Услуги по аудиту и подтверждению эквивалентности FedRAMP | Поддержка аккредитованных A2LA сторонних организаций по аудиту и оценке | Lazarus Alliance. Звоните. +1 (888) 896-7580 прямо сейчас

Добейтесь соответствия стандартам FedRAMP средней или высокой степени с помощью аккредитованного A2LA аудита FedRAMP и услуг поддержки 3PAO от Lazarus Alliance. Быстрые сроки (6–12 недель), полная разработка SSP/POA&M и автоматизация с помощью Cybervisor™. Звоните по телефону 888-896-7580.

Умеренная эквивалентность FedRAMP (также называемая Умеренной эквивалентностью FedRAMP) — это определенный Министерством обороны США альтернативный путь соответствия требованиям для облачных сервисов (CSO), используемых подрядчиками оборонно-промышленной базы (DIB) для хранения, обработки или передачи защищенной оборонной информации (CDI) или контролируемой несекретной информации (CUI). Она напрямую вытекает из пункта 252.204-7012 DFARS и была уточнена в 21 декабря 2023 г., меморандум директора по информационным технологиям Министерства обороны США.

Почему это существует и какова его роль в CMMC

В соответствии с DFARS 252.204-7012 любой внешний поставщик облачных услуг (CSP), обрабатывающий CDI/CUI, должен соответствовать требованиям безопасности, эквивалентным базовому уровню FedRAMP Moderate (плюс правила DFARS по отчетности о кибер-инцидентах, изложенные в пунктах (c)–(g)). Программа CMMC (особенно уровни 2 и 3, которые защищают CUI) включает это требование: если ваша организация использует CSP для CUI, этот CSP должен быть либо авторизован в соответствии с FedRAMP Moderate (указан на FedRAMP Marketplace), либо иметь эквивалентный статус FedRAMP Moderate.

В ходе оценки CMMC C3PAO (для уровня 2) или DIBCAC (для более высоких уровней) рассмотрят свод доказательств CSP (BoE), чтобы подтвердить заявление об эквивалентности. Это часть проверки вашего общего соответствия CMMC.

Lazarus Alliance, аккредитованная независимая организация по оценке FedRAMP (3PAO)Компания Lazarus Alliance напрямую свяжется с вашей организацией для подготовки и планирования официальной оценки соответствия требованиям FedRAMP средней сложности. После успешного завершения независимой оценки 3PAO компания Lazarus Alliance предоставит полный комплект подтверждающих документов (BoE).

Федеральная программа управления рисками и авторизациями (FedRAMP)

FedRAMP — это общеправительственная программа США, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и постоянному мониторингу облачных продуктов и услуг, используемых федеральными агентствами.

Программа FedRAMP, созданная в 2011 году по поручению Административно-бюджетного управления (OMB), исключает необходимость дублирования тестирования безопасности, создавая структуру «сделай один раз, используй много раз». Таким образом, после авторизации облачной службы в рамках FedRAMP любое федеральное агентство может повторно использовать этот пакет авторизации вместо проведения собственной полной оценки.

Что на самом деле означает «эквивалентный»?

Меморандум 2023 года устранил ранее существовавшие лазейки и установил высокую планку. Специалист по информационной безопасности (CSO) соответствует требованиям FedRAMP уровня Moderate Equivalent. только если он встречает ВСЕ из следующих:

  • Достигает 100% соответствие (нулевые результаты, связанные с контролем) с новейший базовый уровень контроля безопасности FedRAMP Moderate (NIST SP 800-53 Rev. 5 Умеренная степень злокачественности, ~325 контрольных образцов).
  • Оценивается Независимая организация по оценке качества (3PAO), признанная и аккредитованная в соответствии с требованиями FedRAMP. с использованием шаблонов FedRAMP.
  • Обеспечивает полный Свод доказательств (BoE) подрядчику, что обычно включает в себя:
    • План безопасности системы (SSP)
    • План оценки безопасности (SAP)
    • Отчет об оценке безопасности (SAR), подготовленный третьей стороной (3PAO).
    • План действий и контрольных точек (POA&M) — примечание: продолжение выполнения оперативных планов действий и контрольных точек допускается после оценки, но первоначальная оценка 3PAO должна демонстрировать полное соответствие требованиям без выявления каких-либо открытых проблем.

Поставщик облачных услуг также должен соблюдать требования DFARS 252.204-7012, касающиеся отчетности об инцидентах, обработки вредоносного программного обеспечения, защиты носителей информации, доступа к криминалистическим данным и оценки ущерба.

Добейтесь соответствия стандартам FedRAMP средней или высокой степени с помощью аккредитованного A2LA аудита FedRAMP и услуг поддержки 3PAO от Lazarus Alliance. Быстрые сроки (6–12 недель), полная разработка SSP/POA&M и автоматизация с помощью Cybervisor™. Звоните по телефону 888-896-7580.

Сроки проведения аудита на соответствие требованиям FedRAMP Moderate Equivalency: чего ожидать от Lazarus Alliance.

Ниже приведены реальные средние сроки в 2024–2026 годах с опытными 3PAO, такими как Lazarus Alliance:

Подробный график проведения аудита на соответствие требованиям FedRAMP средней сложности.

Lazarus Alliance использует структурированный 6-этапный процесс, чтобы помочь поставщикам облачных услуг (CSP) с существующей авторизацией FedRAMP Moderate эффективно достичь уровня Moderate Equivalency (повторное использование разрешений ATO агентств, сопоставление с DoD IL4/IL5, StateRAMP или другие пути эквивалентности) с использованием аккредитованных A2LA методов и автоматизации.

Фаза Действия Длительность Результат
Этап 0 – Предварительное взаимодействие и принятие решения Бесплатные консультации, анализ существующего пакета FedRAMP Moderate, определение пути эквивалентности целевым требованиям (Agency, DoD IL4/IL5, StateRAMP и т. д.), подтверждение границ и определение пробелов. 1 неделю Подписано соглашение о сотрудничестве, план обеспечения эквивалентности, обновленная схема границ и подтверждение маршрута.
Этап 1 – Определение масштабов проекта и оценка готовности Анализ наследования существующих мер контроля умеренного уровня, выявление дополнительных требований к эквивалентности, адаптация плана обеспечения безопасности и проверка документации. 1-2 недель Отчет о сопоставлении наследования, анализ пробелов в готовности, адаптированный план SSP для обеспечения эквивалентности.
Этап 2 – Оценка пробелов и планирование мер по их устранению Полный анализ изменений дополнительных мер контроля, обновлений политик/процедур, уточнения плана действий и мониторинга, а также стратегии сбора доказательств с использованием автоматизации Cybervisor™. 2-3 недель Подробный отчет о несоответствии, план приоритетных мер по устранению недостатков, обновленный план действий и мероприятий, дорожная карта сбора доказательств.
Этап 3 – Сбор и проверка доказательств Проверка унаследованных и новых элементов управления, автоматизированное и ручное тестирование, поддержка тестирования на проникновение и создание хранилища доказательств для обеспечения эквивалентности. 3-4 недель Полный пакет подтверждающих документов, результаты испытаний, обновленный план действий и мониторинга, готовые к представлению заявления о контроле.
Этап 4 – Пакет документов для отчетности и подачи. Окончательные обновления SSP/SAR по вопросам эквивалентности, комплектации пакетов документов, координации действий с ведомствами и поддержки при подаче заявок. 1-2 недель Полный пакет документов, подтверждающих эквивалентность (обновленные SSP, SAR, POA&M), документы, готовые к подаче.
Этап 5 – Авторизация и непрерывный мониторинг Поддержка со стороны агентства, координация принятия эквивалентности, согласование программы непрерывного мониторинга (ConMon), постоянная автоматизация с помощью Continuum GRC и Cybervisor™. Первоначальная настройка занимает 2–3 недели (затем — дальнейшая работа). Подтверждение соответствия требованиям, утвержденный план ConMon, автоматизированные панели отчетности и долгосрочная программа поддержания соответствия.

Почему клиенты завершают проекты быстрее с Lazarus Alliance: Наши аккредитованные A2LA эксперты (ISO/IEC 17020 #3822.01), платформа автоматизации Cybervisor™, технология Continuum GRC и методология Proactive Cyber ​​Security® сокращают типичные сроки получения сертификата FedRAMP Moderate Equivalency на 40–50%, обеспечивая при этом превосходное качество доказательств и более быстрое утверждение со стороны ведомства.

Lazarus Alliance, Аккредитованная независимая организация по оценке FedRAMP (3PAO)Исторически сложилось так, что этот процесс примерно на 46% быстрее, чем у традиционных сторонних организаций, предоставляющих услуги по автоматизации и оценке (3PAO), а это значит, что соответствие требованиям FedRAMP Moderate Equivalency может быть достигнуто за 3–6 месяцев. Майкл Питерс, генеральный директор и основатель

Уровень FedRAMP Moderate: разрешенный уровень против эквивалентного уровня Moderate.

Сравнение соответствия стандартам FedRAMP Moderate Authorized и Moderate Equivalency

Компания Lazarus Alliance помогает подрядчикам оборонно-промышленной базы (DIB) и поставщикам облачных услуг четко понимать ключевые различия между полной авторизацией FedRAMP Moderate и эквивалентностью FedRAMP Moderate для соответствия требованиям DFARS 252.204-7012 и CMMC.

Аспект Умеренно авторизованный FedRAMP Эквивалент умеренного уровня FedRAMP
Список участников FedRAMP Marketplace / ATO Да (полная авторизация) Нет
Требуется спонсор из федерального агентства. Да Нет
Меры безопасности и оценка 3PAO 100% соответствие базовому уровню FedRAMP Moderate. 100% соответствие базовому уровню FedRAMP Moderate.
Оценено 3PAO, признанная программой FedRAMP. 3PAO, признанная программой FedRAMP.
Соответствует требованиям CMMC / DFARS 252.204-7012 Полностью соответствует Полностью соответствует
Постоянный мониторинг и надзор Проектный офис FedRAMP + непрерывный мониторинг Подрядчик + C3PAO/DIBCAC проводят проверку свода доказательств (BoE).
Best For Организации, стремящиеся к максимальному признанию на рынке. Поставщики облачных услуг, обслуживающие подрядчиков Министерства обороны, без получения полного разрешения на эксплуатацию в соответствии с требованиями FedRAMP.

Главный вывод из сотрудничества с Lazarus Alliance: Оба подхода обеспечивают одинаковый уровень контроля безопасности для защиты CUI/CDI, но «Умеренная эквивалентность» предоставляет поставщикам облачных услуг более быстрый путь без привлечения спонсоров, а наша аккредитованная A2LA команда и автоматизация Cybervisor™ гарантируют бесперебойную готовность к CMMC и одобрение со стороны регулирующих органов.

Эквивалентность предоставляет поставщикам облачных услуг (особенно тем, кто не стремится к полному соответствию требованиям FedRAMP) реальный путь для обслуживания подрядчиков Министерства обороны без получения федерального разрешения на эксплуатацию (ATO). Однако это не означает, что... не Необходимо обеспечить соответствие CSP требованиям FedRAMP.

Добейтесь соответствия стандартам FedRAMP средней или высокой степени с помощью аккредитованного A2LA аудита FedRAMP и услуг поддержки 3PAO от Lazarus Alliance. Быстрые сроки (6–12 недель), полная разработка SSP/POA&M и автоматизация с помощью Cybervisor™. Звоните по телефону 888-896-7580.

Часто задаваемые вопросы (FAQ)

Наибольшую выгоду получают поставщики облачных услуг, ориентированные на контракты Министерства обороны (IL4/IL5), соответствие требованиям StateRAMP или быстрое внедрение в ведомствах. Если у вас уже есть сертификат FedRAMP Moderate и вы хотите расширить свою деятельность на оборонный сектор, государственные органы или другие федеральные ведомства, сертификат Moderate Equivalency — это самый быстрый путь к получению новых разрешений.

Стандартный уровень FedRAMP Moderate — это полная базовая авторизация (325 элементов контроля). Уровень Moderate Equivalency использует существующий пакет Moderate и требует только анализа дельта-разрыва для дополнительных элементов контроля, необходимых для нового пути (DoD, StateRAMP и т. д.), что значительно сокращает сроки.

Благодаря команде 3PAO, аккредитованной A2LA и использующей автоматизированную систему Cybervisor™, большинство клиентов проходят сертификацию FedRAMP Moderate Equivalency за 3–6 месяцев — на 40–50% быстрее, чем традиционные фирмы, предоставляющие услуги 3PAO.

Наша запатентованная платформа автоматизации Cybervisor™, технология Continuum GRC и методология Proactive Cyber ​​Security® сокращают ручной сбор и тестирование доказательств до 50%, а наша аккредитация A2LA ISO/IEC 17020 (№ 3822.01) гарантирует немедленное одобрение со стороны регулирующих органов.

К преимуществам относятся: сокращение времени выхода на рынок на 40–50%, значительное снижение затрат, повторное использование имеющихся данных, укрепление позиций для получения контрактов Министерства обороны и государственных органов, а также более быстрый путь к получению дополнительного дохода от государственных заказчиков.

Стоимость варьируется в зависимости от масштаба и существующего уровня зрелости, но упрощенный дельта-подход Lazarus Alliance обычно позволяет клиентам сэкономить 40–50% по сравнению с полной новой авторизацией. Свяжитесь с нами по телефону 888-896-7580 для бесплатной консультации и индивидуального расчета стоимости.

Просто позвоните по номеру 888-896-7580 или заполните нашу короткую форму. Анкета эквивалентности FedRAMPНаша команда проанализирует ваш текущий пакет услуг категории Moderate и в течение 48 часов предоставит вам план действий без каких-либо обязательств.

Добейтесь соответствия стандартам FedRAMP средней или высокой степени с помощью аккредитованного A2LA аудита FedRAMP и услуг поддержки 3PAO от Lazarus Alliance. Быстрые сроки (6–12 недель), полная разработка SSP/POA&M и автоматизация с помощью Cybervisor™. Звоните по телефону 888-896-7580.

