Définition et objectif

StateRAMP a été créé pour fournir une approche standardisée des normes de cybersécurité requises par les prestataires de services offrant des solutions aux gouvernements des États et locaux.

En fournissant aux organisations de services des normes et des directives claires pour construire, maintenir et améliorer continuellement une posture de cybersécurité solide, StateRAMP aide les organisations de services à instaurer la confiance et à sécuriser les clients au sein des gouvernements des États et locaux ainsi que des établissements d'enseignement supérieur.

StateRAMP a quatre objectifs principaux :

• aider les gouvernements des États et locaux, les institutions d'enseignement public et les districts spéciaux à protéger les données des citoyens
• Économiser l'argent des contribuables et des fournisseurs avec un modèle « vérifier une fois, servir plusieurs »
• réduire les charges pour le gouvernement; et (4) promouvoir l'éducation et les meilleures pratiques en
• cybersécurité auprès de ceux qu'il sert dans les communautés industrielles et gouvernementales.

Organe dirigeant

StateRAMP est une organisation à but non lucratif enregistrée 501(c)(6) composée de prestataires de services offrant des solutions IaaS, PaaS et/ou SaaS, d'organisations d'évaluation tierces et de responsables gouvernementaux. Cette organisation est responsable de l'élaboration de normes de sécurité cloud ainsi que d'une méthode commune de vérification de la sécurité cloud des fournisseurs qui utilisent ou proposent des solutions cloud qui traitent, stockent et/ou transmettent les données gouvernementales.

Dernière mise à jour

StateRAMP a été fondé pour la première fois au début de 2020 par un comité directeur de responsables gouvernementaux et industriels.

Il a récemment publié un nouvel outil d'évaluation de la maturité de la sécurité pour les produits cloud en phase initiale, connu sous le nom de StateRAMP Security Snapshot, en décembre 2022. L'objectif des critères instantanés de sécurité est d'offrir aux fournisseurs une première étape vers l'obtention d'un statut de sécurité StateRAMP vérifié.

S'applique à

StateRAMP est destiné aux prestataires de services qui travaillent avec des agences gouvernementales locales et étatiques, et des établissements d'enseignement supérieur, y compris les solutions IaaS, PaaS et SaaS.

Contrôles et exigences

Comme FedRAMP, StateRAMP utilise le cadre NIST 800-53 du National Institute of Standards and Technology (NIST) pour évaluer les fournisseurs et leurs pratiques de cybersécurité. Les deux utilisent les exigences NIST 800-53 comme critères d'évaluation, ainsi que les niveaux d'impact NIST (Faible, Modéré, Élevé) pour évaluer les contrôles.

Les fournisseurs de services cloud (CSP) qui souhaitent être inclus dans la liste des produits autorisés par StateRAMP doivent mettre en œuvre des contrôles assignés à leur base de contrôle de sécurité respective et subir un audit par une organisation d'évaluation tierce (3PAO).

Veuillez visiter www.stateramp.org/templates-resources pour plus de détails sur les exigences.

Type d'audit, fréquence et durée

Pour obtenir un statut de sécurité StateRAMP, les organisations de services doivent subir des audits indépendants réalisés par des 3PAO.

Pour maintenir ce statut, les organisations de services doivent soumettre des rapports mensuels et trimestriels au bureau de gestion du programme StateRAMP et collaborer avec le 3PAO de leur choix pour soumettre une évaluation annuelle de la sécurité de leurs systèmes.