FedRAMP

Die US-amerikanische Regierung hat mit FedRAMP (Federal Risk and Authorization Management Program) ein Regierungsprogramm für die Standardisierung der Sicherheits- und Risikobeurteilung, Autorisierung und kontinuierlichen Überwachung von Cloud-Produkten und Cloud-Services eingerichtet. Mit Ausnahme bestimmter lokal bereitgestellter privater Clouds müssen sämtliche Cloud-Deployments und Cloud-Service-Modelle in US-amerikanischen Bundesbehörden den FedRAMP-Vorgaben für die jeweilige Auswirkungsstufe genügen ("Niedrig", "Mittel" oder "Hoch").

Es gibt zwei FedRAMP-Autorisierungen: die vorläufige Autorisierung durch das Joint Authorization Board (JAB) oder die Autorisierung durch eine Behörde. Für die behördliche Autorisierung können die betreffenden Behörden jederzeit direkt mit dem gewünschten Cloud-Service-Anbieter zusammenarbeiten. Entscheidet sich ein Cloud-Service-Anbieter für die Einholung einer Betriebserlaubnis (Authority to Operate, ATO) direkt über eine Behörde, begleitet ihn die betreffende Behörde durch den gesamten FedRAMP-Autorisierungsprozess.

Voraussetzungen für beide Autorisierungen sind eine Bewertung durch ein unabhängiges, beim Programm akkreditiertes Bewertungsunternehmen (3PAO, Third-Party Assessment Organization) sowie eine gründliche technische Prüfung durch das FedRAMP Program Management Office (PMO).

Grundlage von FedRAMP ist die Norm SP 800-53 Rev. 4 des US-amerikanischen NIST (National Institute of Standards and Technology), ergänzt durch FedRAMP-spezifische Maßnahmen und Maßnahmenerweiterungen. FedRAMP-Autorisierungen werden auf einer von drei Auswirkungsstufen erteilt ("Niedrig", "Mittel" und "Hoch"), die sich an der NIST-Sicherheitskategorisierung FIPS 199 orientieren. Diese Stufen bewerten die potenziellen Auswirkungen von Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverstößen auf ein Unternehmen bzw. eine Organisation: "Niedrig" (begrenzte negative Auswirkungen), "Mittel" (ernste negative Auswirkungen) oder "Hoch" (schwerwiegende oder desaströse negative Auswirkungen).