Qual è la differenza tra FISMA e FedRAMP?
Per fornire servizi basati su cloud al governo, è importante avere una comprensione degli standard di conformità IT federali emanati dal governo.
Con la sua politica cloud-first, il Governo degli Stati Uniti si è impegnato a concedere alle agenzie un'autorità più ampia per adottare servizi basati su cloud disponibili in commercio. I fattori principali di questa adozione sono il miglioramento del ritorno sull'investimento, o ROI, per gli investimenti nell'infrastruttura IT delle agenzie, il rafforzamento della sicurezza informatica del governo e la fornitura di servizi di qualità superiore al popolo americano.
Secondo Gartner, a metà del 2018, quasi la metà delle organizzazioni governative stava già utilizzando attivamente i servizi cloud. L'adozione è in crescita, con le offerte cloud ibride e multi-cloud che aumentano di importanza. Se intende fornire servizi basati su cloud al governo, è più importante che mai comprendere a fondo gli standard di conformità IT federali emanati dal governo. Due importanti mandati di conformità relativi alla sicurezza informatica, di cui si parla molto quando si parla di infrastrutture IT federali, sono FISMA e FedRAMP.
FISMA e FedRAMP hanno gli stessi obiettivi di alto livello: proteggere i dati governativi e ridurre il rischio di sicurezza delle informazioni all'interno dei sistemi informativi federali. Entrambi sono costruiti sulla base dei controlli della Pubblicazione Speciale 800-53A del NIST. Tuttavia, esiste un netto contrasto tra i due in termini di politica federale, controlli di sicurezza e autorizzazione.
Che cos'è il FISMA?
Emanato nel 2002, il FISMA - Federal Information Security Management Act - copre i parametri di conformità sull'archiviazione e l'elaborazione dei dati governativi. Richiede alle agenzie federali e ai loro fornitori del settore privato di implementare controlli di sicurezza delle informazioni che garantiscano la protezione delle posizioni di sicurezza dei dati dei sistemi informativi federali. Tutte le aziende del settore privato che vendono servizi al Governo federale devono rispettare i requisiti FISMA.
Il quadro principale per la conformità FISMA è NIST SP 800-53. In parole povere, per diventare conformi al FISMA, i venditori devono implementare i controlli di sicurezza delle informazioni raccomandati per i sistemi informativi federali, come identificato nel NIST SP 800-53. Le valutazioni FISMA sono tradizionalmente incentrate sui sistemi informativi che supportano una singola agenzia.
I fornitori conformi a FISMA ricevono l'Autorizzazione ad operare, o ATO, solo dalla specifica agenzia federale con cui stanno lavorando. Se un fornitore ha contratti commerciali con più agenzie federali, deve ottenere l'ATO da ciascuna agenzia, perché i controlli di sicurezza possono differire in base alle esigenze specifiche di sicurezza dei dati di ciascuna agenzia.
Parliamo di FedRAMP
Con la creazione di FedRAMP, il governo ha voluto rendere più semplice per le agenzie il processo di approvvigionamento dei fornitori di servizi cloud. Al livello più elementare, FedRAMP si rivolge più specificamente ai fornitori di servizi cloud. I sistemi valutati nell'ambito di FedRAMP per l'utilizzo da parte delle agenzie governative sono sistemi commerciali basati su cloud (ad esempio, IaaS, PaaS, SaaS) utilizzati da aziende del settore privato.
I sistemi informativi valutati nell'ambito del FISMA o del FedRAMP sono classificati in base al FIPS 199 come alti, moderati o bassi, in base ad alcuni criteri diversi. Poi, in base alla categorizzazione della sicurezza, i controlli di sicurezza applicabili del NIST SP 800-53 vengono applicati al sistema informativo come impatto elevato, impatto moderato o impatto basso. I requisiti FedRAMP includono controlli aggiuntivi rispetto ai controlli di base standard NIST, contenuti nel NIST SP 800-53 Revisione 4. Questi controlli aggiuntivi affrontano gli elementi unici del cloud computing per garantire la sicurezza di tutti i dati federali negli ambienti cloud.
Le agenzie federali sanno che un servizio basato sul cloud è sicuro da usare una volta ottenuto il marchio di approvazione FedRAMP e, a differenza di FISMA, FedRAMP ATO qualifica un fornitore di servizi cloud a fare affari con qualsiasi agenzia federale.
A causa della sua portata più ampia, il processo di certificazione FedRAMP è anche molto più rigoroso. Il programma di autorizzazione richiede ai fornitori di cloud di sottoporsi a una valutazione di sicurezza indipendente condotta da un'organizzazione di valutazione di terze parti, o 3PAO, per vendere servizi cloud governativi alle agenzie federali.
Conclusione
Le agenzie federali che cercano un prodotto o servizio conforme a FedRAMP probabilmente si aspettano anche che sia conforme a FISMA. I fornitori di servizi cloud devono rispettare le normative FISMA e FedRAMP per mantenere un ATO da parte del governo degli Stati Uniti.
I dipartimenti governativi nazionali e federali di tutto il mondo contano su Palo Alto Networks per prevenire attacchi informatici di successo, salvaguardare dati classificati e sensibili e ottimizzare le operazioni di sicurezza.
