Texas Risk Assessment and Management Program (TX-RAMP)
TX-RAMP wurde vom Texas Department of Information Resources gegründet, um einen standardisierten Ansatz für die Sicherheitsbewertung, -genehmigung und kontinuierliche Überwachung von Cloud-Computing-Diensten bereitzustellen, die die Daten einer staatlichen Behörde verarbeiten, speichern oder übertragen.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
Der Hauptzweck von TX-RAMP besteht darin, Sicherheitsmaßnahmen für Cloud-Produkte und -Dienste zu etablieren, die Daten an texanische staatliche Behörden verarbeiten, speichern oder übertragen, um die Informationen und Informationsressourcen dieser Behörden zu schützen.
Verwaltungsorgan
TX-RAMP wird vom Texas Department of Information Resources (DIR) verwaltet. DIR ist für die Überwachung der Programmdurchführung, die Sicherstellung der Einhaltung und die Aktualisierung der Vorschriften nach Bedarf verantwortlich.
Zuletzt aktualisiert
Die neueste Version von TX-RAMP, TX-RAMP Handbuch v3.0, wurde zuletzt im Oktober 2023 aktualisiert und tritt am 1. Dezember 2023 in Kraft. Bis dahin bleibt das TX-RAMP Handbuch v2.0 in Kraft.
Gilt für
TX-RAMP gilt für Cloud-Computing-Dienste, wie in Texas Government Code Section 2054.0593(a) definiert.
Staatsbehörden, Hochschulen und öffentliche Community Colleges, wie im Texas Government Code 2054.003(13) definiert, dürfen nur Verträge abschließen oder verlängern, um Cloud-Computing-Dienste zu erhalten, die den TX-RAMP-Anforderungen entsprechen.
Kontrollen und Anforderungen
TX-RAMP beschreibt spezifische Anforderungen, die Cloud-Anbieter erfüllen müssen, um eine Zertifizierung für einen Cloud-Computing-Dienst zu erhalten und aufrechtzuerhalten. Einige der wichtigsten Anforderungen umfassen:
- Berichterstattung
- Datenklassifizierung, Sicherheit und Aufbewahrung
- Schulung zur Cybersicherheit
- Entwicklung und Wartung des Informationssicherheitsplans
Die Kontrollen, die Cloud-Anbieter einhalten müssen, hängen von der TX-RAMP-Zertifizierungsstufe ab, der sie entsprechen müssen. Wenn sie der TX-RAMP Stufe 1 entsprechen müssen, verwenden die Kontrollen die NIST 800-53 Low baselines. Dies ist eine Reihe von Mindest-Sicherheitskontrollen für Informationssysteme, basierend auf ihrem Einflussniveau. Wenn sie der TX-RAMP Stufe 2 entsprechen müssen, verwenden die Kontrollen die NIST 800-53 Moderate baselines. Sie können mehr über NIST 800-53 und seine Sicherheitskontroll-Baselines in unserem Ultimativen Leitfaden zu Bundesrahmenwerken erfahren.
Für staatliche Behörden legt TX-RAMP auch gesetzliche Anforderungen an die Vergabe von Verträgen für Cloud-Dienste mit entsprechender Zertifizierung fest.
Bitte beziehen Sie sich auf die offizielle Gesetzgebung des Texas Department of Emergency Management für eine detaillierte Liste der Kontrollen und Anforderungen.
Audittyp, Häufigkeit und Dauer
Um die TX-RAMP-Zertifizierung zu erhalten, müssen Cloud-Angebote einer Bewertung durch das DIR unterzogen werden, um die Einhaltung der Programmvorgaben sicherzustellen.
Die Häufigkeit variiert je nach Zertifizierungsstufe. Es gibt drei TX-RAMP-Zertifizierungsstufen:
- Stufe 1: für öffentliche/nicht vertrauliche Informationen oder Systeme mit geringem Einfluss
- Stufe 2: für vertrauliche/regulierte Daten in Systemen mit mittlerem oder hohem Einfluss
- Provisorisch: ermöglicht einer staatlichen Behörde den Vertragsabschluss über die Nutzung eines Produkts für bis zu 18 Monate ohne vollständige Zertifizierung der Stufen 1 oder 2. Die vollständige Zertifizierung oder eine gleichwertige Zertifizierung muss während des provisorischen Zeitraums erreicht werden.
TX-RAMP-Zertifizierungen der Stufen 1 und 2 sind drei Jahre lang gültig, solange der Cloud-Dienst die Programmvorgaben einhält. Diese Bewertungen müssen daher mindestens alle drei Jahre durchgeführt werden, damit die Zertifizierung erneuert werden kann.
Die Dauer der Audits variiert je nach mehreren Faktoren wie der Gründlichkeit der
Antworten und Dokumentation, der rechtzeitigen Beantwortung von Klarstellungen, dem durchgeführten Bewertungsniveau und dem Volumen der Anfragen. Das DIR strebt an, eine Bewertung abzuschließen und innerhalb von 4 Wochen eine Empfehlung auszusprechen.