FedRAMP

Il governo federale degli Stati Uniti ha istituito il Federal Risk and Authorization Management Program (FedRAMP), un programma governativo che fornisce un approccio standardizzato alla valutazione della sicurezza e del rischio, alle autorizzazioni e al monitoraggio continuo per i prodotti e servizi cloud. Tutte le distribuzioni cloud e i modelli di servizio degli enti federali, diversi da alcuni cloud privati on-premise, devono soddisfare i requisiti FedRAMP in base al livello di impatto appropriato (basso, moderato o alto).

Esistono due modalità per ottenere un'autorizzazione FedRAMP: una provvisoria attraverso il JAB (Joint Authorization Board) o una permanente tramite un ente. Secondo quest'ultima modalità, gli enti possono lavorare direttamente con un provider di servizi cloud (CSP) per ottenere l'autorizzazione in qualsiasi momento. I CSP che a livello aziendale decidono di rivolgersi direttamente a un ente per ottenere un'autorizzazione a operare (ATO, Authority to Operate) collaboreranno con tale ente durante l'intero processo di autorizzazione FedRAMP.

Entrambi gli approcci richiedono una valutazione da parte di un'organizzazione indipendente competente di terze parti (3PAO) accreditata dal programma, nonché una rigorosa revisione tecnica da parte del PMO (Program Management Office) del FedRAMP.

Il programma FedRAMP si basa sullo standard SP 800-53 Rev. 4 del NIST (National Institute of Standards and Technology) potenziato con i controlli specifici di FedRAMP e i miglioramenti dei controlli. Le autorizzazioni FedRAMP vengono concesse a tre livelli di impatto (basso, moderato e alto) in base alla classificazione di sicurezza NIST FIPS 199. Questi livelli quantificano l'impatto che potrebbero avere la perdita di riservatezza, integrità o disponibilità su un'organizzazione: basso (effetto negativo limitato), moderato (effetto avverso grave) e alto (effetto avverso grave o catastrofico).