США: Опубликовано новое руководство для федеральных органов по авторизации использования облачных сервисов

Данная заметка Билла Гленза (Bill Glanz) была опубликована 6 августа 2015 года на сайте FedRAMP-411.

Федеральная программа управления рисками и авторизацией (Federal Risk and Authorization Management Program, FedRAMP) 5 августа 2015 года выпустила руководство, помогающее федеральным органам исполнительной власти адаптировать облачные сервисы, использование которых уже было разрешено другому государственному органу.

Документ «Руководство для федеральных органов исполнительной власти по получению разрешений FedRAMP – Как функционально повторно использовать уже выданные разрешения» (Agency Guide for FedRAMP Authorizations – How to Functionally Reuse an Existing Authorization) объёмом 15 страниц доступен по адресу https://www.fedramp.gov/files/2015/08/Agency-Guide-for-FedRAMP-Authorizations_FINAL.pdf .

Новое руководство должно ускорить процесс развертывания облачных услуг и сэкономить государственным органам деньги за счет сокращения процесса согласования. Как отмечает Офис управления программой FedRAMP, «Благодаря повторному использованию разрешений и собранных с целью их получения материалов, государственные органы сэкономят значительные средства и смогут быстрее и надёжнее внедрить новые системы».

Мой комментарий: Все облачные системы должны соответствовать Закону об управлении информационной безопасностью в федеральном правительстве 2002 года (Federal Information Security Management Act, FISMA). Определенные сложности, связанные с облачными системами, создают уникальные проблемы для исполнения требований FISMA. Целью Федеральной программы управления рисками и авторизацией (FedRAMP) является оказание государственным органам помощи в выполнении требований FISMA в отношении облачных систем. На данный момент (см. http://www.fedramp411.com/article/csp-scoreboard ) сертификацию FedRAMP получили 46 поставщиков облачных услуг.

В новом документе описаны роли и ответственность федеральных органов исполнительной власти при авторизации облачных сервисов, а также те шаги, которые государственные органы должны предпринять для того, чтобы применить разработанную Национальным институтом стандартов и технологий (National Institute of Standards and Technology, NIST) концепцию управления рисками в отношении облачных услуг, которые они намерены использовать.

Билл Гленз (Bill Glanz)

Источник: сайт FedRAMP-411
http://www.fedramp411.com/article/reduce-reuse-recycle-fedramp-issues-guide-on-adapting-approved-cloud-services