FedRAMP

O Governo Federal dos EUA criou o Programa Federal de Gestão de Riscos e Autorizações (FedRAMP), que oferece uma abordagem padronizada de avaliação de riscos e segurança, autorização e monitoramento contínuo para produtos e serviços em nuvem em nível governamental. Todas as implementações e modelos de serviço em nuvem do órgão federal, com exceção de algumas nuvens privadas no local, devem atender às exigências do FedRAMP de acordo com o nível apropriado de impacto (baixo, moderado ou alto).

Existem duas maneiras de obter Autorização do FedRAMP: a autorização provisória por meio da Comissão Conjunta de Autorizações (JAB) ou a autorização por agência. A opção de autorização por agência permite que as agências trabalhem direto com o Provedor de Serviços em Nuvem (CSP) para autorizações a qualquer momento. Os CSPs que tomarem a decisão comercial de trabalhar direto com uma agência para obter a autorização para operação (ATO) vão trabalhar com essa agência durante todo o processo de Autorização do FedRAMP.

As duas maneiras exigem a avaliação de uma empresa terceirizada (3PAO) independente credenciada pelo programa e a revisão técnica rigorosa do Departamento de Gerenciamento de Programas (PMO) do FedRAMP.

O FedRAMP é baseado no padrão SP 800-53 Rev. 4, do Instituto Nacional de Padrões e Tecnologia (NIST), e reforçado pelos controles específicos e pelas melhorias de controle do próprio FedRAMP. As autorizações do FedRAMP são concedidas de acordo com três níveis de impacto (baixo, moderado e alto), com base na categorização de segurança FIPS 199 do NIST. Esses níveis classificam o impacto que a perda de confidencialidade, integridade ou disponibilidade pode ter nas empresas: baixo (efeito adverso limitado), moderado (efeito adverso grave) e alto (efeito adverso severo ou catastrófico).