Comprendre TX-RAMP 3.0 : Un guide complet [+ liste de contrôle]
À mesure que de plus en plus d'organisations s'appuient sur des fournisseurs de services cloud (CSP) pour offrir une infrastructure et des services sécurisés et fiables, les gouvernements locaux et des États mettent en place des réglementations et des critères de sécurité de plus en plus nombreux pour protéger contre les vulnérabilités des plateformes cloud, les erreurs de configuration ou les faiblesses de sécurité de l'infrastructure sous-jacente qui peuvent exposer ces entités à des risques de sécurité importants.
Le Texas Risk and Authorization Management Program (TX-RAMP) est l'un de ces cadres pour gérer ces risques.
Dans cet article de blog, nous explorerons ce qu'est TX-RAMP, qui doit s'y conformer, combien de niveaux de certification il y a et comment Secureframe peut aider à simplifier le processus. Nous répondrons également à quelques questions fréquemment posées pour vous assurer d'avoir une compréhension complète de ce cadre.
Qu'est-ce que le Texas Risk and Authorization Management Program (TX-RAMP) ?
Le Texas Risk and Authorization Management Program (TX-RAMP) est un cadre qui standardise le processus de gestion des risques et d'autorisation pour les services cloud utilisés par les agences de l'État du Texas, les universités et d'autres institutions. Développé par le Texas Department of Information Resources (DIR), TX-RAMP vise à garantir que les fournisseurs de services cloud répondent aux exigences de sécurité et de confidentialité de l'État, facilitant ainsi une utilisation sécurisée et efficace des services cloud dans le secteur public.
TX-RAMP 3.0, la dernière version du cadre, a été publiée en octobre 2023 et est entrée en vigueur en décembre 2023. Examinons de plus près cette révision ci-dessous.
TX-RAMP 3.0
TX-RAMP 3.0 représente la dernière itération du programme. Un objectif clé de cette révision était d'incorporer des améliorations et de rationaliser les flux de travail afin de rendre le processus plus rapide et moins difficile pour les organisations à respecter. TX-RAMP 3.0 intègre également des mises à jour basées sur les retours des versions précédentes et sur l'évolution de la menace pour garantir que les services cloud utilisés par les entités de l'État du Texas sont sécurisés et résilients face aux menaces émergentes.
À ces fins, TX-RAMP 3.0 introduit des contrôles de sécurité plus stricts, des directives plus claires et un processus d'évaluation plus rationalisé.
Voici trois des changements les plus significatifs entre TX-RAMP 2.0 et TX-RAMP 3.0 :
- Ajout d'un processus d'évaluation rapide : TX-RAMP 3.0 a introduit un processus d'évaluation rapide. Cela permet aux CSP de tirer parti des évaluations ou rapports d'audit tiers déjà approuvés par le DIR et fournissant des preuves des pratiques de sécurité pour obtenir une certification de niveau 1 ou de niveau 2. Ces évaluations tierces qui peuvent être acceptables pour l'évaluation rapide incluent SOC 2 Type 2, PCI DSS et HITRUST.
- Ajout d'une période de grâce transitoire : TX-RAMP 3.0 a également introduit une période de grâce transitoire. Cela permet aux agences de l'État de créer et d'utiliser un plan de transition dans le cas où la certification TX-RAMP d'une solution conforme expire ou est révoquée. Ce délai ne doit pas dépasser 24 mois entre le début prévu et l'exécution.
- Clarification des services non soumis à la certification TX-RAMP : Dans TX-RAMP 3.0, une clarification supplémentaire est apportée pour les services de cloud computing qui sont hors du champ d'application de la certification TX-RAMP dans une nouvelle section du manuel du programme. Des exemples incluent certains CSP qui ont une utilisation non substantielle des données confidentielles contrôlées par l'État et des applications développées sur mesure, entre autres catégories.
