Definition und Zweck

StateRAMP wurde entwickelt, um einen standardisierten Ansatz für die Cybersicherheitsstandards zu bieten, die von Dienstleistern, die Lösungen für staatliche und lokale Regierungen anbieten, gefordert werden.

Indem Dienstleistungsorganisationen klare Standards und Richtlinien für den Aufbau, die Wartung und die kontinuierliche Verbesserung einer starken Cybersicherheitslage erhalten, hilft StateRAMP Dienstleistungsorganisationen dabei, Vertrauen aufzubauen und Kunden in staatlichen und lokalen Regierungen sowie Hochschulen zu sichern.

StateRAMP hat vier Hauptzwecke:

• staatlichen und lokalen Regierungen, öffentlichen Bildungseinrichtungen und Sonderbezirken zu helfen, Bürgerdaten zu schützen
• Steuerzahler- und Anbieter-Dollar mit einem „einmal verifizieren, vielen dienen“-Modell zu sparen
• die Belastungen für die Regierung zu verringern; und (4) Bildung und Best Practices in
• Cybersicherheit unter denjenigen zu fördern, denen es in der Industrie- und Regierungsgemeinschaft dient.

Leitungsgremium

StateRAMP ist eine eingetragene 501(c)(6) gemeinnützige Mitgliedsorganisation bestehend aus Dienstleistern, die IaaS-, PaaS- und/oder SaaS-Lösungen anbieten, Drittanbieter-Bewertungsorganisationen und Regierungsvertretern. Diese Organisation ist dafür verantwortlich, Standards für Cloud-Sicherheit zu entwickeln sowie eine gemeinsame Methode zur Verifizierung der Cloud-Sicherheit von Anbietern, die Cloud-Lösungen nutzen oder anbieten, die Regierungsdaten verarbeiten, speichern und/oder übertragen.

Zuletzt aktualisiert

StateRAMP wurde Anfang 2020 von einem Lenkungsausschuss aus Regierungs- und Branchenführern gegründet.

Im Dezember 2022 wurde zuletzt ein neues Frühstadium-Tool zur Sicherheitsreifebewertung für Cloud-Produkte unter dem Namen StateRAMP Security Snapshot veröffentlicht. Die Kriterien des Sicherheitssnapshots sollen Anbietern einen ersten Schritt zur Erreichung eines verifizierten StateRAMP-Sicherheitsstatus bieten.

Gilt für

StateRAMP ist für Dienstleister konzipiert, die mit lokalen und staatlichen Regierungsbehörden sowie Hochschulen zusammenarbeiten, einschließlich IaaS-, PaaS- und SaaS-Lösungen.

Kontrollen und Anforderungen

Wie FedRAMP verwendet StateRAMP das Rahmenwerk 800-53 des National Institute of Standards and Technology (NIST), um Anbieter und ihre Cybersicherheitspraktiken zu bewerten. Beide verwenden die Anforderungen von NIST 800-53 als ihre Bewertungskriterien zusammen mit den NIST-Auswirkungsstufen (Niedrig, Mittel, Hoch) zur Bewertung von Kontrollen.

Cloud-Dienstanbieter (CSPs), die in die StateRAMP Authorized Product List aufgenommen werden möchten, müssen die den jeweiligen Sicherheitskontroll-Baselines zugewiesenen Kontrollen implementieren und sich einem Audit durch eine Drittauditierungsorganisation (3PAO) unterziehen.

Bitte besuchen Sie www.stateramp.org/templates-resources für weitere Details zu den Anforderungen.

Audit-Typ, Häufigkeit und Dauer

Um einen StateRAMP-Sicherheitsstatus zu erhalten, müssen Dienstleistungsorganisationen unabhängige Audits durchlaufen, die von 3PAOs durchgeführt werden.

Um diesen Status aufrechtzuerhalten, müssen Dienstleistungsorganisationen monatliche und vierteljährliche Berichte an das StateRAMP-Programm-Management-Büro senden und mit dem 3PAO ihrer Wahl zusammenarbeiten, um eine jährliche Sicherheitsbewertung ihrer Systeme vorzulegen.