O Federal Risk and Authorization Management Program (FedRAMP) é um programa governamental que oferece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem. O FedRAMP é projetado para melhorar a segurança e reduzir os riscos para os órgãos federais que utilizam serviços em nuvem. O programa também visa tornar mais fácil para os provedores de serviços de nuvem fazer negócios com o governo, fornecendo um conjunto claro e consistente de requisitos de segurança.
O FedRAMP foi criado em resposta a uma diretiva do Office of Management and Budget (OMB) de que todas as agências federais utilizam serviços em nuvem que foram testados e autorizados por terceiros. O programa é supervisionado por um esforço conjunto entre a General Services Administration (GSA) e o Department of Homeland Security (DHS).
O FedRAMP inclui três níveis de requisitos de segurança, chamados linhas de base, que são baseados na sensibilidade dos dados que serão armazenados ou processados por um serviço de nuvem. As linhas de base são chamadas de Low, Moderate e High. Os provedores de serviços em nuvem devem atender aos requisitos de segurança da linha de base apropriada antes de poderem ser autorizados a fazer negócios com o governo.
A FedRAMP também exige que os provedores de serviços de nuvem passem por um monitoramento contínuo para garantir que seus controles de segurança permaneçam eficazes. Isso inclui testar regularmente seus sistemas e fornecer ao governo relatórios sobre sua postura de segurança.
O programa FedRAMP tem sido bem sucedido na redução de riscos para as agências federais e na facilitação dos negócios dos provedores de serviços de nuvem com o governo. Em junho de 2018, havia mais de 500 produtos e serviços que haviam sido autorizados pelo programa. O NIST 800-171 requer o FedRAMP? O NIST 800-171 é um conjunto de padrões de segurança para sistemas e organizações de informação não-federais. Ela não é específica para o governo federal ou seus contratantes. FedRAMP é um programa do governo federal que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo dos serviços de nuvem usados pelo governo. Embora o NIST 800-171 não seja necessário para o cumprimento do FedRAMP, ele é recomendado como uma melhor prática.
O FedRAMP é uma estrutura?
Sim, o FedRAMP é uma estrutura. Especificamente, é uma estrutura de segurança que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo para produtos e serviços em nuvem usados pelo governo federal dos EUA.
Que garantia de segurança o FedRAMP fornece?
FedRAMP é um programa governamental que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo para produtos e serviços em nuvem. Este programa foi criado em resposta à crescente necessidade das agências de adotar tecnologias de nuvem de forma segura e eficiente.
O FedRAMP fornece um conjunto de controles e processos de segurança que são projetados para reduzir o risco do uso de serviços em nuvem. Esses controles são baseados nas melhores práticas da indústria e são mapeados para os requisitos de segurança do Federal Information Security Management Act (FISMA).
Todos os provedores de serviços de nuvem que desejam fazer negócios com o governo federal devem passar por um rigoroso processo de avaliação de segurança a fim de obter uma autorização FedRAMP. Este processo inclui uma revisão dos controles de segurança implementados pelo provedor, bem como uma avaliação in loco da postura de segurança do provedor.
Uma vez que um provedor de serviços em nuvem tenha sido autorizado pela FedRAMP, ele deve manter um programa contínuo de monitoramento de segurança para garantir que seus controles de segurança permaneçam eficazes. O FedRAMP também exige que os provedores de serviços de nuvem relatem quaisquer incidentes de segurança que ocorram.
O programa FedRAMP fornece um alto nível de garantia de que os serviços em nuvem utilizados pelo governo federal são seguros. Ao padronizar a avaliação de segurança e o processo de autorização, o FedRAMP facilita a adoção de tecnologias de nuvem pelas agências e, ao mesmo tempo, o cumprimento de suas obrigações de segurança.
O FedRAMP é rentável?
Não há uma resposta simples para a questão de se o FedRAMP é rentável. O programa foi projetado para melhorar a segurança dos sistemas de informação do governo, mas não está claro o quanto ele realmente contribuiu para esse objetivo. Além disso, o programa tem sido criticado por ser muito caro e por não fornecer valor suficiente para justificar o seu custo.
Qual é a diferença entre o NIST e o FedRAMP?
Existem algumas diferenças chave entre o Instituto Nacional de Padrões e Tecnologia (NIST) e o Federal Risk and Authorization Management Program (FedRAMP).
O NIST é uma agência federal não-reguladora dentro do Departamento de Comércio dos Estados Unidos que promove a inovação e a competitividade industrial através do avanço da ciência, dos padrões e da tecnologia de medição de forma a aumentar a segurança econômica e melhorar a nossa qualidade de vida.
O FedRAMP é um programa de âmbito governamental que oferece uma abordagem padronizada de avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem.
NIST desenvolve padrões de segurança que são voluntários, mas muitas empresas optam por adotá-los para demonstrar que seus produtos e serviços atendem a um alto nível de segurança. O FedRAMP, por outro lado, é um programa obrigatório para qualquer provedor de serviços em nuvem que queira fazer negócios com o governo federal.
Adicionalmente, os padrões NIST são neutros em termos de tecnologia, o que significa que podem ser aplicados a qualquer tipo de tecnologia. O FedRAMP, por outro lado, é específico para a computação em nuvem.