Lecture recommandée
Conformité SOC 2 Type II : Définition, exigences et raisons pour lesquelles vous en avez besoin
Quelles organisations doivent se conformer aux exigences TX-RAMP?
Les agences d'État, les établissements d'enseignement supérieur, les collèges communautaires publics et les fournisseurs de services cloud doivent se conformer aux exigences TX-RAMP. Cependant, les exigences applicables diffèrent pour ces groupes.
Les agences d'État, les établissements d'enseignement supérieur, les collèges communautaires publics et d'autres entités définies par la Section 2054.00 du Code gouvernemental du Texas doivent se conformer aux exigences légales de passation de marchés pour les services cloud avec une certification TX-RAMP appropriée. En autres termes, ils doivent uniquement conclure ou renouveler des contrats pour recevoir des services d'informatique en nuage conformes aux exigences TX-RAMP. Cela implique de déterminer si un service d'informatique en nuage est dans le champ d'application de TX-RAMP et le niveau TX-RAMP approprié pour le service.
Les fournisseurs de services cloud qui manipulent des données sensibles ou confidentielles au nom de ces entités doivent, quant à eux, se conformer aux critères de sécurité pour recevoir et maintenir une certification TX-RAMP pour un service d'informatique en nuage.
Il est important de noter qu'il n'est pas obligatoire pour tous les fournisseurs de services cloud conformes à TX-RAMP d'utiliser uniquement des fournisseurs ou des services tiers conformes à TX-RAMP eux-mêmes.
Maintenant que nous comprenons à qui s'applique TX-RAMP, examinons les niveaux de certification ci-dessous.
Niveaux de certification TX-RAMP
TX-RAMP a trois niveaux de certification pour répondre à différents degrés de risque et de sensibilité des données associés aux services cloud. Ces niveaux sont détaillés ci-dessous.
Certification TX-RAMP Niveau 1
Le niveau 1 est destiné aux services cloud qu'une agence catégorise comme des ressources d'information à faible impact. Cela signifie que le CSP traite ou stocke une quantité et/ou une qualité négligeable de données confidentielles contrôlées par l'État, de sorte que toute perte de confidentialité, d'intégrité ou de disponibilité de ces données aurait un effet adverse limité sur l'agence.
Les exigences de sécurité à ce niveau sont moins rigoureuses que celles du Niveau 2. Le niveau 1 de base est composé de 117 contrôles basés sur le NIST 800-53 Low Impact Baseline.
Certification TX-RAMP Niveau 2
Ce niveau s'applique aux services cloud qu'une agence catégorise comme des ressources d'information d'impact modéré ou élevé. Cela signifie que le CSP traite ou stocke une quantité importante de données confidentielles contrôlées par l'État, de sorte que toute perte de confidentialité, d'intégrité ou de disponibilité de ces données aurait un effet grave ou sévère/catastrophique sur l'agence.
Le niveau 2 nécessite des contrôles de sécurité plus complets et une évaluation approfondie des risques. Ce niveau est composé de 223 contrôles basés sur le NIST 800-53 Moderate Impact Baseline.
Certification TX-RAMP Provisoire
La Certification Provisoire TX-RAMP est une désignation accordée aux CSP qui permet aux agences de l'État du Texas de conclure ou de renouveler temporairement un contrat avec un CSP pendant qu'ils entreprennent le processus complet de certification TX-RAMP. Le CSP doit obtenir une certification TX-RAMP Niveau 1 ou Niveau 2 dans les 18 mois à compter de la date à laquelle la certification provisoire est accordée par le DIR, sinon elle expirera.
Un CSP peut également maintenir la validité de sa certification provisoire en obtenant un statut acceptable au sein de StateRAMP ou FedRAMP.
Lectures recommandées
Conformité NIST 800-53 : Qu'est-ce que c'est et comment l'obtenir [+ Liste de contrôle]
Lectures recommandées
Guide de la collecte automatisée de preuves pour la conformité
5. Soumettez une demande d'évaluation
Une fois votre documentation prête, initiez le processus de certification en remplissant le formulaire de demande d'évaluation TX-RAMP sur la page web TX-RAMP sur le site web du DIR.
