Definición y propósito

StateRAMP fue creado para proporcionar un enfoque estandarizado a los estándares de ciberseguridad requeridos a los proveedores de servicios que ofrecen soluciones a los gobiernos estatales y locales.

Al proporcionar a las organizaciones de servicios estándares y directrices claros para construir, mantener y mejorar continuamente una postura sólida de ciberseguridad, StateRAMP ayuda a las organizaciones de servicios a generar confianza y asegurar a los clientes dentro de los gobiernos estatales y locales y las instituciones de educación superior.

StateRAMP tiene cuatro propósitos principales:

• ayudar a los gobiernos estatales y locales, instituciones de educación pública y distritos especiales a proteger los datos de los ciudadanos
• Ahorrar dólares de los contribuyentes y proveedores con un modelo de "verificar una vez, servir a muchos"
• reducir las cargas sobre el Gobierno; y (4) promover la educación y las mejores prácticas en
• ciberseguridad entre aquellos a los que sirve en la industria y las comunidades gubernamentales.

Órgano de Gobierno

StateRAMP es una organización de membresía sin fines de lucro registrada 501(c)(6) compuesta por proveedores de servicios que ofrecen soluciones IaaS, PaaS y/o SaaS, organizaciones de evaluación de terceros y funcionarios gubernamentales. Esta organización es responsable de desarrollar estándares para la seguridad en la nube, así como un método común para verificar la seguridad en la nube de los proveedores que usan u ofrecen soluciones en la nube que procesan, almacenan y/o transmiten datos gubernamentales.

Última actualización

StateRAMP fue creado por primera vez a principios de 2020 por un comité directivo de líderes gubernamentales e industriales.

Recientemente lanzó una nueva herramienta de evaluación de seguridad en etapa temprana para productos en la nube conocida como StateRAMP Security Snapshot en diciembre de 2022. La intención de los criterios del

Se aplica a

StateRAMP está diseñado para proveedores de servicios que trabajan con agencias gubernamentales locales y estatales, e instituciones de educación superior, incluidas las soluciones de IaaS, PaaS y SaaS.

Controles y requisitos

Al igual que FedRAMP, StateRAMP utiliza el marco NIST 800-53 del Instituto Nacional de Estándares y Tecnología (NIST) para evaluar a los proveedores y sus prácticas de ciberseguridad. Ambos utilizan los requisitos del NIST 800-53 como sus criterios de evaluación, junto con los niveles de impacto de NIST (Bajo, Moderado, Alto) para evaluar los controles.

Los proveedores de servicios en la nube (CSP) que deseen ser incluidos en la Lista de Productos Autorizados de StateRAMP deben implementar controles asignados a su respectivo nivel de control de seguridad y someterse a una auditoría por una organización de evaluación de terceros (3PAO).

Por favor, visite www.stateramp.org/templates-resources para más detalles sobre los requisitos.

Tipo, frecuencia y duración de la auditoría

Para obtener un estado de seguridad StateRAMP, las organizaciones de servicios deben someterse a auditorías independientes realizadas por 3PAO.

Para mantener este estado, las organizaciones de servicios deben presentar informes mensuales y trimestrales a la Oficina de Gestión del Programa StateRAMP y asociarse con el 3PAO de su elección para presentar una evaluación de seguridad anual de sus sistemas.