Trong khi người ta có thể cho rằng các cơ quan liên bang có hệ thống bảo mật không thể xuyên thủng, dữ liệu lại cho thấy điều ngược lại. Ngoài việc dễ bị tổn thương như các tổ chức khác, họ còn là mục tiêu hàng đầu của tin tặc.

Theo ghi nhận, năm 2018 là năm tệ nhất đối với chính phủ Hoa Kỳ về mặt an ninh mạng. Trong năm đó, đã có  13.107 vụ vi phạm được báo cáo đối với các cơ quan liên bang. Những vụ việc này dẫn đến tổng chi phí là 13,7 tỷ đô la.

Xét đến tính chất nhạy cảm của thông tin mà các cơ quan liên bang nắm giữ về đất nước và công dân, những mối đe dọa như vậy là nguyên nhân chính gây lo ngại.

Đây là lý do tại sao chính phủ liên bang coi trọng vấn đề an ninh mạng bằng cách thực hiện các hướng dẫn mà tất cả các tổ chức đối tác phải tuân theo. Bằng cách đảm bảo các đối tác của mình duy trì các tiêu chuẩn và thẩm quyền an ninh mạng cao, chính phủ đang giảm thiểu rủi ro của mình.

Chương  trình Quản lý Rủi ro và Ủy quyền Liên bang (FedRAMP) là một trong những sáng kiến ​​của chính phủ nhằm giúp các tổ chức cung cấp các sản phẩm và dịch vụ đám mây an toàn.

Trong bài viết này, bạn sẽ tìm thấy tổng quan toàn diện về FedRAMP, bao gồm FedRAMP là gì, mục tiêu của FedRAMP, thời điểm FedRAMP được phát triển, đối tượng áp dụng, lý do FedRAMP quan trọng, những điều kiện để được chứng nhận, các bước để được cấp phép FedRAMP và nhiều thông tin khác.

FedRamp là gì?

Chương trình Quản lý Rủi ro và Ủy quyền Liên bang (FedRAMP) là chương trình trên toàn chính phủ Hoa Kỳ cung cấp phương pháp tiếp cận chuẩn hóa cho việc đánh giá bảo mật, ủy quyền và giám sát liên tục các sản phẩm và dịch vụ đám mây.

FedRAMP hướng đến mục tiêu giảm thiểu rủi ro vi phạm dữ liệu và bảo vệ thông tin nhạy cảm bằng cách đảm bảo các sản phẩm và dịch vụ đám mây đáp ứng mức yêu cầu bảo mật tối thiểu.

Mục tiêu của FedRAMP là gì?

Trong thập kỷ qua, công nghệ đám mây đã trở nên nổi bật và có lý do chính đáng. Nó giúp việc mở rộng dịch vụ dễ dàng hơn nhiều và nhanh hơn.

Nhưng đi kèm với lời hứa cung cấp dịch vụ nhanh hơn là rủi ro lớn hơn, đặc biệt là khi bảo vệ dữ liệu khách hàng.

FedRAMP cung cấp một bộ tiêu chuẩn và quy trình bảo mật nhằm đảm bảo các dịch vụ và sản phẩm dựa trên đám mây đáng tin cậy, an toàn và bảo mật.

Chương trình Quản lý Rủi ro và Ủy quyền Liên bang (FedRAMP) ra đời vào năm 2011. Việc tuân thủ FedRAMP hợp lý hóa việc đánh giá bảo mật, ủy quyền và giám sát liên tục đối với các sản phẩm và dịch vụ đám mây do các cơ quan liên bang sử dụng để lưu, xử lý hoặc chia sẻ thông tin liên bang.

Mục tiêu của FedRAMP có thể được tóm tắt như sau:

• Đảm bảo thông tin liên bang được an toàn khi sử dụng dịch vụ đám mây.
• Tiết kiệm thời gian và tiền bạc cho chính quyền liên bang bằng cách sử dụng lại các dịch vụ đám mây.