Le DIR vous guidera à travers les étapes spécifiques et fournira toute information supplémentaire nécessaire pour votre niveau de certification. L'étape la plus importante est de compléter le questionnaire d'évaluation TX-RAMP, y compris le plan de sécurité TX-RAMP (cahier de contrôle de mise en œuvre), et de le soumettre au DIR.
6. Passez l'évaluation formelle
Une fois votre demande soumise, le DIR ou un évaluateur tiers autorisé effectuera une évaluation formelle de votre service cloud. Cette évaluation vérifiera que vous remplissez les contrôles de sécurité TX-RAMP et les exigences de votre niveau de certification. Le processus d'évaluation peut inclure :
- Revoir la documentation
- Mener des entretiens avec le personnel clé
- Réaliser des évaluations techniques de vos mesures de sécurité
7. Traitez toutes les constatations
Si l'évaluation identifie des lacunes de contrôle (c'est-à-dire non mises en œuvre ou partiellement mises en œuvre), vous devrez documenter et traiter ces constatations dans un POA&M. La correction de ces lacunes peut impliquer la mise en œuvre de mesures de sécurité supplémentaires, la mise à jour de la documentation ou la réalisation de changements procéduraux. Une fois les problèmes résolus, vous devrez peut-être subir une évaluation de suivi.
8. Obtenez la certification
Après avoir complété avec succès l'évaluation et traité toutes les constatations, vous recevrez votre certification TX-RAMP. Cette certification démontre que votre service cloud répond aux normes de sécurité et de gestion des risques requises, et que vous êtes apte à travailler avec les entités de l'État du Texas.
9. Maintenez la conformité
La certification TX-RAMP est généralement valable pour trois ans, avec des révisions annuelles nécessaires pour assurer la conformité continue. Pendant cette période, vous devez maintenir vos contrôles de sécurité, traiter tout changement dans votre service ou le paysage des menaces, et soumettre des rapports de surveillance continue.
Une plateforme d'automatisation de la conformité peut également automatiser le processus de surveillance continue, offrant à votre organisation une vue bien plus dynamique de l'efficacité de vos contrôles et de la posture globale de sécurité de l'organisation que les processus manuels.
En suivant ces étapes et en utilisant les bons outils, vous pouvez naviguer efficacement dans le processus de certification TX-RAMP et garantir que votre service cloud répond aux normes les plus élevées de sécurité et de conformité requises par l'État du Texas.
Lecture recommandée
7 avantages de la surveillance continue et comment l'automatisation peut maximiser l'impact
Liste de contrôle de conformité TX-RAMP
Obtenir et maintenir la certification TX-RAMP implique une approche structurée qui comprend une gamme d'activités depuis l'évaluation initiale jusqu'à la maintenance continue. Utilisez cette liste de contrôle pour guider votre organisation dans le processus de conformité.
Liste de contrôle de conformité TX-RAMP
Utilisez cette liste de contrôle pour guider vos efforts dans la réalisation de la conformité TX-RAMP.
Quelle est la durée de validité d'une certification TX-RAMP ?
Les certifications TX-RAMP de niveau 1 et de niveau 2 sont valables pendant trois ans, à condition que le fournisseur de services cloud continue de respecter les exigences du programme. Cela nécessite des examens annuels, qui impliquent d'évaluer les changements dans le service, le paysage des menaces et la posture de sécurité du fournisseur. La surveillance continue et le respect des exigences TX-RAMP sont essentiels pour maintenir la validité du certificat pendant toute sa durée.
Pour être recertifiés, les fournisseurs de services cloud doivent examiner et mettre à jour les détails de mise en œuvre des contrôles si nécessaire et fournir à la DIR une documentation mise à jour pour révision. Les CSP peuvent demander à initier le processus de recertification jusqu'à 12 mois avant la date de fin de la certification.
Une certification provisoire TX-RAMP est valable pendant 18 mois à compter de la date de délivrance de la certification.
Le guide ultime des cadres fédéraux
Obtenez un aperçu des cadres fédéraux les plus courants, à qui ils s'appliquent et quelles sont leurs exigences.
Évaluation accélérée TX-RAMP
L'évaluation accélérée TX-RAMP est un processus accéléré conçu pour les fournisseurs de services cloud qui ont déjà subi des évaluations de sécurité rigoureuses et disposent d'évaluations tierces ou de rapports d'audit approuvés par la DIR, fournissant des preuves vérifiées des pratiques de sécurité.
En permettant aux CSP de tirer parti de leurs évaluations tierces ou rapports d'audit existants pour obtenir la certification TX-RAMP plus rapidement, cette option d'évaluation accélérée vise à réduire la redondance et à accélérer le processus d'approbation tout en maintenant les normes de sécurité nécessaires.
Actuellement, la DIR accepte les évaluations tierces ou rapports d'audit suivants pour être considérés pour l'évaluation accélérée :
- Rapport SOC 2 Type 2
- Évaluation validée par un évaluateur externe autorisé HITRUST
- Rapport d'audit PCI DSS par un évaluateur de sécurité qualifié sur la conformité (RoC)
Meilleures pratiques pour la certification TX-RAMP
Voici quelques meilleures pratiques pour obtenir et maintenir la certification TX-RAMP :
- Maintenir une documentation complète : Maintenez une documentation détaillée de toutes les politiques de sécurité, procédures et contrôles, en vous assurant qu'elle soit facilement accessible et à jour. Développez un plan de réponse aux incidents bien défini qui décrit les étapes spécifiques à suivre en cas de violation de la sécurité. Cette documentation complète soutient la conformité et la préparation.
- Effectuer des formations régulières pour les employés : Organisez régulièrement des sessions de formation sur la sensibilisation à la sécurité pour informer les employés de leurs rôles dans le maintien de la sécurité. Mettez en place des simulations de phishing et d'autres exercices de formation pour améliorer leur capacité à reconnaître et à répondre aux menaces de sécurité. Une éducation continue aide à instaurer une culture de la sécurité au sein de l'organisation.
- Effectuer des revues régulières : Réalisez régulièrement des revues de vos pratiques et contrôles de sécurité pour vous assurer qu'ils restent efficaces et conformes. Si des domaines où vos pratiques actuelles ne répondent pas aux normes TX-RAMP sont identifiés, développez un plan de remédiation avec des actions spécifiques, des calendriers et des responsabilités assignées pour remédier à ces lacunes. Cette approche proactive aide à simplifier le chemin vers la conformité.
- Tirer parti de l'automatisation : L'utilisation d'une plateforme d'automatisation de la conformité peut considérablement simplifier le processus de certification TX-RAMP. Avec ce type d'outil, vous pouvez automatiser les évaluations des risques, gérer la documentation, surveiller les contrôles de sécurité et assurer une conformité continue. Cela peut réduire le temps et l'effort nécessaires pour obtenir et maintenir la certification TX-RAMP.
Automatiser la conformité TX-RAMP avec Secureframe
En tant que seule plateforme d'automatisation de la conformité qui prend en charge TX-RAMP, Secureframe simplifie considérablement le processus d'obtention de la certification TX-RAMP, aidant les fournisseurs de services cloud à gérer efficacement et à répondre aux exigences de sécurité nécessaires.
Les principales caractéristiques incluent :
- Expertise en conformité gouvernementale et fédérale : Notre équipe de conformité dédiée et de classe mondiale comprend d'anciens auditeurs FISMA, FedRAMP et CMMC qui ont l'expertise et l'expérience nécessaires pour vous soutenir à chaque étape.
- Intégrations avec des produits cloud fédéraux : Secureframe s'intègre à votre pile technologique existante, y compris AWS GovCloud, pour automatiser la surveillance de l'infrastructure et la collecte de preuves.
- Réseau de partenaires de confiance : Secureframe entretient des relations solides avec des partenaires qui peuvent offrir des services vCISO (c'est-à-dire des conseils et un soutien sur mesure) pour aider à simplifier la conformité TX-RAMP, comme RISC Point et CyAlpha. Secureframe s'associe également à des cabinets d'audit respectés qui sont des organisations d'évaluation tierces certifiées (3PAO) et peuvent soutenir les évaluations TX-RAMP Fast Track par le biais d'autres audits fédéraux tels que FedRAMP.
- Gestion des politiques : La plateforme fournit des politiques, des procédures et un plan de sécurité du système (SSP) modélisés pour répondre aux exigences et vous aider à vous préparer aux évaluations, y compris les documents POA&M, les évaluations d'impact et les listes de vérification de préparation.
- Cartographie croisée entre les cadres : TX-RAMP a de nombreuses exigences qui se chevauchent avec NIST 800-53, StateRAMP, NIST 800-171, FedRAMP, CJIS, CMMC et d'autres cadres fédéraux. Au lieu de repartir de zéro, notre plateforme peut aider à cartographier ce que vous avez déjà fait pour TX-RAMP vers d'autres cadres afin que vous ne dupliquiez jamais les efforts.
- Surveillance continue : En surveillant votre pile technologique 24h/24 et 7j/7 pour vous alerter des non-conformités, Secureframe facilite le maintien de la conformité continue. Vous pouvez spécifier des intervalles de test et des notifications pour les tâches régulières requises pour maintenir la conformité TX-RAMP. Vous pouvez également utiliser nos capacités de gestion des risques et des vulnérabilités pour soutenir vos efforts de surveillance continue et la maintenance POA&M.
Pour savoir comment Secureframe peut aider votre organisation à réduire le temps et l'effort nécessaires pour obtenir et maintenir la certification TX-RAMP, planifiez une démo avec un expert produit.
FAQs
Quels types de services cloud sont couverts par TX-RAMP?
TX-RAMP couvre divers types de services cloud utilisés par les agences d'État du Texas et les établissements d'enseignement supérieur, y compris les solutions SaaS, PaaS et IaaS.
Les certifications existantes comme FedRAMP peuvent-elles être utilisées pour la conformité TX-RAMP?
Les organisations peuvent obtenir la certification TX-RAMP Niveau 1 et Niveau 2 en obtenant l'autorisation correspondante acceptée par StateRAMP ou FedRAMP. Elles peuvent également soumettre des certifications existantes telles qu'un rapport SOC 2 Type II pour évaluation pour le processus d'évaluation accélérée.
Que se passe-t-il si un fournisseur de services cloud ne répond pas aux exigences de TX-RAMP?
Si un fournisseur de services cloud ne répond pas aux exigences de TX-RAMP, il peut être inéligible pour fournir des services aux entités étatiques du Texas, ce qui affecte ses opportunités commerciales.
La certification TX-RAMP est-elle obligatoire pour tous les fournisseurs de services cloud?
La certification TX-RAMP est obligatoire pour les fournisseurs de services cloud qui fournissent des services et traitent ou stockent des données confidentielles des agences d'État du Texas, des institutions publiques d'enseignement supérieur et d'autres entités étatiques.
À quelle fréquence les exigences TX-RAMP sont-elles mises à jour?
Les exigences TX-RAMP sont périodiquement mises à jour pour refléter les changements dans le paysage de la sécurité et pour intégrer les retours des parties prenantes. Lancé pour la première fois en 2021, TX-RAMP a connu deux révisions majeures, la dernière entrant en vigueur en décembre 2023.
Quelle loi impose TX-RAMP?
