Заметка Эрика Чаброу (Eric Chabrow) была опубликована на сайте www.govinfosecurity.com 9 января 2012 года
В рамках федеральной программы управления рисками и авторизацией (Federal Risk and Authorization Management Program, FedRAMP), предназначенной для отбора поставщиков услуг облачных вычислений для государственных органов, федеральное правительство США установило порядка 170 мер по обеспечению безопасности (см. http://www.gsa.gov/graphics/staffoffices/FedRAMP_Security_Controls.zip ).
Меры безопасности, отобранные для программы FedRAMP, согласованы с рекомендациями, содержащимися в 3-й редакции специальной публикации SP 800-53 Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) «Рекомендуемые меры безопасности для федеральных информационных систем и организаций» (NIST SP 800-53R3: Recommended Security Controls for Federal Information Systems and Organizations, http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final.pdf ) для систем, инциденты в которых способны оказать небольшое или умеренное воздействие на деятельность и активы государственных органов. Чтобы получить разрешение на оказание облачных услуг федеральным органам государственной власти, поставщики облачных услуг обязаны реализовать у себя эти меры безопасности.
В прошлом году, Объединенный совет по авторизации (Joint Authorization Board) программы FedRAMP получил более 1000 комментариев от заинтересованных государственных и коммерческих организаций, из которых 350 были связаны с мерами безопасности и предложенными советом усовершенствованиями.
В своём посте на блоге, размещенном на сайте Совета ИТ-директоров федеральных органов власти (Federal Chief Information Officers Council), ИТ-директор департамента национальной безопасности (Department of Homeland Security) Ричард Спайрз отметил, что одобренные советом меры безопасности являются основой мер, необходимых для того, чтобы надлежащим образом отреагировать на уникальные особенности авторизации облачных продуктов и услуг, в число которых входят возможность обслуживания одной системой группы клиентов (multi-tenancy), а также управление инфраструктурой и выделением коллективно используемых ресурсов (shared resource pooling). «Это основа используется всеми федеральными органами государственной власти и [поставщиками облачных услуг], и к ней государственными органами могут быть добавлены дополнительные меры, необходимые для удовлетворения их специфических требований», пишет Спайрз.
Порядок реализации мер безопасности FedRAMP будет детализирован в ряде документов, которые будут выпущены в этом году перед вводом программы в действие. Эти документы будут согласованы с публикацией NIST SP 800-37 «Концепция управления рисками» (NIST SP 800-37 Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach, http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf ). В их число входят:
В рамках федеральной программы управления рисками и авторизацией (Federal Risk and Authorization Management Program, FedRAMP), предназначенной для отбора поставщиков услуг облачных вычислений для государственных органов, федеральное правительство США установило порядка 170 мер по обеспечению безопасности (см. http://www.gsa.gov/graphics/staffoffices/FedRAMP_Security_Controls.zip ).
Меры безопасности, отобранные для программы FedRAMP, согласованы с рекомендациями, содержащимися в 3-й редакции специальной публикации SP 800-53 Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) «Рекомендуемые меры безопасности для федеральных информационных систем и организаций» (NIST SP 800-53R3: Recommended Security Controls for Federal Information Systems and Organizations, http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final.pdf ) для систем, инциденты в которых способны оказать небольшое или умеренное воздействие на деятельность и активы государственных органов. Чтобы получить разрешение на оказание облачных услуг федеральным органам государственной власти, поставщики облачных услуг обязаны реализовать у себя эти меры безопасности.
В прошлом году, Объединенный совет по авторизации (Joint Authorization Board) программы FedRAMP получил более 1000 комментариев от заинтересованных государственных и коммерческих организаций, из которых 350 были связаны с мерами безопасности и предложенными советом усовершенствованиями.
В своём посте на блоге, размещенном на сайте Совета ИТ-директоров федеральных органов власти (Federal Chief Information Officers Council), ИТ-директор департамента национальной безопасности (Department of Homeland Security) Ричард Спайрз отметил, что одобренные советом меры безопасности являются основой мер, необходимых для того, чтобы надлежащим образом отреагировать на уникальные особенности авторизации облачных продуктов и услуг, в число которых входят возможность обслуживания одной системой группы клиентов (multi-tenancy), а также управление инфраструктурой и выделением коллективно используемых ресурсов (shared resource pooling). «Это основа используется всеми федеральными органами государственной власти и [поставщиками облачных услуг], и к ней государственными органами могут быть добавлены дополнительные меры, необходимые для удовлетворения их специфических требований», пишет Спайрз.
Порядок реализации мер безопасности FedRAMP будет детализирован в ряде документов, которые будут выпущены в этом году перед вводом программы в действие. Эти документы будут согласованы с публикацией NIST SP 800-37 «Концепция управления рисками» (NIST SP 800-37 Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach, http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf ). В их число входят:
- План обеспечения безопасности системы (System Security Plan), в котором разъясняется, каким образом требования, связанные с каждой из мер безопасности, должны выполняться в среде облачных вычислений. В рамках плана, для каждой из мер должны быть подробно описаны (1) развертываемые решения, такие как устройства, документы и процессы; (2) ответственность и обязанности поставщиков и государственных органов-клиентов по реализации плана; (3) сроки реализации; и (4) каким образом решение удовлетворяет требованиям.
- План оценки безопасности (Security Assessment Plan), в котором подробно описывается, как каждая из реализованных мер будут оцениваться и проверяться, с тем, чтобы обеспечить её соответствие требованиям;
- Отчёт об оценке безопасности (Security Assessment Report) – в этом документе разъясняются проблемы, выводы, и рекомендации по итогам оценок мер безопасности, подробно описанных в плане оценки безопасности.
Правительство не позволит федеральным органам власти использовать услуги поставщика облачных вычислений до тех пор, пока тот не представит доказательства того, что его меры безопасности проверены и одобрены аккредитованной при программе FedRAMP организацией - третьей стороной. Совет объявил, что порядок проверки поставщиков облачных услуг аккредитованными третьими сторонами будет опубликован в следующем месяце.
«Единый процесс управления рисками в рамках FedRAMP будет использоваться для оценки предлагаемых поставщиками ИТ-услуг от имени федеральных органов власти, что позволит этим органам не проводить собственных программ управления рисками», подчеркнул Спайрз. «Сокращая дублирование усилий по управлению рисками, программа FedRAMP позволит федеральным органам сосредоточить свои усилия по оценке ИТ-услуг на конкретных потребностях этих органов, а также на их специфических требованиях по обеспечению конфиденциальности и безопасности».
Эрик Чаброу (Eric Chabrow)
Источник: сайт govinfosecurity.com
http://www.govinfosecurity.com/articles.php?art_id=4391
«Единый процесс управления рисками в рамках FedRAMP будет использоваться для оценки предлагаемых поставщиками ИТ-услуг от имени федеральных органов власти, что позволит этим органам не проводить собственных программ управления рисками», подчеркнул Спайрз. «Сокращая дублирование усилий по управлению рисками, программа FedRAMP позволит федеральным органам сосредоточить свои усилия по оценке ИТ-услуг на конкретных потребностях этих органов, а также на их специфических требованиях по обеспечению конфиденциальности и безопасности».
Эрик Чаброу (Eric Chabrow)
Источник: сайт govinfosecurity.com
http://www.govinfosecurity.com/articles.php?art_id=4391
Комментариев нет:
Отправить комментарий