Để đạt được những mục tiêu này, FedRAMP tập trung vào nhiều lĩnh vực. Bao gồm:

• Việc phát triển một quy trình cấp phép bảo mật đáng tin cậy và duy nhất có thể giúp giảm thiểu những nỗ lực trái ngược nhau thường thấy ở nhiều cơ quan khác nhau.
• Tận dụng NIST và FISMA để đánh giá bảo mật đám mây.
• Tăng cường sự hợp tác giữa nhà cung cấp và các cơ quan.
• Thúc đẩy tính thống nhất trên các gói bảo mật bằng cách chuẩn hóa các biện pháp thực hành tốt nhất.
• Giúp các cơ quan thích ứng với đám mây bằng cách tạo kho lưu trữ trung tâm cho các tài nguyên được chia sẻ.

Lịch sử của FedRAMP

Mặc dù FedRAMP đã được ra mắt cách đây hơn một thập kỷ, nhưng nguồn gốc của nó đã có từ lâu hơn. Để cải thiện các dịch vụ chính phủ điện tử, Quốc hội đã thông qua  Đạo luật Chính phủ điện tử năm 2002. Đạo luật này đã thiết lập một vị trí Giám đốc thông tin liên bang trong Văn phòng Quản lý và Ngân sách (OMB).

Một trong những tính năng chính của nó là  Đạo luật Quản lý An ninh Thông tin Liên bang năm 2002 (FISMA) . Đạo luật này ủng hộ việc sử dụng khuôn khổ an ninh mạng để bảo vệ chống lại các mối đe dọa. Kể từ đó, công nghệ đám mây đã trở thành một trong những công nghệ đã thay đổi cách các cơ quan liên bang tương tác với dữ liệu.

Công nghệ đám mây nâng cao hiệu quả và giảm đáng kể chi phí vận hành và mua sắm, giúp chính phủ liên bang tiết kiệm hàng tỷ đô la chi phí hàng năm. Tuy nhiên, nó đi kèm với một lớp rủi ro mạng bổ sung.

Năm 2011, chính phủ Hoa Kỳ chính thức thành lập FedRAMP để quản lý các nhà cung cấp dịch vụ đám mây cung cấp dịch vụ và sản phẩm cho các cơ quan liên bang. Điều này diễn ra sau khi Steve VanRockel, Giám đốc thông tin liên bang của OMB, gửi một bản ghi nhớ tới các cơ quan liên bang Hoa Kỳ nêu rõ nhu cầu về một khuôn khổ bảo mật đám mây.

Bản ghi nhớ đề xuất thành lập FedRAMP như một công cụ hiệu quả để quản lý rủi ro bảo mật của các dịch vụ đám mây. Chương trình được chính thức ra mắt vào năm 2012 khi chính phủ Hoa Kỳ ban hành giấy phép bắt đầu hoạt động và bắt đầu chứng nhận các nhà cung cấp dịch vụ đám mây.

Kể từ đó, FedRAMP đã phát triển và hiện là tiêu chuẩn liên bang cho các đánh giá bảo mật đám mây nhằm đảm bảo tính bảo mật của các dịch vụ đám mây được các cơ quan liên bang sử dụng.

FedRAMP áp dụng cho ai?

Tuân thủ FedRAMP áp dụng cho bất kỳ dịch vụ hoặc sản phẩm đám mây nào do chính phủ liên bang sử dụng. Điều này bao gồm Amazon Web Services (AWS), Microsoft Azure và Google Cloud Platform. Nó cũng áp dụng cho các nhà thầu và nhà cung cấp cung cấp dịch vụ thay mặt cho chính phủ.

Chương trình FedRAMP yêu cầu các nhà cung cấp dịch vụ đám mây phải thiết kế và triển khai một môi trường an toàn hiệu quả, đáp ứng các biện pháp kiểm soát bảo mật bắt buộc.

Tại sao FedRAMP lại quan trọng?

Ngày nay,  các cơ quan chính phủ dựa vào các dịch vụ đám mây an toàn hơn bao giờ hết. Sự phát triển của công nghệ di động đã buộc các tổ chức phải áp dụng các công nghệ mới như Điện toán đám mây, Cơ sở hạ tầng dưới dạng dịch vụ (IaaS) và Phần mềm dưới dạng dịch vụ (SaaS) để duy trì khả năng cạnh tranh.

