Послуги з аудиту та еквівалентності FedRAMP | Підтримка 3PAO, акредитована A2LA | Альянс Lazarus. Зателефонуйте +1 (888) 896-7580 сьогодні.

Досягніть помірної або високої еквівалентності FedRAMP завдяки аудиту FedRAMP, акредитованому A2LA, та послугам підтримки 3PAO від Lazarus Alliance. Швидкі терміни виконання – 6–12 тижнів, повна розробка SSP/POA&M та автоматизація Cybervisor™. Телефонуйте за номером 888-896-7580.

Помірний еквівалент FedRAMP (також званий помірним еквівалентом FedRAMP) – це визначений Міністерством оборони альтернативний шлях дотримання вимог для пропозицій хмарних послуг (CSO), що використовуються підрядниками оборонно-промислової бази (DIB) для зберігання, обробки або передачі закритої оборонної інформації (CDI) або контрольованої несекретної інформації (CUI). Він безпосередньо випливає з пункту 252.204-7012 DFARS і був уточнений у 21 грудня 2023 р., меморандум ІТ-директора Міністерства оборони.

Чому він існує та його роль у CMMC

Стандарт DFARS 252.204-7012 вимагає, щоб будь-який зовнішній постачальник хмарних послуг (CSP), який обробляє CDI/CUI, відповідав вимогам безпеки, еквівалентним базовому стандарту FedRAMP Moderate (плюс правилам звітності про кіберінциденти DFARS, зазначеним у пунктах (c)–(g)). Програма CMMC (особливо рівні 2 та 3, які захищають CUI) включає цю вимогу: якщо ваша організація використовує CSP для CUI, цей CSP повинен бути або авторизованим FedRAMP Moderate (внесеним до списку на FedRAMP Marketplace), або еквівалентним FedRAMP Moderate.

Під час оцінювання CMMC, C3PAO (для рівня 2) або DIBCAC (для вищих рівнів) перегляне Сукупність доказів (BoE) CSP, щоб підтвердити заяву про еквівалентність. Це є частиною перевірки вашої загальної відповідності CMMC.

Lazarus Alliance, акредитована стороння організація з оцінювання FedRAMP (3PAO), буде безпосередньо координувати свої дії з вашою організацією, щоб підготувати та запланувати вашу офіційну оцінку помірної еквівалентності FedRAMP. Після успішного завершення незалежної оцінки 3PAO, Lazarus Alliance надасть повний комплекс доказів (BoE).

Федеральна програма управління ризиками та авторизацією (FedRAMP)

FedRAMP — це програма уряду США, яка забезпечує стандартизований підхід до оцінки безпеки, авторизації та постійного моніторингу хмарних продуктів і послуг, що використовуються федеральними агентствами.

Заснована у 2011 році та введена в експлуатацію Адміністративно-бюджетним управлінням (OMB), програма FedRAMP усуває дублювання тестування безпеки, створюючи систему «використовуй один раз, використовуй багато разів», завдяки якій після авторизації хмарного сервісу за FedRAMP будь-яке федеральне агентство може повторно використовувати цей пакет авторизації замість проведення власної повної оцінки.

Що насправді означає «еквівалент»

Меморандум 2023 року усунув попередні лазівки та встановив високу планку. CSO кваліфікується як помірний еквівалент FedRAMP. лише якщо воно зустрічається всі з таких дій:

  • Досягає 100% відповідність (нуль результатів, пов'язаних з контролем) з останній базовий рівень контролю безпеки FedRAMP Moderate (NIST SP 800-53 Rev. 5 Помірний, ~325 контрольних груп).
  • Оцінюється Визнана та акредитована FedRAMP організація третьої сторони оцінювання (3PAO) використовуючи шаблони FedRAMP.
  • Забезпечує повний Сукупність доказів (BoE) підряднику, що зазвичай включає:
    • План безпеки системи (SSP)
    • План оцінки безпеки (SAP)
    • Звіт про оцінку безпеки (SAR), виконаний 3PAO
    • План дій та етапів (POA&M) — примітка: продовження операційних POA&M дозволяється після оцінювання, але початкова оцінка 3PAO повинна демонструвати повну відповідність без виявлених відкритих недоліків контролю.

CSP також повинен відповідати вимогам DFARS 252.204-7012 щодо звітності про інциденти, обробки шкідливого програмного забезпечення, захисту носіїв інформації, доступу до судово-медичної експертизи та оцінки збитків.

