Зачем принимать правила StateRAMP? Введение государственного органа в принятие StateRAMP

Мы написали несколько статей и ресурсов о сертификации StateRAMP для поставщиков облачных услуг (CSP). Однако в этом процессе задействовано несколько сторон. Одной из самых важных является государственный орган, ищущий надежного партнера CSP.  Здесь мы обсудим некоторые шаги высокого уровня, которые должен предпринять государственный орган для принятия требований StateRAMP. Это включает необходимые контакты, инфраструктуру и документы, необходимые для соответствия StateRAMP.

Шаги по принятию StateRAMP

Шаги по принятию государственными органами Требования StateRAMP включают в себя организацию вашего агентства на основе новой структуры политики безопасности, подготовку вашей организации к набору соответствующих требованиям поставщиков коммуникационных услуг и понимание того, как работают договорные соглашения с точки зрения уровней безопасности.

Шаг 1: Свяжитесь с офисом управления проектами StateRAMP для получения информации о ролях и обязанностях

Первый шаг к принятию требований StateRAMP — обратиться в офис по управлению проектами StateRAMP (PMO). PMO поможет вам, предоставив необходимые дальнейшие шаги и ресурсы для выполнения требований StateRAMP в качестве государственного агентства. 

На данном этапе эти требования носят в основном организационный характер и включают в себя следующие шаги:

• Получение матрицы ответственности чтобы помочь вам определить, кто и какие обязанности будет выполнять в рамках управления соответствием партнерским поставщикам коммуникационных услуг.
• Определение заинтересованных сторон в правительствев вашей организации, кто будет осуществлять определенный уровень контроля или ответственности за соблюдение StateRAMP либо в качестве контактного лица, либо в качестве лица, ответственного за управление внутренними политиками.
• Завершение обнаружения данныхy, в которой описывается ваш текущий портфель облачных сервисов и все поставщики, которые в настоящее время управляют данными от вашего имени. 

На этом этапе ваши обязанности по сути заключаются в построении отношений с StateRAMP как с организацией и документировании вашей текущей позиции как агентства с потенциальными партнерами-поставщиками облачных услуг.

Шаг 2: Разработайте стандартную политику безопасности

Вместо того, чтобы разрабатывать собственную инфраструктуру безопасности, StateRAMP рекомендует чтобы агентства, впервые участвующие в программе, приняли более общую политику для всех поставщиков облачных услуг, предлагающих услуги SaaS, IaaS или PaaS. 

На этом этапе вы создаете внутреннюю политику для своей организации, в которой указано, что поставщики облачных услуг будут, как минимум, придерживаться правил и стандартов, изложенных в NIST SP 800-53 Rev. 4, которые могут быть проверены должностными лицами StateRAMP. StateRAMP предоставит вам образец политики, который вы сможете адаптировать к уникальным потребностям вашего агентства. StateRAMP рекомендует, чтобы ваша политика включала следующую информацию:

• Требовать соответствия CSP стандарту NIST 800-53 Rev. 4
• Требовать от всех подрядчиков и поставщиков, использующих облачную систему для обработки или хранения данных, соблюдения NIST 800-53.
• Опишите уровень воздействия на безопасность данных, требующий соблюдения FIPS PUB 199 для классификации данных.
• Необходимость регулярного и непрерывного обслуживания средств контроля безопасности для поставщиков коммуникационных услуг
• Отменить право требовать пересмотра любой 3PAO используется CSP в рамках сертификации StateRAMP или постоянного мониторинга
• Разработать требования к реагированию для любого поставщика коммуникационных услуг или подрядчика в случае обнаружения серьезного недостатка в их облачной системе.
• Определить процесс утверждения любого отклонения от сертификации StateRAMP

Кроме того, вы представите этот образец политики в StateRAMP PMO, чтобы они могли сохранить его в учете. Он послужит основой для ваших политик, которые будут двигаться дальше. 

Шаг 3: Определите категорию безопасности и требуемый статус безопасности

Наряду с определением политики безопасности вам необходимо определить, представляет ли ваша деятельность угрозу безопасности на основе данных, которыми вы управляете. 

StateRAMP следует примеру FedRAMP, определяя «уровень воздействия» данных, с которыми работает государственное учреждение, и предоставляя категорию безопасности на основе этого уровня. 

Поскольку государственные органы обычно имеют дело с менее конфиденциальными данными (т. е. данными, которые не являются частными и могут нанести ущерб широкой общественности, данными, защищенными грифами секретности и т. д.), StateRAMP включает только три уровня безопасности:

1. Категория 1: Эта категория соответствует рейтингу низкого воздействия FedRAMP, который включает данные, общедоступные для общественности.
   
2. Категория 2: Эта категория соответствует рейтингу низкого воздействия FedRAMP с добавлением некоторых мер безопасности, которые помещают ее выше категории 1, но не такую ​​строгую, как категория 3.
   
3. Категория 3: Эта категория соответствует рейтингу умеренного воздействия FedRAMP, который включает несекретные, но конфиденциальные данные, которые не доступны общественности. 

Категория 2 представляет собой своего рода гибрид и может служить гибкой промежуточной ступенью между низким и умеренным уровнями воздействия. 

Эти категории соответствуют обозначениям FIPS 199. Итак:

• At Низкий уровень воздействия, раскрытие, изменение/уничтожение и нарушение доступа к информации будет иметь ограниченный неблагоприятный эффект. Это означает, что данные не являются конфиденциальными и не считаются неотъемлемой частью работы любого агентства таким образом, чтобы это могло негативно повлиять на работников или граждан.
  
• At Умеренный уровень воздействия, раскрытие, уничтожение или нарушение таких данных может иметь серьезные неблагоприятные последствия для людей или агентств. Это включает в себя персонально идентифицируемую информацию (PII). 

После того, как вы определите категорию, вы сможете далее определить требования к статусу безопасности. Во время сертификации StateRAMP CSP будут работать с несколькими обозначениями: Готово, В процессе, Предварительно, и Разрешено. Каждый статус иллюстрирует, на каком этапе процесса находится CSP и насколько он выполнил требования к тестированию и отчетности. Вы можете, в рамках своих политик, определить минимальный статус, который должен иметь CSP, чтобы его можно было считать частью любого партнерства с вашей организацией.

Шаг 4: Интеграция в запрос предложений

Теперь, когда существует общая политика, в которой изложены требования StateRAMP к уровню безопасности и прогрессу в программе, ваше агентство может включить требования StateRAMP во все запросы предложений (RFP) для поставщиков коммуникационных услуг.

Опять же, государственные органы могут использовать свой собственный язык или использовать язык, предоставленный StateRAMP PMO.

Важно отметить, что все требования, изложенные в RFP, должны соответствовать требованиям StateRAMP. Дополнительные требования по безопасности или оценке рисков, которые выходят за рамки StateRAMP, должны управляться и поддерживаться агентством. 

StateRAMP рекомендует, чтобы любой запрос предложений, соответствующий требованиям StateRAMP, включал следующую информацию:

• Политики безопасности для вашего агентства, включая требования StateRAMP на основе NIST 800-53.
  
• Уведомление о том, что ни один контракт не будет заключен с CSP, если CSP не соответствует заявленным требованиям сертификации StateRAMP.
  
• Любой, кто подает заявку на получение предложения со статусом «Готово», делает это в качестве подтверждения своей способности в конечном итоге перейти к полной сертификации, и любой CSP, не имеющий статуса полностью авторизованного, должен достичь этого статуса в течение 12 месяцев с момента заключения контракта.
  
• Поставщики услуг связи и подрядчики должны осуществлять постоянное, соответствующее требованиям техническое обслуживание и мониторинг посредством сертифицированных аудитов 3PAO.
  
• Поставщики услуг связи и подрядчики должны реагировать на серьезные проблемы безопасности в течение заранее определенного периода времени.
  
• Любое отклонение от сертификации требует разрешения вашей организации.

Путь к принятию StateRAMP

Государственное агентство, желающее внедрить StateRAMP для своих поставщиков коммуникационных услуг, должно следовать простой процедуре:

1. Обратитесь в PMO StateRAMP, чтобы обсудить требования, основанные на данных и миссии агентства. Это включает документирование технических специалистов в вашей организации, которые будут служить точками контакта для PMO и поставщиков.
2. Стандартизируйте свои политики безопасности в соответствии с требованиями StateRAMP и NIST 800-53. На этом этапе многим агентствам было бы полезно работать с опытным партнером по безопасности, имеющим опыт в таких областях, как FedRAMP и StateRAMP (возможно, даже с установленными 3PAO).
3. Определите категорию безопасности на основе данных, которыми вы управляете, и согласуйте свои потребности с поставщиками облачных услуг на основе этой оценки и ваших новых политик безопасности. 
4. Интегрируйте язык, совместимый со StateRAMP, для описания ваших политик, потребностей и ожиданий в будущих запросах предложений для поставщиков облачных услуг.

Обратите внимание: если вы решите работать с CSP, который в настоящее время проходит сертификацию StateRAMP, вас могут пригласить выступить в качестве спонсора.

Заключение

После того, как вы подготовили свое агентство к соблюдению StateRAMP, вы должны быть готовы к постоянным отчетам по мониторингу от CSP и подрядчиков. StateRAMP — это строгая структура безопасности, которая защитит ваши данные, но она требует обязательств, пока она внедрена. 

Если вы готовитесь к новому шагу в мире StateRAMP, вам, скорее всего, придется работать с партнером-провайдером коммуникационных услуг, который соответствует вашим потребностям. Если вам или вашему партнеру CSP требуется опытный и сертифицированный 3PAO для поддержки на пути к сертификации StateRAMP, свяжитесь с Lazarus Alliance по адресу 1-888-896-7580 или свяжитесь с нами через форму ниже.