Lazarus Alliance, как FedRAMP 3PAO, предоставляет услуги аудита, консультирования и оценки FedRAMP, FISMA и NIST для публичных, частных, общественных и гибридных облачных сервисов, включая программное обеспечение как услугу (SaaS), платформу как услугу (PaaS) и инфраструктуру как услугу (IaaS).

В Lazarus Alliance проактивность — это не просто наша визитная карточка, это наше обещание защитить ваше будущее еще до возникновения угроз. Майкл Питерс, генеральный директор и основатель

Использование Continuum GRC Машина ИТ-аудита, Безопасность Трифекта Методология и Политическая машинаLazarus Alliance предоставляет международные стандарты, которые признаны как «Лучшие практики» для разработки стандартов безопасности организации и средств контроля, поддерживающих сертификацию и оценку аудита соответствия на основе Федеральной программы управления рисками и авторизацией.

Репутация, на которую вы можете положиться

Американская ассоциация по аккредитации лабораторий (A2LA) аккредитованный номер сертификата ISO/IEC 17020 3822.01

Поговорите с одним из наших экспертов

Наши команды Lazarus Alliance Cybervisor™ имеют опыт проведения тысяч оценок для организаций, предоставляющих услуги клиентам по всему миру.

Мы здесь, чтобы ответить на любые ваши вопросы.

Загрузите брошюру нашей компании.

Добейтесь соответствия стандартам FedRAMP средней или высокой степени с помощью аккредитованного A2LA аудита FedRAMP и услуг поддержки 3PAO от Lazarus Alliance. Быстрые сроки (6–12 недель), полная разработка SSP/POA&M и автоматизация с помощью Cybervisor™. Звоните по телефону 888-896-7580.

Преимущества умеренной эквивалентности FedRAMP

  1. Спонсор от федерального агентства не требуется.
    • Для поставщиков облачных услуг (CSP): Избегайте длительного процесса получения разрешений и проверок PMO в соответствии со стандартами FedRAMP — выводите продукт на рынок быстрее.
    • Для оборонных подрядчиков (DIB): Получите доступ к более широкому выбору инновационных поставщиков облачных услуг, которые не обслуживают федеральные агентства напрямую.
  2. Ускоренное получение дохода и внедрение
    • Для поставщиков облачных услуг (CSP): Охват более 300 000 подрядчиков из числа представителей меньшинств за несколько недель, а не месяцев.
    • Для оборонных подрядчиков (DIB): Внедряйте соответствующие требованиям облачные сервисы быстрее, не дожидаясь полного разрешения на эксплуатацию в соответствии со стандартом FedRAMP.
  3. Более низкая стоимость, чем полная авторизация FedRAMP.
    • Для поставщиков облачных услуг (CSP): Избегайте постоянных комиссий за использование платформы FedRAMP Marketplace, координации действий спонсоров и надзора со стороны PMO.
    • Для оборонных подрядчиков (DIB): Выбирайте экономически эффективные решения CSP, разработанные специально для Министерства обороны, без завышенных цен в рамках программы FedRAMP.
  4. Идентичный уровень строгости безопасности (100% соответствие стандарту FedRAMP Moderate Baseline)
    • Для поставщиков облачных услуг (CSP): Обеспечьте соответствие стандартам NIST 800-53 Rev. 5 Moderate для предприятий, подтвержденное аккредитованной FedRAMP организацией 3PAO.
    • Для оборонных подрядчиков (DIB): Соответствуйте требованиям DFARS и CMMC с полной уверенностью — те же средства контроля, без компромиссов.
  5. Новые источники дохода и доступ к рынкам
    • Для поставщиков облачных услуг (CSP): Открыть доступ ко всей оборонно-промышленной базе без необходимости получения полного федерального разрешения на ввод в эксплуатацию.
    • Для оборонных подрядчиков (DIB): Получите больше вариантов выбора поставщиков облачных услуг и конкурентоспособные предложения для облачных сервисов, обрабатывающих конфиденциальную информацию.
  6. Конкурентное преимущество и готовность к CMMC
    • Для поставщиков облачных услуг (CSP): Выделите свою платформу на фоне конкурентов благодаря проверенной безопасности, соответствующей требованиям Министерства обороны США, и упрощенной процедуре оценки потребностей клиентов.
    • Для оборонных подрядчиков (DIB): Упростите оценку соответствия требованиям CMMC уровня 2/3 с помощью готового к использованию свода доказательств (Boode of Evidence, BoE).

Мы хотим стать вашим партнёром и оценщиком соответствия требованиям FedRAMP 3PAO! Для получения дополнительной информации позвоните нам. +1 (888) 896-7580.

Хотите получить ценовое предложение заранее? Заполните нашу анкету здесь.: