Lassen Sie sich nicht täuschen: Warum leere Behauptungen von "FedRAMP-Äquivalenz" die CMMC-Compliance gefährden

Lassen Sie sich nicht täuschen: Warum leere Behauptungen von “FedRAMP-Äquivalenz” die CMMC-Compliance gefährden

Am 2. Januar 2024 hat das Verteidigungsministerium (Department of Defense, DoD) das Äquivalenz-Memo für das Federal Risk and Authorization Management Program (FedRAMP) herausgegeben. Das Memo enthält wichtige Hinweise zur FedRAMP-Moderate-Äquivalenz für Cloud-Dienstleistungen von Cloud-Service-Providern (CSPs). Es klärt die spezifischen Anforderungen für die FedRAMP-Moderate-Äquivalenz. Kurz gesagt, CSPs müssen die vollständige Konformität mit den neuesten moderaten Sicherheitskontrollen von FedRAMP erreichen und eine Bewertung durch eine von FedRAMP anerkannte Third Party Assessment Organization (3PAO) durchlaufen, um die FedRAMP-Moderate-Äquivalenz zu erreichen.

Mit der Ausgabe dieses Memos hofft das DoD, CSP-Anbieter davon abzuhalten, sich als “FedRAMP-äquivalent” zu bezeichnen, wenn sie die notwendigen Anforderungen zur Erlangung der FedRAMP-Moderate-Autorisierung nicht erfüllt haben.

Der CMMC-Zertifizierungsprozess ist mühsam, aber unsere CMMC 2.0 Compliance-Roadmap kann helfen.

Welche Datenkonformitätsstandards sind wichtig?

Jetzt lesen

FedRAMP-Äquivalenz vs. FedRAMP-Moderate-Autorisierung

Es gibt einige wichtige Unterschiede zwischen der FedRAMP-Moderate-Autorisierung und der FedRAMP-Äquivalenz. Werfen wir einen genaueren Blick auf jede.

Die FedRAMP-Moderate-Autorisierung ist ein Zertifizierungsprozess, bei dem ein Cloud-Service-Provider einen rigorosen Bewertungsprozess durchläuft und eine Betriebsgenehmigung (Authorization to Operate, ATO) von einer von FedRAMP autorisierten CMMC-Third-Party-Assessment-Organisation (C3PAOs) erhält. Dies zeigt an, dass der Dienst Sicherheitskontrollen und Prozesse implementiert hat, die den FedRAMP-Moderate-Anforderungen entsprechen.

Die FedRAMP-Äquivalenz bedeutet hingegen, dass ein Cloud-Service-Provider eine Zertifizierung hat, die in ihrer Strenge der FedRAMP-Moderate entspricht, aber tatsächlich nicht von FedRAMP autorisiert ist. Gängige Äquivalenzen sind ISO 27001, HITRUST CSF und DoD Provisional Authorization.

FedRAMP Moderate hat einen definierten Satz von 325 Sicherheitskontrollen basierend auf NIST SP 800-53. Äquivalente Zertifizierungen können Unterschiede in den Kontrollsets oder in der Strenge aufweisen, die für FedRAMP angegangen werden müssen. Daher bietet die FedRAMP-Äquivalenz zwar eine Grundlage, ersetzt jedoch nicht die Notwendigkeit einer vollständigen FedRAMP Moderate-Autorisierung für die Nutzung durch die Bundesregierung.

FedRAMP-Äquivalenz: Was Verteidigungsunternehmer und Subunternehmer wissen müssen

DFARS 7012 schreibt vor, dass Auftragnehmer nur Cloud-Service-Provider nutzen dürfen, die Sicherheitsanforderungen erfüllen, die einer FedRAMP Moderate Authorized entsprechen. Durch die Erreichung der FedRAMP Moderate-Autorisierung liefern CSPs einen geprüften Nachweis mit Sicherheitsdokumentationen, Berichten und laufenden Fortschritten bei der Behebung von Erkenntnissen. Der FedRAMP-Zertifizierungsprozess ist so streng, dass das DoD ihn als Goldstandard für die CMMC-Konformität betrachtet.

Gefahr von “Äquivalenten” Behauptungen

Die vagen Behauptungen der CSP-Anbieter, “FedRAMP-äquivalente” Cloud-Dienste anzubieten, sind für Auftragnehmer, die eine CMMC-Konformität benötigen, problematisch geworden. Es sei nochmals wiederholt: FedRAMP-Äquivalenz ist nicht dasselbe wie FedRAMP Moderate Authorized.

