Usługi audytu i równoważności FedRAMP | Wsparcie 3PAO akredytowane przez A2LA | Sojusz Lazarus. Zadzwoń +1 (888) 896-7580 dzisiaj.
-
Partnerzy Lazarus Alliance w zakresie audytu certyfikacyjnego FedRAMPFedRAMP, FISMA i NIST Audit; jesteśmy gotowi, kiedy Ty będziesz gotowy!
- Czego można się spodziewać
- Kompleksowe usługi audytowe FedRAMP, FISMA i NIST
- To skomplikowane!
- Chcemy być Twoim partnerem i audytorem FedRAMP, FISMA i NIST pierwszego wyboru! Aby uzyskać więcej informacji, skontaktuj się z nami za pomocą formularza po prawej stronie lub dzwoniąc pod numer 1-888-896-7580.
Równoważność FedRAMP Moderate (zwana również Równoważnikiem FedRAMP Moderate) to zdefiniowana przez Departament Obrony (DoD) alternatywna ścieżka zgodności dla ofert usług chmurowych (CSO) wykorzystywanych przez wykonawców baz przemysłowych obrony (DIB) do przechowywania, przetwarzania lub przesyłania Informacji Objętych Ochroną (CDI) lub Kontrolowanych Informacji Niejawnych (CUI). Wynika ona bezpośrednio z klauzuli 252.204-7012 DFARS i została doprecyzowana w 21 grudnia 2023 r., memorandum CIO DoD.
Dlaczego istnieje i jaka jest jego rola w CMMC
Norma DFARS 252.204-7012 wymaga, aby każdy zewnętrzny dostawca usług w chmurze (CSP) obsługujący CDI/CUI spełniał wymogi bezpieczeństwa równoważne z poziomem bazowym FedRAMP Moderate (oraz zasady zgłaszania incydentów cybernetycznych DFARS zawarte w paragrafach (c)–(g)). Program CMMC (zwłaszcza poziomy 2 i 3, które chronią CUI) uwzględnia to wymaganie: jeśli organizacja korzysta z usług CSP w zakresie CUI, musi on posiadać autoryzację FedRAMP Moderate Authorized (listę w FedRAMP Marketplace) lub równoważny certyfikat FedRAMP Moderate.
Podczas oceny CMMC, C3PAO (dla poziomu 2) lub DIBCAC (dla wyższych poziomów) dokona przeglądu materiału dowodowego (BoE) CSP w celu potwierdzenia roszczenia o równoważność. Jest to element weryfikacji ogólnej zgodności z CMMC.
Lazarus Alliance, akredytowana organizacja FedRAMP zajmująca się oceną zewnętrzną (3PAO), będzie bezpośrednio współpracować z Państwa organizacją w celu przygotowania i zaplanowania oficjalnej oceny równoważności umiarkowanej FedRAMP. Po pomyślnym ukończeniu niezależnej oceny 3PAO, Lazarus Alliance dostarczy kompletny materiał dowodowy (BoE).
Federalny program zarządzania ryzykiem i autoryzacjami (FedRAMP)
FedRAMP jest programem rządu USA zapewniającym ujednolicone podejście do oceny bezpieczeństwa, autoryzacji i ciągłego monitorowania produktów i usług w chmurze wykorzystywanych przez agencje federalne.
Program FedRAMP, wprowadzony w 2011 r. na zlecenie Biura Zarządzania i Budżetu (OMB), eliminuje powielanie testów bezpieczeństwa, tworząc strukturę „wykonaj raz, używaj wielokrotnie”. Dzięki temu po autoryzacji usługi w chmurze w ramach FedRAMP każda agencja federalna może ponownie wykorzystać ten pakiet autoryzacyjny zamiast przeprowadzać własną pełną ocenę.
Co tak naprawdę oznacza „równoważny”
Notatka z 2023 roku usunęła wcześniejsze luki prawne i postawiła wysoko poprzeczkę. CSO kwalifikuje się jako umiarkowany ekwiwalent FedRAMP. tylko, jeżeli to spotyka cała kolekcja z następujących:
- Osiąga 100% zgodności (brak ustaleń związanych z kontrolą) z najnowsza podstawowa kontrola bezpieczeństwa FedRAMP Moderate (NIST SP 800-53 Rev. 5 Umiarkowany, ~325 kontroli).
- Ocenia się przez Uznana i akredytowana przez FedRAMP organizacja trzeciej strony oceniającej (3PAO) korzystając z szablonów FedRAMP.
- Zapewnia kompletne Dowody rzeczowe (BoE) do wykonawcy, co zazwyczaj obejmuje:
- Plan bezpieczeństwa systemu (SSP)
- Plan oceny bezpieczeństwa (SAP)
- Raport oceny bezpieczeństwa (SAR) sporządzony przez 3PAO
- Plan działań i kamienie milowe (POA&M) — uwaga: kontynuowanie operacyjnych POA&M jest dozwolone po przeprowadzeniu oceny, ale początkowa ocena 3PAO musi wykazać pełną zgodność i brak ustaleń dotyczących otwartych kontroli.
Dostawca usług w chmurze musi również spełniać wymagania DFARS 252.204-7012 dotyczące zgłaszania incydentów, postępowania ze złośliwym oprogramowaniem, ochrony nośników, dostępu do danych kryminalistycznych i oceny szkód.
Harmonogram audytu równoważności FedRAMP: czego można się spodziewać po sojuszu Lazarus
Poniżej znajdują się średnie czasy rzeczywiste zaobserwowano w latach 2024–2026 w przypadku doświadczonych 3PAO, takich jak Lazarus Alliance:
Szczegółowy harmonogram audytu równoważności umiarkowanej FedRAMP
Lazarus Alliance stosuje ten ustrukturyzowany 6-etapowy proces, aby pomóc dostawcom usług w chmurze (CSP) z istniejącym autoryzacją FedRAMP Moderate skutecznie osiągnąć umiarkowaną równoważność (ponowne wykorzystanie ATO przez agencję, mapowanie IL4/IL5 DoD, StateRAMP lub inne ścieżki równoważności) przy użyciu rygorystycznych zasad i automatyzacji akredytowanych przez A2LA.
| Faza | Aktywności | Czas trwania: | Dostarczane |
|---|---|---|---|
| Faza 0 – Wstępne zaangażowanie i decyzja | Bezpieczne konsultacje, przegląd istniejącego pakietu FedRAMP Moderate, określenie docelowej ścieżki równoważności (Agencja, DoD IL4/IL5, StateRAMP itp.), potwierdzenie granic i określenie zakresu luk. | Tydzień 1 | Podpisano umowę o współpracy, plan działania na rzecz równoważności, zaktualizowany diagram granic i potwierdzenie ścieżki. |
| Faza 1 – Ocena zakresu i gotowości | Analiza dziedziczenia istniejących umiarkowanych kontroli, identyfikacja dodatkowych wymagań równoważności, dostosowywanie SSP i przegląd dokumentacji. | 1-2 tygodni | Raport mapowania dziedziczenia, analiza luk w gotowości, dostosowany zarys SSP pod kątem równoważności. |
| Faza 2 – Ocena luk i planowanie działań naprawczych | Pełna analiza delta dodatkowych kontroli, aktualizacji zasad/procedur, udoskonalania POA&M i strategii dowodowej przy użyciu automatyzacji Cybervisor™. | 2-3 tygodni | Szczegółowy raport dotyczący luki równoważności, priorytetowy plan naprawczy, zaktualizowany POA&M, plan gromadzenia dowodów. |
| Faza 3 – Gromadzenie dowodów i testowanie | Weryfikacja odziedziczonych i nowych kontroli, automatyczne i ręczne testowanie, wsparcie testów penetracyjnych oraz budowa repozytorium dowodów w celu zapewnienia równoważności. | 3-4 tygodni | Kompleksowy pakiet dowodów, wyniki testów, zaktualizowane POA&M, gotowe do złożenia oświadczenia kontrolne. |
| Faza 4 – Pakiet raportowania i składania | Ostateczne aktualizacje SSP/SAR dotyczące równoważności, montażu pakietów, koordynacji agencji i wsparcia składania wniosków. | 1-2 tygodni | Kompletny pakiet autoryzacji równoważności (zaktualizowany SSP, SAR, POA&M), artefakty gotowe do przesłania. |
| Faza 5 – Autoryzacja i ciągły monitoring | Wsparcie agencji, koordynacja akceptacji równoważności, dostosowanie programu ciągłego monitorowania (ConMon), ciągła automatyzacja z Continuum GRC i Cybervisor™. | Początkowa konfiguracja trwa 2–3 tygodnie (następnie trwa) | Potwierdzenie akceptacji równoważności, zatwierdzony plan ConMon, zautomatyzowane panele raportowania i długoterminowy program utrzymania zgodności. |
Dlaczego klienci kończą pracę szybciej dzięki Lazarus Alliance: Nasi akredytowani asesorzy A2LA (ISO/IEC 17020 #3822.01), platforma automatyzacji Cybervisor™, technologia Continuum GRC i metodologia Proactive Cyber Security® skracają typowe terminy oceny równoważności umiarkowanej FedRAMP o 40–50%, zapewniając jednocześnie wyższą jakość dowodów i szybszą akceptację przez agencje.
Sojusz Łazarza, akredytowana organizacja FedRAMP Third-Party Assessment Organization (3PAO), jest historycznie o około 46% szybszy niż tradycyjne firmy 3PAO, co oznacza, że równoważność umiarkowaną FedRAMP można osiągnąć w ciągu 3–6 miesięcy - Michała Petersa, Dyrektor generalny i założyciel
FedRAMP Moderate: Autoryzowany vs. Umiarkowany Ekwiwalent
Porównanie równoważności FedRAMP Moderate Authorized i Moderate
Lazarus Alliance pomaga wykonawcom baz przemysłowych obronnych (DIB) oraz dostawcom usług w chmurze zrozumieć kluczowe różnice między pełną autoryzacją FedRAMP Moderate Authorization a równoważnością FedRAMP Moderate Authorization w celu spełnienia wymagań zgodności z DFARS 252.204-7012 i CMMC.
| WYGLĄD | FedRAMP Moderate Authorized | Odpowiednik FedRAMP Moderate |
|---|---|---|
| Notowanie na rynku FedRAMP / ATO | Tak (pełna autoryzacja) | Nie |
| Wymaga sponsora agencji federalnej | Tak | Nie |
| Kontrola bezpieczeństwa i ocena 3PAO | 100% zgodności z umiarkowaną linią bazową FedRAMP | 100% zgodności z umiarkowaną linią bazową FedRAMP |
| Ocenione przez | 3PAO uznane przez FedRAMP | 3PAO uznane przez FedRAMP |
| Dopuszczalne dla CMMC / DFARS 252.204-7012 | W pełni zgodny | W pełni zgodny |
| Ciągły monitoring i nadzór | FedRAMP PMO + ciągły monitoring | Przegląd materiału dowodowego (BoE) przez wykonawcę i C3PAO/DIBCAC |
| Najlepsze dla: | Organizacje dążące do maksymalnego uznania na rynku | Dostawcy usług komunikacyjnych obsługujący kontrahentów Departamentu Obrony bez ubiegania się o pełne ATO FedRAMP |
Najważniejsze informacje o Lazarus Alliance: Obie ścieżki zapewniają identyczny poziom kontroli bezpieczeństwa w zakresie ochrony CUI/CDI, ale umiarkowana równoważność zapewnia dostawcom usług komunikacyjnych szybszą ścieżkę bez sponsora, podczas gdy nasz zespół akredytowany przez A2LA i automatyzacja Cybervisor™ gwarantują bezproblemową gotowość CMMC i akceptację agencji.
Równoważność daje CSP (zwłaszcza tym, którzy nie realizują pełnego programu FedRAMP) realną ścieżkę do obsługi kontrahentów Departamentu Obrony bez konieczności uzyskiwania federalnego upoważnienia do prowadzenia działalności (ATO). nie nadaj CSP status „FedRAMP Authorized”.
Najczęściej zadawane pytania
Czym jest umiarkowana równoważność FedRAMP?
Równoważność FedRAMP Moderate umożliwia dostawcom usług w chmurze (CSP), którzy już posiadają autoryzację FedRAMP Moderate, ponowne wykorzystanie istniejącego zbioru dowodów (BoE) w celu szybszego przeprowadzania procedur ATO przez agencje, mapowania IL4/IL5 DoD, StateRAMP lub innych ścieżek rządowych bez konieczności zaczynania od zera.
Kto potrzebuje umiarkowanej równoważności FedRAMP w 2026 roku?
CSP, których celem są kontrakty Departamentu Obrony (IL4/IL5), zgodność z programem StateRAMP lub szybkie wdrożenie przez agencje, odnoszą największe korzyści. Jeśli posiadasz już program FedRAMP Moderate i chcesz rozszerzyć go na sektor obronny, administrację stanową lub inne agencje federalne, program Moderate Equivalency to najszybsza droga do uzyskania nowych autoryzacji.
Jaka jest różnica między standardowym FedRAMP Moderate a Moderate Equivalency?
Standard FedRAMP Moderate to pełna autoryzacja bazowa (325 kontroli). Równoważność Moderate wykorzystuje istniejący pakiet Moderate i wymaga jedynie analizy różnicowej dla dodatkowych kontroli wymaganych przez nową ścieżkę (DoD, StateRAMP itp.), co znacznie skraca czas realizacji.
Jak długo trwa proces oceny równoważności FedRAMP w ramach Lazarus Alliance?
Dzięki zespołowi 3PAO akredytowanemu przez A2LA i automatyzacji Cybervisor™ firmy Lazarus Alliance większość klientów kończy kurs równoważny FedRAMP w ciągu 3–6 miesięcy — o 40–50% szybciej niż w przypadku tradycyjnych firm 3PAO.
W jaki sposób Lazarus Alliance przyspiesza proces umiarkowanej równoważności FedRAMP?
Nasza autorska platforma automatyzacji Cybervisor™, technologia Continuum GRC i metodologia Proactive Cyber Security® redukują konieczność ręcznego gromadzenia dowodów i testowania nawet o 50%, a nasza akredytacja A2LA ISO/IEC 17020 (#3822.01) gwarantuje natychmiastową akceptację przez agencję.
Jakie są korzyści z wyboru FedRAMP Moderate Equivalency?
Do korzyści należą: o 40–50% krótszy czas wprowadzania produktów na rynek, znacznie niższe koszty, ponowne wykorzystanie istniejących dowodów, silniejsze pozycjonowanie dla kontraktów z Departamentem Obrony i rządem oraz szybsza ścieżka do dodatkowych przychodów od klientów rządowych.
Ile będzie kosztował FedRAMP Moderate Equivalency w 2026 roku?
Koszty różnią się w zależności od zakresu i aktualnej dojrzałości, ale uproszczone podejście Lazarus Alliance do zarządzania deltą zazwyczaj pozwala klientom zaoszczędzić 40–50% w porównaniu z nową, pełną autoryzacją. Skontaktuj się z nami pod numerem 888-896-7580, aby umówić się na bezpłatną konsultację i otrzymać spersonalizowaną wycenę.
Jak rozpocząć współpracę z Lazarus Alliance na rzecz FedRAMP Moderate Equivalency?
Wystarczy zadzwonić pod numer 888-896-7580 lub wypełnić nasz krótki formularz Kwestionariusz równoważności FedRAMPNasz zespół dokona przeglądu Twojego obecnego pakietu Moderate i przedstawi niezobowiązujący plan działania w ciągu 48 godzin.
Lazarus Alliance, jako FedRAMP 3PAO, świadczy usługi audytu, doradztwa i oceny FedRAMP, FISMA i NIST dla publicznych, prywatnych, społecznościowych i hybrydowych ofert usług w chmurze, w tym oprogramowania jako usługi (SaaS), platformy jako usługi (PaaS) i infrastruktury jako usługi (IaaS).
W Lazarus Alliance proaktywność to nie tylko nasz znak rozpoznawczy — to także obietnica, że ochronimy Twoją przyszłość, zanim jeszcze pojawią się zagrożenia. Michała Petersa, Dyrektor generalny i założyciel
Wykorzystanie Continuum GRC Maszyna audytu IT, Bezpieczeństwo Trifecta metodologia i Maszyna politycznaSojusz Lazarus zapewnia międzynarodowe standardy, które są uznawane za „Najlepsze praktyki”do opracowywania standardów bezpieczeństwa organizacyjnego i kontroli, które wspierają certyfikację audytów zgodności i oceny w oparciu o Federal Risk and Authorization Management Program.
Referencje, na które możesz liczyć
Amerykańskie Stowarzyszenie Akredytacji Laboratoriów (A2LA) Numer akredytowanego certyfikatu ISO/IEC 17020 3822.01
Porozmawiaj z jednym z naszych ekspertów
Nasze zespoły Lazarus Alliance Cybervisor™ mają doświadczenie w przeprowadzaniu tysięcy ocen dla organizacji świadczących usługi klientom na całym świecie.
Jesteśmy tutaj, aby odpowiedzieć na wszelkie Twoje pytania.
Korzyści z umiarkowanej równoważności FedRAMP
- Nie jest wymagany sponsor agencji federalnej
- Dla dostawców usług w chmurze (CSP): Omiń długi proces sponsorowania i przeglądów PMO w FedRAMP — wejdź na rynek szybciej.
- Dla wykonawców zamówień obronnych (DIB): Uzyskaj dostęp do szerszej gamy innowacyjnych dostawców CSP, którzy nie obsługują bezpośrednio agencji federalnych.
- Krótszy czas generowania przychodów i wdrażania
- Dla dostawców usług w chmurze (CSP): Dotrzyj do ponad 300 000 wykonawców DIB w ciągu tygodni, a nie miesięcy.
- Dla wykonawców zamówień obronnych (DIB): Szybciej wdrażaj zgodne z przepisami usługi w chmurze, bez czekania na pełną kontrolę FedRAMP ATO.
- Niższy koszt niż pełna autoryzacja FedRAMP
- Dla dostawców usług w chmurze (CSP): Unikaj stałych opłat na platformie FedRAMP Marketplace, koordynacji sponsorów i nadzoru PMO.
- Dla wykonawców zamówień obronnych (DIB): Wybierz ekonomiczne rozwiązania CSP dostosowane do potrzeb Departamentu Obrony (DoD) bez konieczności stosowania wysokich cen FedRAMP.
- Identyczny poziom bezpieczeństwa (100% umiarkowanej linii bazowej FedRAMP)
- Dla dostawców usług w chmurze (CSP): Wdrażaj kontrole klasy korporacyjnej zgodne z normą NIST 800-53 Rev. 5 Moderate, zatwierdzone przez jednostkę 3PAO uznaną przez FedRAMP.
- Dla wykonawców zamówień obronnych (DIB): Spełniaj wymagania DFARS i CMMC z pełną pewnością — te same elementy sterujące, żadnych kompromisów.
- Nowe przychody i dostęp do rynku
- Dla dostawców usług w chmurze (CSP): Otworzyć drzwi do całej bazy przemysłu obronnego bez dążenia do pełnego federalnego ATO.
- Dla wykonawców zamówień obronnych (DIB): Uzyskaj większy wybór CSP i konkurencyjnych opcji dla usług w chmurze obsługujących CUI.
- Przewaga konkurencyjna i gotowość CMMC
- Dla dostawców usług w chmurze (CSP): Wyróżnij swoją platformę dzięki sprawdzonym zabezpieczeniom zgodnym z wymogami Departamentu Obrony i usprawnionym ocenom klientów.
- Dla wykonawców zamówień obronnych (DIB): Uprość ocenę CMMC poziomu 2/3 dzięki gotowemu do użycia Zasobowi Dowodowemu (BoE).
Chcemy być Twoim partnerem i audytorem zgodności FedRAMP 3PAO pierwszego wyboru! Aby uzyskać więcej informacji, zadzwoń. +1 (888) 896-7580.
Chcesz wcześniej otrzymać wycenę? Wypełnij naszą ankietę tutaj: