FedRAMP

FedRAMP (Federal Risk and Authorization Management Program) הוא תקן אבטחת מידע פדרלי אמריקאי שמטרתו להבטיח שהשירותים בענן בהם משתמשים גופים ממשלתיים בארה”ב עומדים ברמת אבטחה גבוהה ואחידה. התקן נועד להעריך, לאשר ולפקח על שירותי ענן המסופקים לסוכנויות פדרליות, לפי דרישות האבטחה של תקן FISMA (Federal Information Security Management Act).

מטרת התקן הוא יצירת מסגרת אחידה ומבוקרת להערכת סיכוני אבטחת מידע בשירותי ענן – במקום שכל סוכנות ממשלתית תבצע הערכות נפרדות.

מי צריך FedRAMP?

ספקי שירותי ענן (CSPs) שמעוניינים לספק שירותים לסוכנויות ממשלתיות בארה״ב.
חברות עם לקוחות פדרליים אמריקאים.
גופים טכנולוגיים עם פלטפורמות SaaS, IaaS, או PaaS שמכוונים למגזר הציבורי בארה״ב.

איך נראה תהליך העמידה בתקן?

SSP – System Security Plan

מסמך תכנון מפורט שמפרט איך הספק עומד בכל בקרות האבטחה.
הערכת צד שלישי (3PAO)

גוף מוסמך בודק את הסביבה בפועל (PenTest, סריקות וכו’) ומגיש דוח.
ATO – Authorization to Operate

הסוכנות או ה-JAB מחליטה אם לאשר את השירות.
Continuous Monitoring

ניטור מתמשך, דיווח פגיעויות, הערכות חודשיות ורבעוניות.

על בסיס מה נבנה התקן?

FedRAMP מבוסס על התקן NIST 800-53, שמכיל מאות בקרות אבטחה (security controls) שמכסות תחומים כגון:

ניהול זהויות וגישה (IAM)
אבטחת תקשורת
בקרות פיזיות ולוגיות
ניטור ואירועי סייבר
הצפנה וניהול מפתחות

מה צריך כדי לעמוד ב-FedRAMP?

בחירת מסלול הסמכה – יש שניים:
- JAB P-ATO (Joint Authorization Board) – קבלת אישור מהגופים המרכזיים (DoD, DHS, GSA).
- Agency ATO – אישור דרך סוכנות ממשלתית בודדת.
בחירת רמת אבטחה – Low, Moderate, High – לפי רמת הסיכון של הנתונים (רוב השירותים נדרשים ל-Moderate).
System Security Plan (SSP) – הכנת מסמך מפורט הכולל את כל בקרות האבטחה (לפי NIST 800-53).
ביצוע בדיקות ע״י גוף הערכה עצמאי (3PAO) – ביצוע Penetration Testing, Vulnerability Scanning, וכו’.
מתודולוגיית Continuous Monitoring – ניטור שוטף, דיווח פגיעויות ועדכונים תקופתיים.

למה צריך את זה?

גישה לשוק הפדרלי – חובה לכל ספק שמבקש לספק שירותים לממשלת ארה״ב.
יתרון תחרותי – מראה על עמידה בסטנדרטים מחמירים, גם מול לקוחות עסקיים.
אמון וביטחון – תקן מוכר ורשמי שמספק בסיס יציב לניהול סיכוני אבטחת מידע בענן.