FedRAMP Compliance & Zertifizierung | Worauf es ankommt
Die Einhaltung der FedRAMP-Richtlinien ist äußerst wichtig, wenn Sie Cloud-Dienste für eine US-Bundesbehörde bereitstellen möchten. Doch wie nimmt man diesen Prozess am besten in Angriff?
Was bedeutet FedRAMP überhaupt? FedRAMP steht für das Federal Risk and Authorization Management Program, das vom US-amerikanischen Office of Management and Budget (OMB) und dem Joint Authorization Board (JAB) verwaltet wird und Cloud-Dienste genehmigt, die die US-Regierung nutzen kann.
Was ist FedRAMP und wer muss sich daran halten?
Das Federal Risk and Authorization Management Program (FedRAMP) ist ein einzigartiges Compliance-Rahmenwerk für Managed Service- und Cloud-Anbieter, die mit US-Bundesbehörden zusammenarbeiten.
Im Gegensatz zu anderen Frameworks wie dem Cybersecurity Maturity Model Certification (das sich an Auftragnehmer aus dem Verteidigungsbereich richtet, die mit Behörden des US-Verteidigungsministeriums zusammenarbeiten), gilt FedRAMP speziell für alle, die Cloud-basierte Produkte für US-Regierungsbehörden anbieten.
FedRAMP wurde 2011 vom Office of Management and Budget (OMB) eingerichtet, um die Cloud-Sicherheit an “kosteneffizienten, risikobasierten” Ansätzen zur Cyber-Security auszurichten. Nach Angaben des OMB fällt jedes Cloud-System, das Daten der US-Bundesbehörden überträgt oder speichert, unter dessen Zuständigkeit.
Für die Verwaltung der Compliance-Standards und die Erteilung der Zulassung (Authorization to Operate, ATO) an Unternehmen sind mehrere Stellen der US-Exekutive zuständig. Zu diesen Stellen gehören die folgenden:
- Office of Management and Budget (OMB): Das Verwaltungsorgan des FedRAMP-Programms.
- Joint Authorization Board (JAB) : Das mit der Leitung und Entscheidungsfindung beauftragte Gremium, das sich aus CIOs verschiedener anderer Einrichtungen zusammensetzt:
- Ministerium für Innere Sicherheit (Department of Homeland Security, DHS)
- Allgemeine Dienstleistungsverwaltung (General Services Administration)
- Verteidigungsministerium (Department of Defense, DoD)
- FedRAMP Program Management Office (PMO): Ein in der General Services Administration angesiedeltes Büro, das mit der Verwaltung der laufenden Vorgänge des Compliance Frameworks beauftragt ist.
- National Institute of Standards and Technology (NIST): Verantwortlich für die Entwicklung von Compliance-Standards.
- Department of Homeland Security (DHS): Neben der Beratung und Governance übernimmt das DHS das Management der Strategien zur kontinuierlichen Überwachung.
Im Rahmen dieser Gremien werden die Vorschriften genehmigt, weiterentwickelt, überarbeitet und umgesetzt. FedRAMP bezieht seine tatsächlichen technischen und physischen Anforderungen aus einigen wenigen grundlegenden Dokumenten:
- NIST Special Publication 800-53: NIST SP 800-53 definiert Sicherheitskontrollen, die Unternehmen einführen können, um ihre Systeme besser zu schützen, insbesondere in Übereinstimmung mit dem Federal Information Security Management Act (FISMA). NIST 800-53 ist für Unternehmen, die Compliance anstreben, von größerer Bedeutung und definiert Eskalationsstufen von Sicherheitskontrollen auf der Grundlage der Sensibilität der Informationen. FedRAMP nutzt NIST 800-53, um Kontrollen und Best Practices zu definieren, die Unternehmen für die Einhaltung der Vorschriften anwenden müssen.
- NIST Special Publication 800-37: Mit diesem Dokument wurde das Risk Management Framework (RMF) eingeführt, ein einzigartiges Regelwerk, das sich direkt darauf bezieht, wie Unternehmen Risikobewertungen und Risikomanagement-Kontrollen umsetzen. Je nach Auswirkungsgrad erfordert FedRAMP bestimmte Arten des Risikomanagements und die Einhaltung von bestimmten Elementen des RMF.
- Federal Information Processing Standards (FIPS) 140-2: FIPS 140-2 definiert die Anforderungen für US-Bundesbehörden und Auftragnehmer bei der Implementierung kryptografischer Module und der Verschlüsselung von Daten.
- FIPS 199: Dieses Dokument definiert die Sicherheitsstufen (Impact Levels), die FedRAMP verwendet, um die Anforderungen an Sicherheit, Datenschutz und Risikomanagement zu bestimmen.
Um die Zulassung (Authority to Operate, ATO) zu erhalten, müssen Cloud-Anbieter ein strenges Audit-Verfahren durchlaufen. Einer der wichtigsten Aspekte der Audits ist die Einbindung von Third-Party Assessment Organisationen (3PAOs).
Nach den US-amerikanischen Vorschriften müssen alle Cloud-Anbieter Audits durch einen unparteiischen und zugelassenen externen Gutachter durchführen lassen. Eine solche Third Party Assessment Organisation, 3PAO, ist ein für Audits zertifiziertes Sicherheitsunternehmen, das diese Rolle unter der Leitung und Aufsicht des PMO und des JAB erfüllt. Ein Unternehmen, das die ATO auf einer beliebigen Stufe anstrebt, kann die ATO erst dann erlangen, wenn es sich einer vollständigen Prüfung durch eine 3PAO unterzogen hat, das die Einhaltung der Vorschriften bescheinigt.
FedRAMP ATO, Sicherheitsstufen und Audits
Die FedRAMP-Autorisierung ist in drei Sicherheitsstufen (Impact Levels) unterteilt, und die 3PAOs bewerten Cloud-Anbieter anhand der Anforderungen dieser Stufen.
Die Impact Levels von FedRAMP sind in FIPS 199 beschrieben und beinhalten die folgenden:
- Low Impact (geringe Auswirkung): Auf dieser Stufe werden in den IT-Systemen eines Cloud-Anbieters Informationen verarbeitet, die zwar durch das Informationsfreiheitsgesetz (Freedom of Information Act, FIA) öffentlich zugänglich sind, aber dennoch als sensibel und wichtig für den Betrieb einer bestimmten Behörde gelten. Der Verlust, Diebstahl oder die Beschädigung dieser Informationen könnte sich negativ auf den Betrieb der Behörde auswirken und negative Folgen für die Wählerschaft haben.
- Moderate Impact (mäßige Auswirkungen): In den Systemen eines Cloud-Providers werden Daten verarbeitet, die schwerwiegende Auswirkungen auf die Behörde oder ihre Bürger haben. Dies kann betriebliche Schäden an den Vermögenswerten der Behörde, finanzielle Verluste für die Behörde oder Schäden für Einzelpersonen (einschließlich finanzieller Schäden, Beeinträchtigung der Privatsphäre oder der Sicherheit) umfassen.
- High Impact (schwerwiegende Auswirkungen): Wenn die vom Anbieter verwalteten Daten gestohlen werden, verloren gehen oder beschädigt werden, kann dies katastrophale Auswirkungen auf die Behörden und ihre Bürger haben. Zu den nachteiligen Auswirkungen können der finanzielle Ruin der Behörde und ihrer Bürger, der vollständige Verlust des Datenschutzes bei besonders sensiblen Daten (z. B. Gesundheitsdaten oder personenbezogene Daten) oder sogar körperliche Schäden gehören.
Schließlich gibt es einige Standarddokumente, die die meisten Unternehmen, die die ATO anstreben, während des Audits vorlegen müssen. Dazu gehören die folgenden:
- System Security Plan (SSP): Während die Behörde die Anforderungen und Kontrollen festlegt, muss der Cloud-Service-Provider den Prozess mit der Vorlage seines SSP einleiten. In diesem Bericht werden die bestehende Infrastruktur des Anbieters sowie die Kontrollen und Maßnahmen beschrieben, die er umsetzen muss, um die gewünschte ATO zu erreichen.
- Control Implementation Summary (CIS): Der Anbieter dokumentiert und erläutert die sicherheitsrelevanten Aufgaben, die er für die Behörde übernehmen würde, wobei die Behörde die Zusammenfassung auf ihre Richtigkeit überprüft.
- Security Assessment Plan (SAP): Der SAP basiert auf dem SSP. Der Cloud-Anbieter und die 3PAO erstellen den SAP, in dem alle im Rahmen des Audits angewandten Verfahren, Methoden und Tests beschrieben sind.
- Security Assessment Report (SAR): Der SAR beschreibt die Ergebnisse der Audits. Er wird ausschließlich von der 3PAO erstellt und enthält Angaben darüber, was getestet wurde, was nicht getestet wurde, welche Kontrollen den Anforderungen entsprachen und welche nicht. Der SAR enthält auch Vorschläge für eventuelle Nachbesserungsmaßnahmen.
- Plan of Action and Milestones (POA&M): In diesem vom Cloud-Provider erstellten Bericht werden alle erforderlichen Nachbesserungsmaßnahmen und Fristen für die Korrektur nicht konformer Systeme dargelegt. Wenn die 3PAO feststellt, dass ein Unternehmen mit relativ einfachen Korrekturmaßnahmen auf seine ATO vorbereitet ist, kann der POA&M als eine Art verbindliche Vereinbarung gelten, dass der Anbieter diese Maßnahmen innerhalb eines angemessenen Zeitraums umsetzt.
Welche Wege führen zur FedRAMP-Autorisierung?
Dieser Artikel beschreibt allgemeine Ansätze zur Autorisierung. Es ist jedoch wichtig zu beachten, dass diese Ansätze in einen der beiden wesentlichen Wege zur ATO münden. Der Weg, für den sich ein Unternehmen entscheidet, kann das weitere Vorgehen bei Compliance-Audits erheblich beeinflussen.
