Федеральная программа управления рисками и авторизацией (The Federal Risk and Authorization Management Program, FedRAMP), предоставляющая стандартизированный механизм для оценки защищенности, авторизации и мониторинга облачных продуктов и сервисов, предлагаемых государственным заказчикам, намерена сократить сроки аудита для провайдеров облачных сервисов, сообщает FCW.
Как заявил директор FedRAMP Мэтт Гудрич (Matt Goodrich), он надеется, что после модернизации процесса проверка будет занимать три месяца. Сейчас большинство провайдеров тратит на сертификацию от девяти до 18 месяцев, а некоторые компании из частного сектора ждут решения об аттестации до двух лет.
FedRAMP создана для облегчения внедрения федеральными агентствами облачных технологий: она предоставляет провайдерам облачных услуг единую аккредитацию, признаваемую всеми ведомствами. Идея FedRAMP оформилась в 2010 году, в конце 2011 года был выпущен меморандум для агентств по использованию системы, официальный запуск состоялся в июле 2012.
Задача FedRAMP — уменьшить расходы и время, которые отдельные ведомства потратили бы, проверяя безопасность облачных услуг, предоставляемых провайдерами. Сертификация провайдеров основана на унифицированном процессе управления рисками, включающем требования безопасности, предусмотренные законом FISMA (Federal Information Security Management Act, Федеральный закон об управлении информационной безопасностью) и одобренные федеральными департаментами и агентствами.
Облачные системы, обрабатывающие, хранящие и/или передающие госданные, должны предоставлять уровень безопасности, соразмерный специфическим нуждам защиты правительственной информации, говорится в описании FedRAMP.
В перечень одобренных FedRAMP облачных сервисов и систем входят, например, следующие:
- AT&T – Storage as a Service (IaaS). Облачная платформа для хранения данных, доступ к которым предоставляется в любое время из любого места — через веб-портал с двухфакторной идентификацией. Клиенты оплачивают лишь занимаемый их данными объем. По требованию, объем хранилища увеличивается.
- Esri – Esri Managed Cloud Services (PaaS/SaaS). Геоинформационная система, включающая инфраструктуру (технические мощности, «железо», сеть, безопасность), софт (Esri и других компаний), внедрение приложений, тестирование, управление данными, техподдержку и мониторинг. Клиенты получают возможность полностью контролировать свои карты и сервисы и моментально делиться геопространственными данными.
- Microsoft Dynamics – CRM Online for Government (SaaS). Система управления взаимоотношениями с клиентами, кроме основных функций предлагающая каждому агентству набор дополнительных возможностей, позволяющих подстроить систему под себя.
С момента запуска в FedRAMP получили аккредитацию менее 70 провайдеров, пишет FCW, отмечая, что требования для коммерческих продуктов, желающих попасть в FedRAMP, очень жесткие. Представители индустрии давно жалуются на долгое время ожидания и чрезмерно высокие расценки сертификации.
Представитель компании MeriTalk (занимается аналитикой и освещением процесса внедрения IT в госсекторе) Стив О’Кифи (SteveO’Keeffe), например, заявил, что два года назад одобрение облаков занимало девять месяцев и стоило 250 тысяч долларов. Сегодня компании ждут почти два года и платят 5 миллионов. «Забудьте про такую возможность для малого бизнеса», — заключил он.
Новый ускоренный подход проверки провайдеров, как поясняет Гудрич, заключается в переходе офиса управления программой FedRAMP на использование такой же процедуры, какую используют провайдеры. В прежнем подходе акцент делался, прежде всего, на документации некоей «условной системы» (идеальной, с бюрократической точки зрения – ред.), и рассмотрение документации часто занимало до 80% общего времени рассмотрения заявки.
В новом подходе основным исходным документом стал отчет по оценке готовности – предварительная оценка недостатков безопасности облачного сервиса, которую, по словам Гудрича, большинство успешных кандидатов проходят в течение нескольких недель. То есть провайдеры, которые получают разрешение в Объединенном совете по авторизации (JAB), должны обратиться к сторонней экспертной организации (3PAO) и провести такую оценку готовности еще до подробного изучения документации.
Оценка безопасности 3PAO будет обязательной для всех поставщиков облачных сервисов, получающих разрешение от JAB. Это будет так называемая «предварительная оценка», которая облегчит изучение текущей документации и ускорит принятие решения.
При положительном результате проверки сторонней экспертной организацией и подтверждении этих результатов офисом управления программой провайдер получает сертификат готовности FedRAMP.
Поставщику, получившему сертификат готовности FedRAMP, далее нужно пройти полную проверку безопасности FedRAMP, чтобы получить разрешение JAB. Это также является новшеством по сравнению с прошлой процедурой, которая часто включала несколько итеративных раундов – каждый раз с необходимостью утверждения в JAB.
Ранее, по словам Гудрича, полная оценка безопасности вообще не проводилась, потому что «для поставщиков было довольно рискованно» инвестировать без какой-либо уверенности в том, что разрешение FedRAMP будет получено. Сегодня «внешняя экспертная оценка практически устраняет такой риск — и теперь имеет смысл инвестировать в полную оценку безопасности, потому что весь процесс стал предсказуемым и определенным».
Сроки получения разрешения FedRAMP были не единственной темой недовольства поставщиков облачных платформ. Вендоры, например, жалуются, что другие общие стандарты безопасности и защиты частной жизни не учтены или признаны частью FedRAMP, что вынуждает поставщиков дублировать дорогостоящую сертификацию. Кроме того, Министерство обороны продолжает работу над изменениями своего собственного подхода к «облачной» безопасности, которая основывается на требованиях FedRAMP, но не всегда им соответствует.
Агентства обеспокоены также соблюдением требований FISMA, который может «все испортить», потребовав проведения собственной экспертизы, — считает конгрессмен Джерри Коннолли. Здесь нужно больше «взаимопонимания между федералами» в части облачных вопросов, — говорит он. Такое взаимопонимание между учреждениями способно сделать больше, чем какие-либо изменения программы.