Việc tuân thủ FedRAMP rất quan trọng vì nó đảm bảo rằng các dịch vụ đám mây do chính phủ liên bang sử dụng đáp ứng các tiêu chuẩn bảo mật. Nó giúp bảo vệ dữ liệu liên bang, giảm chi phí và cải thiện hiệu quả. Bằng cách cung cấp một cách hiệu quả để các cơ quan đánh giá và quản lý rủi ro của các dịch vụ đám mây, FedRAMP đơn giản hóa quy trình xác định, đánh giá và cấp phép cho các dịch vụ đám mây do các cơ quan liên bang sử dụng. (Xem  mục tuân thủ quy định để biết thêm thông tin)

Cần những gì để được chứng nhận FedRAMP?

Để được chứng nhận FedRAMP, các nhà cung cấp dịch vụ đám mây phải trải qua một quy trình cấp phép nghiêm ngặt. Quy trình bắt đầu bằng việc hoàn thành Bản câu hỏi tự đánh giá (SAQ) cho dịch vụ hoặc sản phẩm đám mây của họ. Sau khi hoàn thành và phê duyệt SAQ, họ phải nộp Tóm tắt đánh giá tác động (IAB) và Kế hoạch hành động & mốc quan trọng (POA&M).

IAB cung cấp tổng quan về kiến ​​trúc hệ thống và các biện pháp kiểm soát bảo mật, trong khi POA&M nêu rõ các yêu cầu bảo mật mà tổ chức phải đáp ứng.

Sau khi IAB và POA&M được chấp thuận, các nhà cung cấp dịch vụ đám mây có thể bắt đầu quá trình chứng nhận FedRAMP chính thức.

Có thể đạt được quyền cấp phép FedRAMP theo hai cách:

1. Ủy ban ủy quyền chung (JAB) Quyền hạn tạm thời để vận hành
JAB ban hành ủy quyền tạm thời trong quá trình này, cho phép các cơ quan biết rằng rủi ro đã được xem xét. Ủy quyền JAB là sự chấp thuận đầu tiên quan trọng và sau đó nhà cung cấp dịch vụ đám mây phải gửi ủy quyền này để cơ quan xem xét đầy đủ.

Các nhà cung cấp dịch vụ đám mây có rủi ro cao hoặc trung bình sẽ thấy quy trình này có lợi nhất.

2. Cơ quan ủy quyền
Các cơ quan chịu trách nhiệm ủy quyền cho các dịch vụ và sản phẩm đám mây sử dụng tiêu chuẩn FedRAMP. Họ phải đánh giá rủi ro tổng thể và xác định xem hệ thống có tuân thủ tất cả các yêu cầu bảo mật hay không trước khi có thể được ủy quyền.

Các danh mục tuân thủ FedRAMP

Chính phủ Hoa Kỳ đã thiết lập các loại tuân thủ FedRAMP khác nhau: Thấp, Trung bình, Cao và Không được phép. Mỗi loại đều có các yêu cầu bảo mật phải được đáp ứng dựa trên mức độ nhạy cảm của thông tin liên quan.

Hơn nữa, chúng dựa trên tác động tiềm tàng mà vi phạm an ninh có thể gây ra đối với ba lĩnh vực chính:

• Bảo mật – Bảo vệ quyền riêng tư và thông tin độc quyền.
• Bảo vệ tính toàn vẹn cho tính chính xác và đầy đủ của dữ liệu.
• Tính khả dụng – Đảm bảo người dùng được phép có thể truy cập khi cần.

1. FedRAMP Mức tác động thấp
Mức tác động thấp là mức cơ sở cho các hệ thống và dữ liệu đám mây. Mức này có rủi ro thấp và được thiết kế để hỗ trợ các dịch vụ và sản phẩm dành cho mục đích sử dụng công cộng. Các hệ thống và thông tin ở mức này không quan trọng đối với sứ mệnh, hoạt động, tài chính, danh tiếng hoặc nhân sự của một cơ quan. Do đó, bất kỳ mất mát nào về tính bảo mật hoặc tính khả dụng sẽ không có tác động đáng kể.

125 kiểm soát các hệ thống an toàn ở cấp độ này. Đây là các công nghệ và quy trình mà nhà cung cấp dịch vụ đám mây sử dụng để bảo mật dữ liệu của chính phủ được lưu trữ trên đám mây.

2. Mức tác động trung bình của FedRAMP
Ở mức tác động này, dữ liệu đang đề cập được gọi là thông tin không được phân loại có kiểm soát. Dữ liệu này không được công khai và bao gồm thông tin nhận dạng cá nhân. Kiểu dữ liệu này tuân theo 325 biện pháp kiểm soát của mức tác động trung bình của FedRAMP.

Nếu các biện pháp kiểm soát này không được áp dụng, nó có thể ảnh hưởng trực tiếp đến Mục đích chính của cơ quan. Các hoạt động thường xuyên có thể bị cản trở, tài nguyên có thể bị mất và thông tin cá nhân của mọi người có thể bị lộ.

3. Mức tác động cao của FedRAMP
Trước tháng 6 năm 2016, khi FedRAMP công bố đường cơ sở bảo mật cấp cao, các cơ quan chính phủ chỉ có thể ký hợp đồng với các nhà cung cấp dịch vụ đám mây cho các hoạt động cơ bản và trung bình. Nhưng với đường cơ sở bảo mật cấp cao, các cơ quan hiện có thể ký hợp đồng với các nhà cung cấp dịch vụ đám mây cho các hoạt động nhạy cảm hơn.

Hệ thống rủi ro cao phải đáp ứng các biện pháp kiểm soát 421 được thiết kế để bảo vệ dữ liệu được phân loại là tài sản có giá trị cao. Một cơ quan thường sở hữu dữ liệu này và có thể bao gồm thông tin an ninh quốc gia, bí mật thương mại và hồ sơ tài chính.

Các biện pháp kiểm soát 421 rất toàn diện và cung cấp mức độ bảo vệ cao nhất cho dữ liệu nhạy cảm của chính phủ được lưu trữ trên đám mây.

Mức tác động cao nên được sử dụng cho thông tin nhạy cảm nhất, không được phân loại của chính phủ liên bang. Điều này áp dụng cho các lĩnh vực mà vi phạm có thể gây ra hậu quả thảm khốc như thiệt hại cho một tổ chức, phá sản tài chính hoặc mất mạng. Những lĩnh vực này bao gồm thực thi pháp luật, hoạt động khẩn cấp, dịch vụ tài chính và  hệ thống chăm sóc sức khỏe.

Quản trị FedRAMP

Chương trình FedRAMP được giám sát bởi các cơ quan nhánh hành pháp cùng nhau phát triển, quản lý và vận hành chương trình. Sau đây là các cơ quan quản lý của FedRAMP:

• Hội đồng Ủy quyền Chung (JAB) – Đây là cơ quan quản lý và ra quyết định chính cho FedRAMP. Hội đồng bao gồm các giám đốc thông tin (CIO) từ Bộ An ninh Nội địa (DHS), Tổng  cục Quản lý Dịch vụ (GSA) và Bộ Quốc phòng (DOD).
• Văn phòng Quản lý và Ngân sách (OMB) – OMB cung cấp hướng dẫn, chỉ đạo và chính sách về công nghệ thông tin liên bang.
• Văn phòng Quản lý Chương trình FedRAMP (PMO) – Văn phòng này chịu trách nhiệm phát triển khuôn khổ chương trình, quản lý các nỗ lực tuân thủ và giám sát các nhà cung cấp dịch vụ.
• Hội đồng CIO – Hội đồng này đưa ra định hướng và hướng dẫn cho các cơ quan về các nỗ lực điện toán đám mây.
• Bộ An ninh Nội địa (DHS) – Cung cấp các đánh giá về kỹ thuật và an ninh mạng của các nhà cung cấp dịch vụ đám mây thông qua quy trình “Thẩm quyền hoạt động” của họ.

Ví dụ về các chương trình được chứng nhận FedRAMP

Chương trình Quản lý Rủi ro và Ủy quyền Liên bang đã chứng nhận một số dịch vụ dựa trên đám mây, bao gồm:

• Dịch vụ web của Amazon (AWS)
• Đám mây chính phủ Microsoft Azure
• Nền tảng đám mây của Google dành cho Chính phủ
• Lực lượng bán hàng
• Cơ sở hạ tầng đám mây Oracle dành cho chính phủ

Các dịch vụ dựa trên đám mây này tuân thủ các yêu cầu bảo mật của FedRAMP và đã đạt được sự cho phép cần thiết. Do đó, các cơ quan liên bang có thể sử dụng bất kỳ dịch vụ nào trong số này để lưu trữ dữ liệu chính phủ nhạy cảm trên đám mây mà không làm ảnh hưởng đến bảo mật của chúng.

Chứng nhận FedRAMP

Để được chứng nhận, các nhà cung cấp dịch vụ đám mây phải đáp ứng các yêu cầu bảo mật được nêu trong Khung FedRAMP. Điều này bao gồm Báo cáo đánh giá rủi ro (RAR) nêu rõ các rủi ro liên quan đến dịch vụ được đề xuất, Kế hoạch đánh giá bảo mật (SAP) nêu rõ cách giảm thiểu rủi ro và Gói ủy quyền chứng minh sự tuân thủ các biện pháp kiểm soát.

Khi nhà cung cấp dịch vụ đám mây đã đáp ứng tất cả các yêu cầu này, họ có thể nộp đơn xin cấp phép để vận hành dịch vụ của mình trong môi trường chính phủ. Nếu được chấp thuận, họ sẽ nhận được giấy phép tạm thời để vận hành (P-ATO) từ Hội đồng cấp phép chung, có hiệu lực trong ba năm.

Các bước để được ủy quyền FedRAMP

Có bốn bước chung trong quy trình cấp phép FedRAMP, bất kể bạn theo đuổi loại cấp phép cụ thể nào.

1. Phát triển gói – Cuộc họp khởi động ủy quyền, sau đó nhà cung cấp hoàn thành Kế hoạch bảo mật hệ thống. Sau đó, tổ chức đánh giá của bên thứ ba được FedRAMP chấp thuận sẽ phát triển Kế hoạch đánh giá bảo mật.
2. Đánh giá- Tổ chức đánh giá bảo mật nộp báo cáo nêu chi tiết các phát hiện và khuyến nghị. Nhà cung cấp dịch vụ tạo kế hoạch khắc phục với các mốc quan trọng để khắc phục các thiếu sót được xác định trong báo cáo.
3. Ủy quyền – Khi JAB hoặc cơ quan ủy quyền xác định rằng rủi ro đủ thấp, họ sẽ gửi thư Ủy quyền hoạt động đến văn phòng quản lý dự án FedRAMP. Sau đó, tên của nhà cung cấp sẽ được đưa vào FedRAMP Marketplace.
4. Giám sát – Mỗi cơ quan sử dụng dịch vụ bảo mật sẽ nhận được báo cáo giám sát hàng tháng.

Thực hành tốt nhất về ủy quyền FedRAMP

Việc đạt được sự cho phép của FedRAMP không phải là điều dễ dàng, nhưng điều quan trọng đối với tất cả các bên liên quan là các nhà cung cấp dịch vụ đám mây phải thành công khi họ bắt đầu quá trình này.

FedRAMP đã phỏng vấn một số doanh nghiệp nhỏ và công ty khởi nghiệp về những bài học họ rút ra được trong quá trình cấp phép để giúp đỡ những người khác. Sau đây là bảy mẹo hay nhất mà các công ty này có để điều hướng thành công quá trình cấp phép:

• Xác định cách FedRAMP áp dụng cho sản phẩm của bạn và thực hiện phân tích khoảng cách.
• Nhận được sự ủng hộ trong toàn tổ chức, bao gồm các thành viên nhóm kỹ thuật và điều hành.
• Tìm một đối tác đại lý đã sử dụng sản phẩm của bạn hoặc sẵn sàng cam kết sử dụng sản phẩm đó.
• Xác định rõ ràng ranh giới của bạn, bao gồm mọi thứ từ các thành phần bên trong đến các kết nối với các dịch vụ bên ngoài và cách thông tin và siêu dữ liệu lưu chuyển.
• Thay vì nghĩ về FedRAMP như một dự án có điểm cuối, hãy xem nó như một chương trình đang diễn ra nhằm giám sát các dịch vụ liên tục.
• Hãy cân nhắc kỹ cách cấp phép của bạn vì bạn có thể cần nhiều quyền cấp phép cho các sản phẩm khác nhau.
• FedRAMP PMO là một tài sản quan trọng có thể giúp bạn giải quyết cả các câu hỏi kỹ thuật và lập kế hoạch dài hạn.

Lợi ích của việc tuân thủ FedRAMP

Mặc dù việc tuân thủ FedRAMP là bắt buộc, bạn không nên coi đó là nghĩa vụ mà là khoản đầu tư. Điều này là do có những lợi ích đáng kể khi được chứng nhận, một số trong đó bao gồm:

• Tăng cường sự tin cậy và bảo mật khi lưu trữ dữ liệu mật của chính phủ.
• Tiết kiệm chi phí do nhu cầu về cơ sở hạ tầng và bảo trì trung tâm dữ liệu giảm.
• Quy trình cấp phép hợp lý cho phép các cơ quan truy cập dịch vụ đám mây nhanh chóng.
• Tăng thị phần vì các cơ quan chính phủ có nhiều khả năng lựa chọn nhà cung cấp tuân thủ FedRAMP hơn là những nhà cung cấp không được chứng nhận.
• Cải thiện khả năng tuân thủ các tiêu chuẩn bảo mật khác như  HIPAA  và SOX.
• Giảm nguy cơ vi phạm dữ liệu và các cuộc tấn công độc hại khác bằng cách triển khai một hệ thống mạnh mẽ.
• Rút ngắn thời gian đưa dịch vụ ra thị trường với các tính năng tuân thủ FedRAMP.
• Tăng cường sự tin tưởng giữa các cơ quan liên bang và nhà cung cấp dịch vụ đám mây.

Phần kết luận

FedRAMP là một biện pháp an ninh mạng quan trọng đối với các cơ quan chính phủ và nhà cung cấp dịch vụ đám mây. Nó cung cấp mức độ đảm bảo cao rằng dữ liệu nhạy cảm được bảo mật và giúp các công ty giành được thị phần lớn hơn.

Vì vậy,  hãy liên hệ với chúng tôi ngay hôm nay  để bắt đầu. Chúng tôi ở đây để giúp bạn giải quyết những phức tạp của việc tuân thủ FedRAMP và  giữ an toàn cho dữ liệu của bạn .

Những câu hỏi thường gặp

FedRAMP là gì?

Chương trình Quản lý Rủi ro và Ủy quyền Liên bang (FedRAMP) là chương trình an ninh mạng trên toàn chính phủ được phát triển để cung cấp các yêu cầu bảo mật chuẩn hóa cho các nhà cung cấp dịch vụ đám mây phục vụ các cơ quan liên bang.

FedRAMP áp dụng cho ai?

FedRAMP áp dụng cho tất cả các cơ quan liên bang và nhà cung cấp dịch vụ đám mây cung cấp dịch vụ cho họ.

Cần những gì để được chứng nhận?

Để đạt được chứng nhận FedRAMP, các nhà cung cấp dịch vụ đám mây phải đáp ứng các yêu cầu bảo mật nghiêm ngặt và chứng minh sự tuân thủ. Điều này bao gồm quét lỗ hổng, kiểm tra cấu hình, phát triển chính sách và các bước khác.

Tại sao FedRAMP lại quan trọng?

FedRAMP rất quan trọng trong việc bảo vệ dữ liệu nhạy cảm, đảm bảo tuân thủ các quy định của chính phủ và giành được thị phần lớn hơn.