Die beiden Wege, die ein Unternehmen zur Erteilung der Zulassung einschlagen kann, sind die folgenden:
- Autorisierung durch die Behörde: In den meisten Fällen antwortet ein Cloud-Anbieter auf eine Ausschreibung einer Regierungsbehörde oder arbeitet auf andere Weise mit ihr zusammen. Im Gegenzug unterstützt die Behörde den Anbieter während des Genehmigungsverfahrens. Im Rahmen dieses Prozesses definiert die Behörde die Anforderungen an die Zulassung.
- Da eine Behörde die Details hinsichtlich der Compliance und der Sicherheit festlegt, hat sie einen größeren Spielraum bei der Entscheidung, ob eine unkonventionelle Infrastruktur ihre Anforderungen gemäß FedRAMP erfüllt. Darüber hinaus stellen die Behörden oft zusätzliche Anforderungen an Cloud-Anbieter, die über die eigentlichen Sicherheitsstufen (Impact Levels) hinausgehen.
- Letztlich ist der Anbieter jedoch nicht berechtigt, mit anderen Behörden zusammenzuarbeiten. Die Bereitstellung eines Cloud-Produkts für eine andere Behörde würde ein weiteres Prüfungs- und Genehmigungsverfahren mit dieser Organisation erfordern.
- JAB-Autorisierung: Umgekehrt kann sich ein Unternehmen einer provisorischen ATO (P-ATO) unter der Zuständigkeit des JAB (Joint Authorization Board) unterziehen. JAB und das PMO (FedRAMP Program Management Office) genehmigen Audits und Zulassungen direkt.
- Der Vorteil einer P-ATO ist, dass sie allgemeiner gehalten ist. Während das JAB keine Verantwortung für behördenspezifische Sicherheitsanforderungen übernimmt, können die Behörden ein P-ATO-Paket verwenden, um einen Anbieter für eine spezifische Autorisierung in Betracht zu ziehen. Der Cloud-Anbieter mit einer P-ATO ist in der Regel bereit, mit mehreren Behörden zusammenzuarbeiten.
- Allerdings dauert dieses Verfahren ein wenig länger. Zunächst muss sich der Anbieter, der eine P-ATO anstrebt, über das FedRAMP-Connect-Programm um die Zulassung bewerben. Nach der Genehmigung muss der Anbieter außerdem einen von einem 3PAO ausgefüllten Ready Assessment Report vorlegen. Ein Bericht, der bescheinigt, dass der Anbieter in der Lage ist, das Audit durchzuführen.
In beiden Fällen geht es in der Regel um Gründlichkeit und Vollständigkeit:
- Zusammenarbeit mit einer fachkundigen 3PAO: Diese Organisationen sind im FedRAMP Marketplace Eine qualifizierte und sachkundige 3PAO kann einen großen Beitrag zur effektiven Auditvorbereitung und Berichtslegung leisten.
- Vorbereitung auf eine fortlaufende Überwachung: Der letzte Schritt im Rahmen des Compliance-Audits ist die kontinuierliche Überwachung und jährliche Audits. Sobald die Compliance umgesetzt ist, obliegt es dem Anbieter, diese Standards aufrechtzuerhalten, auch wenn sich Bedrohungen und Best Practices ändern.
- Vorlagen und Dokumentation verstehen: Das PMO stellt eine Reihe von Vorlagen zur Verfügung, die Anbieter und 3PAOs verwenden, um standardisierte Berichte zu erstellen. Laden Sie diese Berichte herunter und verschaffen Sie sich einen Überblick darüber, wie sie im Rahmen des Audits verwendet werden.
Was ist der FedRAMP Marketplace?
Die Behörden müssen in der Lage sein, zu überprüfen, ob die Anbieter autorisiert sind, und es ist wichtig, dass Anbieter, die sich Audits unterziehen, 3PAOs finden können, die gemäß den Vorschriften zertifiziert sind. Der FedRAMP Marketplace löst dieses Problem durch die Bereitstellung einer durchsuchbaren Datenbank mit Anbietern, die ihre ATO erworben haben, mit 3PAOs, die für die Durchführung von Audits zertifiziert sind, und mit spezifischen Plattformen und Produkten, die die Compliance erfüllen oder unterstützen können.
Wer sich für diese Themen interessiert, kann die durchsuchbare Website des FedRAMP Marketplace nutzen, um richtlinienkonforme Produkte, Cloud-Anbieter und externe Gutachter zu finden.
Nutzen Sie FedRAMP-konforme Cloud-Plattformen, um Ihren Kundenstamm zu erweitern
Die Vorschriften der US-Behörden sind streng und das aus gutem Grund: Sie sollen wichtige Informationen vor Angriffen schützen. Unternehmen, die bereit sind, sich den strengen Anforderungen eines ATO- oder P-ATO-Audits zu unterziehen, werden sich fast immer sicherer fühlen und besser in der Lage sein, wichtigen Regierungsbehörden Produkte und Dienstleistungen anzubieten.
Hier erfahren Sie mehr über die FedRAMP Private Cloud und warum Unternehmen FedRAMP-autorisierte Cloud-Service-Provider nutzen sollten, um sensible Inhalte zu schützen, die in ihr Unternehmen gelangen, sich dort befinden oder es verlassen.
–>