La Section 2054.0593 du Code du Gouvernement du Texas impose que les agences d'État comme défini par la Section 2054.003(13) du Code du Gouvernement du Texas ne doivent conclure ou renouveler des contrats pour recevoir des services de cloud computing qui sont conformes aux exigences de TX-RAMP.
Quelle est la différence entre TX-RAMP, StateRAMP et FedRAMP?
TX-RAMP s'applique aux services cloud utilisés par les agences d'État du Texas, garantissant qu'ils répondent aux normes spécifiques de sécurité et de gestion des risques mandatées par le DIR du Texas. StateRAMP, inspiré de FedRAMP mais adapté aux gouvernements des États et locaux à travers les États-Unis, offre une approche standardisée des autorisations de sécurité pour les fournisseurs de services cloud desservant les gouvernements des États et locaux. FedRAMP est un programme fédéral qui standardise l'évaluation de sécurité, l'autorisation et la surveillance continue des produits et services cloud utilisés par les agences fédérales.
Étapes pour obtenir la certification TX-RAMP
Obtenir la certification TX-RAMP implique plusieurs étapes conçues pour s'assurer que les fournisseurs de services cloud (CSP) répondent aux critères de sécurité requis par l'État du Texas. Voici un aperçu détaillé du processus :
1. Comprendre les exigences de TX-RAMP
Avant de commencer le processus de certification, il est essentiel de se familiariser avec les exigences de TX-RAMP. Celles-ci sont définies par le Département des ressources informationnelles du Texas et incluent des contrôles de sécurité spécifiques, de la documentation et des pratiques de gestion des risques. Comprendre ces exigences est une première étape importante pour préparer et rationaliser le processus de certification.
Si vous êtes client de Secureframe, la plateforme présente ces exigences pour vous, mais vous pouvez parler à un responsable de la conformité pour vous aider à comprendre ces exigences et celles applicables en fonction de votre environnement actuel.
2. Déterminer le niveau de certification approprié
Une agence d'État est responsable de déterminer le niveau de certification TX-RAMP requis pour votre service de cloud computing.
Cependant, si vous poursuivez la certification TX-RAMP avant qu'un client ne l'ait demandée, vous pouvez déterminer quel niveau s'applique le mieux à votre service cloud en fonction de la nature des données que vous stockez ou traitez et de l'impact potentiel des violations de sécurité.
Si vous utilisez une plateforme d'automatisation de la conformité, assurez-vous qu'elle prend en charge les deux niveaux de certification comme le fait Secureframe. De cette façon, vous pouvez travailler avec n'importe quelle agence, quel que soit le niveau de certification qu'elle détermine applicable à votre service cloud.
3. Réaliser une auto-évaluation et une analyse des écarts
Effectuez une auto-évaluation pour évaluer votre posture de sécurité actuelle par rapport aux exigences de TX-RAMP. Identifiez les lacunes ou domaines nécessitant des améliorations. Cette étape est essentielle pour garantir que vous répondez aux contrôles nécessaires et pouvez remédier à toute déficience avant de procéder à l'évaluation formelle.
Un outil d'automatisation de la conformité comme Secureframe peut automatiser cette étape. Une fois que vous intégrez les logiciels et outils pertinents pour l'audit que vous utilisez au quotidien, la plateforme Secureframe vous montre exactement où vous en êtes et ce que vous devez faire pour vous conformer à la base de contrôle appropriée de TX-RAMP en fonction de vos configurations uniques et de votre infrastructure informatique. Au fur et à mesure que vous avancez dans le cadre et terminez les activités au sein de la plateforme Secureframe, elle se met à jour en indiquant votre pourcentage de progression vers la conformité.
4. Préparer la documentation requise
À ce stade, vous devrez rassembler et préparer toute la documentation requise. Cela inclut généralement :
Une plateforme d'automatisation de la conformité peut automatiser la préparation à l'audit, puis le processus de collecte des preuves, faisant gagner du temps et des ressources à votre organisation et réduisant les erreurs humaines.