Während die FedRAMP Moderate-Autorisierung einen definitiven Nachweis für robuste Sicherheitskontrollen liefert, machen viele CSPs unbegründete Behauptungen zur Äquivalenz, ohne tatsächliche FedRAMP-Bewertungen durchzuführen. Ohne eine angemessene Prüfung können diese Äquivalenzbehauptungen das Risiko einer Nichteinhaltung der DFARS 7012 und CMMC-Anforderungen drastisch erhöhen. Wenn man einfach das Wort eines Anbieters hinsichtlich der FedRAMP-Äquivalenz akzeptiert, führt dies zu potenziellen Auditfehlern und Cyberbedrohungen für sensible CUI.

Gültige FedRAMP-Äquivalenz bestätigen

Das DoD hat in seinem Memo die Bedeutung der Äquivalenz zu FedRAMP Moderate definiert. Dazu gehören:

  • 100% Compliance mit der FedRAMP Moderate Kontroll-Baseline
  • Einhaltung der DFARS 7012 Cyber Incident/Response Protokolle
  • Bewertung durch eine akkreditierte 3PAO mit vollständiger Dokumentation einschließlich Sicherheitsbewertungsplan/-bericht

Schließlich müssen Auftragnehmer, die die CMMC-Compliance einhalten möchten, jegliche Behauptungen über die Äquivalenz eines CSP durch Nachweise von 3PAO-Bewertungen, Dokumentation von Sicherheitskontrollen und Bestätigung der DFARS 7012-Verpflichtungen validieren.

Erreichen Sie CMMC-Compliance mit Kiteworks, Ihrem wahren FedRAMP-Partner

Durch die Nutzung von Cloud-Diensten, die zuvor die FedRAMP Moderate Autorisierung erreicht haben, können Auftragnehmer die Anforderungen von DFARS 7012 und CMMC erfüllen, sensible Daten schützen und die häufige Falle von oberflächlichen Äquivalenzbehauptungen vermeiden.

Eine FedRAMP Moderate Autorisierung versorgt Auftragnehmer mit echten Nachweisen von Sicherheitskontrollen, so dass sie Beschaffungen zuversichtlich und schnell beschleunigen können, ohne Programme und Informationen unnötigen Risiken auszusetzen.

Kiteworks ist seit 2017 FedRAMP Moderate autorisiert und ermöglicht es Regierungsbehörden, Auftragnehmern und privaten Unternehmen, sensible Informationen mit den höchsten Sicherheits-, Kontroll- und Compliance-Standards zu teilen und zu speichern.

Das Kiteworks Private Content Network ermöglicht es Verteidigungsunternehmen, CUI mit AES–256-Verschlüsselung im ruhenden Zustand und TLS 1.3-Verschlüsselung für Daten in Bewegung zu schützen. Eingebettete Antivirus- und Sicherheitsintegrationen mit DLP, ATP, SSO, LDAP/AD, SIEM und MFA schützen CUI weiterhin.

Umfassende Governance-Kontrollen geben Organisationen vollständige Transparenz über die Dateien, die in und aus der Organisation gelangen. Darüber hinaus ermöglichen umfassende Prüfprotokolle, die alle Dateiaktivitäten erfassen, nämlich wer was an wen und wann sendet, die Regulierungskonformität mit Datenschutzvorschriften und Standards wie FedRAMP, CMMC, HIPAA, Cyber Essentials Plus, ITAR und viele mehr.

Als FedRAMP-zertifizierter CSP wird Kiteworks in einer virtuellen privaten Cloud in AWS für alle Prozesse bereitgestellt. Es verfügt über einen dedizierten Server, der von allen anderen Kunden auf Amazon Cloud isoliert ist. Die Einzelnutzung bietet Organisationen den alleinigen Besitz des Verschlüsselungsschlüssels und vollständig verschlüsselten Dateispeicher und -übertragung; niemand – weder Kiteworks, AWS noch Strafverfolgungsbehörden – haben Zugang zu Kundendaten.

Um mehr über Kiteworks, die FedRAMP Moderate Authorization und die CMMC-Konformität zu erfahren, vereinbaren Sie heute eine individuelle Demo.

Zusätzliche Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks