遵从Code42和FedRAMP
这篇文章是给谁看的?
老师,不。
Incydr Professional, Enterprise, Horizon和Gov F2,是的。
Incydr基础,高级和Gov F1,是的。
概述
本文概述了FedRAMP计划,并描述了Code42联邦环境及其对联邦要求的遵从性。
注意事项
- Code42于2020年12月获得了FedRAMP授权,现在可在整个联邦政府使用。看到FedRAMP市场详情请见//www.snvyl.com/federal-solutions有关Code42的联邦产品和服务的更多信息。
- 有关Code42联邦环境中可用功能的更多信息,请参阅我们betway提款的产品计划。
- Code42维护了几个云环境,由于其基础设施的配置和托管,其中只有一个符合FedRAMP要求。
Code42联邦环境
Code42联邦环境实现了与所有Code42环境相同的一组健壮的安全措施和实践,但由于其架构的不同,在功能上略有不同。betway365对于Code42联邦环境:
- Code42联邦环境被归类为中等影响级别根据FIPS 199要求。
- Code42控制台、Code42应用程序和所有数据都根据FIPS 140 - 2要求,而不是通过其他强大的加密方法,可能不符合FIPS。在所有Code42环境中,数据在静止和传输时都是加密的。
- 为了确保在Code42应用程序中使用FIPS加密,应用程序安装必须部署一个部署策略.用户无法从Code42控制台或电子邮件下载安装包。
- 外部密钥存储库(如Vault服务器)不能用于单独存储加密密钥。
- Zip文件恢复来自Code42控制台的文件不可用。,管理员仍然可以将任何文件恢复到任何设备设备或“推送”恢复特性。
- Incydr流而且Incydr实验室在Code42联邦环境中不可用。
- Code42按照发现文件并将其添加到待办事项列表的顺序备份Code42联邦环境中的数据,而不是先备份最近的文件,然后再备份旧文件。
请求Code42安全包betway365
政府机构可以使用网站上提供的请求表单请求访问Code42安全包betway365FedRAMP市场.若要访问表单,请从市场列表中选择Code42,然后单击套餐访问要求表格链接。
您还可以联系您的客户成功经理(CSM)以获得有关Code42的FedRAMP遵从性的更多信息。如果你不知道你的CSM,请联系我们的技术支持工程师.
FedRAMP程序概述
的联邦风险和授权管理计划(FedRAMP)为云产品和服务的安全评估、授权和持续监控提供了一种标准方法。betway365政府机构(以及与其合作的公司)在使用云产品和服务时必须选择FedRAMP授权的提供商,以确保其数据的安全性。betway365
的联邦信息安全管理法案betway365(FISMA)于2002年颁布,规定了美国联邦机构必须满足的IT安全要求。betway365FedRAMP项目阐明了FISMA的要求如何应用于云服务。
非政府的公共部门公司如果经常与政府机构合作,希望利用已知的批准和标准实践,或者重视FedRAMP提供的安全风险的强大评估和持续监测,则可以使用FedRAMP授权的云服务。betway365
FedRAMP合规
FedRAMP框架产生于对政府机构老化的IT基础设施和系统进行现代化的需求,这些基础设施和系统繁琐、单独管理,并且在安全实践应用方面不一致。betway365通过标准化提供商评估、管理、监控和报告安全风险的方法,FedRAMP有助于加快政府机构采用云服务和产品。betway365这种采用有助于通过以下方式使机构更加灵活和敏捷:
- 利用现有的安全评估来节省机构的时间和资源betway365:“做一次,用多次”
- 确保对安全风险评估和缓解采取标准方法betway365
- 增强对云服务和产品安全性的信心betway365
- 增加自动化和数据访问
治理
FedRAMP的开发、维护和操作由几个美国实体管理:
- 的管理和预算办公室(OMB)发布了FedRAMP政策备忘录,定义了该项目的关键需求和能力。
- 的联合顾问委员会负责主要的治理和决策。该委员会由来自以下国家的首席信息官组成:
- 美国国土安全部(DHS)betway365
DHS还管理FedRAMP持续监控策略,协调报告、威胁通知和事件响应。 - 美国总务管理局(GSA)
- 美国国防部(DOD)
- 美国国土安全部(DHS)betway365
- 的CIO委员会为跨机构协调分发FedRAMP信息。
- 的FedRAMP项目管理办公室负责方案的制定和日常运营的管理。
- 的国家标准与技术研究所(NIST)就FISMA合规性提供建议,并制定用于评估合规性的标准。
适用的法规和标准
美国政府机构的IT系统和安全需求定义如下:betway365
- 的联邦信息安全管理法案betway365FISMA(2002)(2014年修订)定义了美国联邦机构必须满足的IT安全需求。betway365
- 的FedRAMP政策备忘录2011年的FISMA法案建立了FedRAMP计划,并阐明了FISMA要求如何应用于云服务。
的国家标准和技术研究所(NIST)制定了组织可以证明符合这些法规的标准。构成FedRAMP授权主干的一些NIST标准包括:
- SP 800 - 39管理信息安全风险:组织、任务和信息系统视图betway365
- SP 800 - 53年联邦betway365信息系统和组织的安全与隐私控制
- SP 800 - 61,电脑保安事故处理指引betway365
NIST还负责开发和维护联邦信息处理标准(FIPS)定义了如何根据FISMA对数据和信息系统进行分类、加密、签名、验证或认证。这些标准也是帮助公共部门公司建立强有力的信息安全计划的宝贵资源。betway365
影响水平
在FedRAMP下,云服务提供商被分为三个影响级别基于停电对使用CSP服务的联邦机构的影响:
- 低:机密性、完整性或可用性的损失对机构的声誉、财务或安全的影响有限。低影响系统通常存储最小的个人可识别信息(PII),除了验证用户身份所需的信息(例如用户名、密码和电子邮件地址)。
- 温和的:机密性、完整性或可用性的丧失会对机构的运作、资产或个人造成严重影响。这些影响包括严重的业务中断、财务损失或对个人的非物理伤害。Code42联邦环境就属于这种中等影响级别。
- 高:机密性、完整性或可用性的损失会对机构造成灾难性的影响,可能包括财务损失或关闭、业务停止、知识产权损失或个人生命。这个级别的csp通常处理高风险系统,例如国防、情报、医疗保健、金融或紧急或执法系统。
授权过程
实现FedRAMP授权是一个复杂的过程。高层概述如下:
- 云服务提供商(CSP)与FedRAMP联合咨询委员会(JAB)联系,并确定要执行的授权类型。
有两种类型的授权:临时运营机构(P-ATO)或机构运营机构(ATO)。csp根据其流程、影响级别、部署模型和市场需求确定要执行哪种类型的授权。 - CSP根据需要与第三方评估组织(3PAO)合作,并完成准备就绪评估报告,详细说明其云服务产品或产品。
如果JAB批准了提供商的准备评估报告,那么CSP将被指定为“FedRAMP就绪”,并在FedRAMP市场上进行宣传。 - 通过3PAO, CSP使用fedramp提供的模板创建并提交以下文档:
- 系统安全计划(betway365SSP)
- betway365安全评估计划(SAP)
- betway365安全评估报告(SAR)
- 行动计划和里程碑(POA&M)
- 审查所有文件,并将任何问题或意见提交给CSP进行评估。在解决所有问题并完成补救活动之后,CSP将获得FedRAMP授权。
- 在获得授权后,CSP向使用其服务的机构提供持续监测活动期间生成的文件。CSP还与3PAO合作完成提交给FedRAMP存储库的年度安全评估,以验证持续的合规性。betway365
外部资源
- FedRAMP.gov
- NIST的资源