Досягніть помірної або високої еквівалентності FedRAMP завдяки аудиту FedRAMP, акредитованому A2LA, та послугам підтримки 3PAO від Lazarus Alliance. Швидкі терміни виконання – 6–12 тижнів, повна розробка SSP/POA&M та автоматизація Cybervisor™. Телефонуйте за номером 888-896-7580.

Графік аудиту помірної еквівалентності FedRAMP: чого очікувати від Lazarus Alliance

Нижче наведено середні часові рамки реального світу спостерігається у 2024–2026 роках з досвідченими 3PAO, такими як Lazarus Alliance:

Детальний графік аудиту помірної еквівалентності FedRAMP

Lazarus Alliance дотримується цього структурованого 6-фазного процесу, щоб допомогти постачальникам хмарних послуг (CSP) з існуючою авторизацією FedRAMP Moderate ефективно досягти еквівалентності Moderate (повторне використання ATO агентством, зіставлення DoD IL4/IL5, StateRAMP або інші шляхи еквівалентності) за допомогою акредитованої A2LA ретельності та автоматизації.

Фаза Діяльності Тривалість Очікувані результати
Фаза 0 – Попередня взаємодія та прийняття рішення Безризикова консультація, огляд існуючого пакету FedRAMP Moderate, визначення шляху еквівалентності цільових показників (Агентство, DoD IL4/IL5, StateRAMP тощо), підтвердження меж та визначення обсягу прогалин. 1 тиждень Підписана угода про взаємодію, дорожня карта еквівалентності, оновлена ​​діаграма меж та підтвердження шляху.
Фаза 1 – Визначення обсягу робіт та оцінка готовності Аналіз успадкування існуючих помірних елементів контролю, визначення додаткових вимог еквівалентності, адаптація SSP та огляд документації. 1-2 тижнів Звіт про мапування спадщини, аналіз розривів у готовності, адаптований план SSP для еквівалентності.
Фаза 2 – Оцінка прогалин та планування усунення недоліків Повний дельта-аналіз додаткових засобів контролю, оновлень політик/процедур, уточнення POA&M та стратегії доказів за допомогою автоматизації Cybervisor™. 2-3 тижнів Детальний звіт про розрив у еквівалентності, план пріоритетних усунення недоліків, оновлений POA&M, дорожня карта збору доказів.
Фаза 3 – Збір та тестування доказів Перевірка успадкованих + нових елементів керування, автоматизоване + ручне тестування, підтримка тестування на проникнення та створення репозиторію доказів для еквівалентності. 3-4 тижнів Повний пакет доказів, результати тестів, оновлений сертифікат посвідчення особи (POA&M), готові до подання контрольні звіти.
Фаза 4 – Пакет звітності та подання Остаточні оновлення SSP/SAR щодо еквівалентності, комплектації пакетів, координації агентств та підтримки подання. 1-2 тижнів Повний пакет авторизації еквівалентності (оновлені SSP, SAR, POA&M), артефакти, готові до подання.
Фаза 5 – Авторизація та безперервний моніторинг Підтримка агентств, координація прийняття еквівалентності, узгодження програми безперервного моніторингу (ConMon), постійна автоматизація за допомогою Continuum GRC та Cybervisor™. 2–3 тижні початкового налаштування (потім постійне) Підтвердження прийняття еквівалентності, затверджений план ConMon, автоматизовані панелі звітності та довгострокова програма підтримки відповідності.

Чому клієнти швидше завершують роботу з Lazarus Alliance: Наші акредитовані A2LA оцінювачі (ISO/IEC 17020 #3822.01), платформа автоматизації Cybervisor™, технологія Continuum GRC та методологія Proactive Cyber ​​Security® скорочують типові терміни помірної еквівалентності FedRAMP на 40–50%, забезпечуючи при цьому вищу якість доказів та швидше прийняття агентством.

Альянс Лазаря акредитована організація FedRAMP з оцінювання третьої сторони (3PAO), історично приблизно на 46% швидший, ніж у традиційних фірм 3PAO, що означає, що вашого помірного еквіваленту FedRAMP можна досягти за 3–6 місяців - Майкл Пітерс, Генеральний директор та засновник

FedRAMP Moderate: Авторизований проти Помірного еквівалента

Порівняння еквівалентності помірного авторизованого та помірного FedRAMP

Lazarus Alliance допомагає підрядникам оборонно-промислової бази (DIB) та постачальникам хмарних послуг чітко зрозуміти ключові відмінності між повною помірною авторизацією FedRAMP та помірною еквівалентністю FedRAMP для відповідності вимогам DFARS 252.204-7012 та CMMC.

