschluss wird entweder die Agentur eine ATO ausstellen oder JAB eine förmliche Autorisierungsentscheidung treffen und wenn günstig, eine Provisional Authority to Operate (P-ATO) ausstellen.