Definición y propósito

El objetivo principal de FedRAMP es la protección de la información federal en la nube. FedRAMP permite al gobierno federal acelerar la adopción de la computación en la nube, creando estándares y procesos transparentes para autorizaciones de seguridad y permitiendo a las agencias aprovechar estas autorizaciones a nivel gubernamental.

Órgano de gobierno

El principal órgano de gobernanza y toma de decisiones para FedRAMP es la Junta Conjunta de Autorización (JAB), que consiste en los Directores de Información del Departamento de Defensa (DoD), el Departamento de Seguridad Nacional (DHS) y la Administración de Servicios Generales (GSA).

Última actualización

FedRAMP se actualiza en alineación con NIST 800-53. Más recientemente, las líneas base de FedRAMP se actualizaron en diciembre de 2021 para alinearse con la Rev. 5 de NIST.

Aplicable a

FedRAMP es obligatorio para cualquier organización que proporcione productos y servicios de computación en la nube a agencias gubernamentales.

Controles y requisitos

FedRAMP es una derivación de NIST 800-53. Utiliza las mismas líneas base de NIST 800-53 (Baja, Moderada, Alta) con los mismos controles asociados, pero agrega ciertos parámetros y requisitos específicos.

Los proveedores de servicios en la nube (CSP) que buscan cumplir con FedRAMP deben implementar los controles asignados a su línea base de control de seguridad respectiva. Como se mencionó anteriormente, la línea base baja tiene la menor cantidad de controles (125) y puede considerarse la menos estricta. La alta tiene la mayor cantidad de controles (421) y puede considerarse la más estricta. La moderada se encuentra en el medio con 325 controles.

Por favor, consulte la documentación oficial de FedRAMP para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

Hay dos maneras en que un proveedor de servicios en la nube (CSP) puede obtener la autorización para su oferta de servicios en la nube a través de FedRAMP: siendo patrocinado por agencias federales individuales u obteniendo una autorización provisional del JAB (P-ATO). Ambos caminos involucran una evaluación de preparación (RAR). Una vez que la PMO de FedRAMP aprueba el RAR, el CSP es designado como Listo en el Mercado de FedRAMP y puede continuar con el proceso de autorización.

Ya sea que un CSP busque la autorización de una agencia o la autorización provisional del JAB, deben ser evaluados por 3PAOs. Los 3PAOs son organizaciones de evaluación independientes que verifican las implementaciones de seguridad de los CSP y proporcionan la postura general de riesgo de un entorno en la nube para una decisión de autorización de seguridad.

Estas evaluaciones son revisadas por la agencia o el JAB. Si se identifican problemas, el CSP y el 3PAO deben remediarlos. Una vez completado, la agencia emitirá un ATO o el JAB emitirá una decisión formal de autorización y, si es favorable, emitirá una Autorización Provisional para Operar (P-ATO).