Аспект Помірний авторизований FedRAMP Помірний еквівалент FedRAMP
Лістинг на торговельному майданчику FedRAMP / ATO Так (повна авторизація) Немає
Потрібен спонсор федерального агентства Так Немає
Контроль безпеки та оцінка 3PAO 100% відповідність FedRAMP Помірний базовий рівень 100% відповідність FedRAMP Помірний базовий рівень
Оцінено 3PAO, визнаний FedRAMP 3PAO, визнаний FedRAMP
Прийнятно для CMMC / DFARS 252.204-7012 Повністю відповідає вимогам Повністю відповідає вимогам
Постійний моніторинг та нагляд FedRAMP PMO + Безперервний моніторинг Огляд підрядником + C3PAO/DIBCAC Сукупності доказів (BoE)
Best For Організації, що прагнуть максимального визнання на ринку Постачальники послуг зв'язку, що обслуговують підрядників Міністерства оборони США, не проходячи повну сертифікацію FedRAMP ATO

Ключовий висновок з Lazarus Alliance: Обидва шляхи забезпечують однакову ретельність контролю безпеки для захисту CUI/CDI, але помірна еквівалентність надає CSP швидший шлях без спонсорів, тоді як наша команда, акредитована A2LA, та автоматизація Cybervisor™ забезпечують безперебійну готовність до CMMC та прийняття агентством.

Еквівалентність надає постачальникам послуг з управління інформаційними системами (особливо тим, хто не прагне повного FedRAMP) життєздатний шлях для обслуговування підрядників Міністерства оборони без отримання федерального дозволу на експлуатацію (ATO). Однак це не... НЕ зробити CSP «авторизованим FedRAMP».

Досягніть помірної або високої еквівалентності FedRAMP завдяки аудиту FedRAMP, акредитованому A2LA, та послугам підтримки 3PAO від Lazarus Alliance. Швидкі терміни виконання – 6–12 тижнів, повна розробка SSP/POA&M та автоматизація Cybervisor™. Телефонуйте за номером 888-896-7580.

Поширені запитання

Найбільшу користь отримують постачальники послуг інформаційних технологій (CSP), що орієнтовані на контракти Міністерства оборони США (IL4/IL5), відповідність вимогам StateRAMP або швидке впровадження в агентствах. Якщо у вас вже є FedRAMP Moderate і ви хочете розширити його діяльність на оборону, уряд штату або додаткові федеральні агентства, Moderate Equivalence – це найшвидший шлях до нових авторизацій.

Стандартний FedRAMP Moderate — це повна базова авторизація (325 елементів керування). Moderate Equivalence повторно використовує ваш існуючий пакет Moderate та вимагає лише аналізу дельта-прогалин для додаткових елементів керування, необхідних новим шляхом (DoD, StateRAMP тощо), що значно скорочує терміни.

Завдяки команді 3PAO, акредитованій A2LA, та автоматизації Cybervisor™ від Lazarus Alliance, більшість клієнтів проходять сертифікацію FedRAMP Moderate Equivalency за 3–6 місяців — на 40–50% швидше, ніж у традиційних фірм 3PAO.

Наша власна платформа автоматизації Cybervisor™, технологія Continuum GRC та методологія Proactive Cyber ​​Security® скорочують обсяг ручного збору та тестування доказів до 50%, а наша акредитація A2LA ISO/IEC 17020 (#3822.01) гарантує негайне прийняття агентством.

Переваги включають швидший вихід на ринок на 40–50%, значно нижчі витрати, повторне використання існуючих доказів, сильніше позиціонування для Міністерства оборони та державних контрактів, а також швидший шлях до додаткових доходів від державних клієнтів.

Вартість залежить від обсягу послуг та їхньої зрілості, але оптимізований підхід Lazarus Alliance до дельти зазвичай заощаджує клієнтам 40–50% порівняно з повним новим дозволом. Зв'яжіться з нами за номером 888-896-7580 для безризикової консультації та індивідуальної пропозиції.

Просто зателефонуйте за номером 888-896-7580 або заповніть нашу коротку Анкета еквівалентності FedRAMPНаша команда перегляне ваш поточний пакет послуг Moderate та надасть вам безкоштовну дорожню карту протягом 48 годин.

Досягніть помірної або високої еквівалентності FedRAMP завдяки аудиту FedRAMP, акредитованому A2LA, та послугам підтримки 3PAO від Lazarus Alliance. Швидкі терміни виконання – 6–12 тижнів, повна розробка SSP/POA&M та автоматизація Cybervisor™. Телефонуйте за номером 888-896-7580.

Lazarus Alliance, як FedRAMP 3PAO, надає послуги аудиту, консультування та оцінки FedRAMP, FISMA та NIST для державних, приватних, громадських та гібридних хмарних сервісів, включаючи програмне забезпечення як послугу (SaaS), платформу як послугу (PaaS) та інфраструктуру як послугу (IaaS).

У Lazarus Alliance проактивність — це не просто наша візитна картка, це наша обіцянка захистити ваше майбутнє ще до того, як загрози виникнуть. Майкл Пітерс, Генеральний директор та засновник

Використання Continuum GRC Машина ІТ-аудиту, Security Trifecta методологія, а також Політична машина, Lazarus Alliance надає міжнародні стандарти, визнані як «Кращі практики«за розробку стандартів та засобів контролю організаційної безпеки, що підтримують сертифікацію та оцінку аудиту відповідності на основі Федеральної програми управління ризиками та авторизацією».

Довідки, на які ви можете покластися

Номер сертифікації Американської асоціації з акредитації лабораторій (A2LA) ISO/IEC 17020 3822.01

Поговоріть з одним із наших експертів

Наші команди Lazarus Alliance Cybervisor™ мають досвід проведення тисяч оцінок для організацій, що надають послуги клієнтам по всьому світу.

Ми тут, щоб відповісти на будь-які ваші запитання.

Завантажте брошуру нашої компанії.

Досягніть помірної або високої еквівалентності FedRAMP завдяки аудиту FedRAMP, акредитованому A2LA, та послугам підтримки 3PAO від Lazarus Alliance. Швидкі терміни виконання – 6–12 тижнів, повна розробка SSP/POA&M та автоматизація Cybervisor™. Телефонуйте за номером 888-896-7580.

Переваги помірної еквівалентності FedRAMP

  1. Не потрібен спонсор федерального агентства
    • Для постачальників хмарних послуг (CSP): Уникайте тривалого процесу спонсорства та перевірок PMO від FedRAMP — виходьте на ринок швидше.
    • Для оборонних підрядників (DIB): Отримайте доступ до ширшого вибору інноваційних постачальників послуг комунікацій (CSP), які не обслуговують безпосередньо федеральні агентства.
  2. Швидше отримання доходу та розгортання
    • Для постачальників хмарних послуг (CSP): Охопіть понад 300 000 підрядників DIB за тижні замість місяців.
    • Для оборонних підрядників (DIB): Швидше підключайте хмарні сервіси, що відповідають вимогам FedRAMP, без очікування повного підтвердження відповідності вимогам.
  3. Нижча вартість, ніж повна авторизація FedRAMP
    • Для постачальників хмарних послуг (CSP): Уникайте постійних комісій FedRAMP Marketplace, координації спонсорів та нагляду PMO.
    • Для оборонних підрядників (DIB): Оберіть економічно ефективні рішення CSP, адаптовані для Міністерства оборони США, без преміальних цін FedRAMP.
  4. Ідентична ретельність безпеки (100% помірний базовий рівень FedRAMP)
    • Для постачальників хмарних послуг (CSP): Надайте помірні засоби контролю корпоративного рівня, що відповідають стандарту NIST 800-53 Rev. 5, перевірені 3PAO, визнаним FedRAMP.
    • Для оборонних підрядників (DIB): Відповідайте вимогам DFARS та CMMC з повною впевненістю — ті самі засоби контролю, без компромісів.
  5. Нові доходи та доступ до ринку
    • Для постачальників хмарних послуг (CSP): Відкрийте двері до всієї оборонно-промислової бази без проведення повноцінної федеральної АТО.
    • Для оборонних підрядників (DIB): Отримайте більше варіантів CSP та конкурентні опції для хмарних сервісів обробки CUI.
  6. Конкурентна перевага та готовність до CMMC
    • Для постачальників хмарних послуг (CSP): Відрізніть свою платформу за допомогою перевіреної безпеки, що відповідає вимогам Міністерства оборони США, та оптимізованої оцінки клієнтів.
    • Для оборонних підрядників (DIB): Спростіть оцінювання CMMC рівня 2/3 за допомогою готового до використання корпусу доказів (BoE).

Ми хочемо бути вашим партнером та обраним оцінювачем відповідності FedRAMP 3PAO! Для отримання додаткової інформації, будь ласка, зателефонуйте +1 (888) 896-7580.

Хочете отримати швидший термін отримання цінової пропозиції? Заповніть нашу анкету тут: