FedRAMP
Gambaran Umum
Pemerintah Federal AS berdedikasi untuk memberikan layanannya ke rakyat Amerika dengan cara yang paling inovatif, aman, dan hemat biaya. Komputasi cloud berperan penting tentang cara pemerintah federal dapat mencapai efisiensi operasional dan berinovasi sesuai permintaan untuk meningkatkan misi mereka di seluruh negara. Ini merupakan alasan banyaknya lembaga federal yang saat ini menggunakan layanan AWS Cloud untuk memproses, menyimpan, dan mentransmisikan data pemerintah federal.
FAQ
-
Apa yang dimaksud dengan FedRAMP?
Federal Risk and Authorization Management Program (FedRAMP) adalah program tingkat pemerintah AS yang memberikan pendekatan standar terhadap penilaian keamanan, otorisasi, dan pemantauan terus-menerus untuk produk dan layanan cloud. Badan pemerintah FedRAMP mencakup Office of Management and Budget (OMB), General Services Administration (GSA) AS, Department of Homeland Security (DHS) AS, Department of Defense (DoD) AS, National Institutes of Standards & Technology (NIST), dan Dewan Federal Chief Information Officers (CIO).
Penyedia Layanan Cloud (Cloud Service Provider/CPS) yang ingin menawarkan Penawaran Layanan Cloud (Cloud Service Offering/CSO) mereka ke pemerintah AS harus menunjukkan kepatuhan terhadap FedRAMP. FedRAMP menggunakan seri NIST Special Publication 800 dan mengharuskan penyedia layanan cloud untuk menyelesaikan penilaian keamanan independen yang dilakukan oleh third-party assessment organization (3PAO) guna memastikan bahwa otorisasi tersebut mematuhi Federal Information Security Management Act (FISMA). Untuk informasi lebih lanjut, lihat situs web FedRAMP.
-
Mengapa FedRAMP penting?
Dalam menanggapi Kebijakan Pengutamaan Cloud (sekarang Strategi Pintar Cloud), Kantor Manajemen dan Anggaran (Management and Budget/OMB) menerbitkan Memo Kebijakan FedRAMP (sekarang Strategi Komputasi Cloud Federal) untuk membuat program otorisasi keamanan tingkat pemerintahan pertama untuk Undang-Undang Modernisasi Keamanan Informasi Federal (Federal Information Security Modernization Act/FISMA). FedRAMP wajib untuk semua lembaga federal AS dan semua layanan cloud. FedRAMP penting karena meningkatkan:
- Konsistensi dan kepercayaan terhadap keamanan solusi cloud menggunakan standar yang ditetapkan Institut Standar & Teknologi Nasional (National Institutes of Standards & Technology/NIST) dan FISMA
- Transparansi antara pemerintah AS dan penyedia cloud
- Otomatisasi dan pemantauan terus-menerus secara real time
- Adopsi solusi cloud yang aman melalui penggunaan ulang penilaian dan otorisasi
-
Apa saja persyaratan untuk kepatuhan FedRAMP?
Cloud First Policy mengharuskan semua lembaga federal menggunakan proses FedRAMP dalam melakukan penilaian keamanan, otorisasi, dan pemantauan terus-menerus pada layanan cloud. FedRAMP Program Management Office (PMO) telah menguraikan persyaratan berikut untuk kepatuhan FedRAMP:
- Cloud service provider (CSP) diberikan izin Agency Authority to Operate (ATO) oleh lembaga federal AS atau Provisional Authority to Operate (P-ATO) oleh Joint Authorization Board (JAB).
- CSP memenuhi persyaratan kontrol keamanan FedRAMP sebagaimana dideskripsikan dalam baseline kontrol keamanan Institut Standar & Teknologi Nasional (National Institutes of Standards & Technology/NIST) 800-53, Rev. 4 untuk tingkat dampak sedang atau tinggi.
- Semua paket keamanan sistem harus menggunakan template FedRAMP yang diperlukan.
- CSP harus dinilai oleh third-party assessment organization (3PAO) yang disetujui.
- Paket penilaian keamanan lengkap harus diposting di repositori aman FedRAMP.
-
Apa saja jenis kepatuhan FedRAMP?
Ada dua jalur bagi Penyedia Layanan Cloud (Cloud Service Provider/CSP) agar sesuai dengan FedRAMP:
- Kewenangan (Badan Otorisasi Gabungan/JAB): Untuk menerima Kewenangan untuk Mengoperasikan Provisional (Provisional Authority to Operate/P-ATO) JAB FedRAMP, CSP dinilai 3PAO terakreditasi FedRAMP, ditinjau oleh Kantor Manajemen Program (Program Management Office/PMO) FedRAMP, dan mendapatkan P-ATO dari JAB. JAB terdiri atas Chief Information Officers (CIOs) dari Department of Defense (DoD), Department of Homeland Security (DHS), dan General Services Administration (GSA).
- Otoriasasi Lembaga: Untuk mendapatkan Kewenangan untuk Mengoperasikan (Authority to Operate/ATO) FedRAMP, CSP ditinjau oleh Agency CIO pelanggan atau Pejabat Resmi yang Didelegasikan untuk memperoleh ATO yang sesuai dengan FedRAMP yang diverifikasi oleh Kantor Manajemen Program (Program Management Office/PMO) FedRAMP.
-
Bagaimana lembaga memanfaatkan otorisasi FedRAMP AWS?
Organisasi Lembaga atau Departemen Pertahanan Federal (Federal Agency or Department of Defense/DoD) dapat memanfaatkan Penawaran Layanan AWS Cloud (Cloud Service Offering/CSO) sebagai blok bangunan untuk solusi yang di-host di cloud. Setiap CSO AWS diberi wewenang untuk penggunaan Federal dan DoD oleh FedRAMP dan DISA, dan otorisasi mereka didokumentasikan dalam Kewenangan untuk Mengoperasikan Provisional (Provisional Authority to Operate/P-ATO). CSP tidak mendapatkan Kewenangan untuk Mengoperasikan (Authority to Operate/ATO) untuk CSO-nya, melainkan mereka menerima P-ATO. P-ATO adalah persetujuan prapengadaan untuk organisasi Federal atau DoD untuk menggunakan CSO. Lembaga Federal atau organisasi DoD dapat memanfaatkan Paket Keamanan FedRAMP AWS untuk meninjau dokumen pendukung, untuk menyertakan detail tanggung jawab bersama, dan membuat keputusan berbasis risiko guna memperoleh ATO. Jika Anda memiliki lebih banyak pertanyaan atau memerlukan informasi lebih lanjut, hubungi Manajer Akun AWS Sales Anda.
Authorizing Official (AO) lembaga dapat memanfaatkan FedRAMP Security Package AWS untuk meninjau dokumentasi pendukung, untuk menyertakan detail tanggung jawab bersama, dan membuat keputusan berbasis risikonya guna memberikan izin Kewenangan untuk Mengoperasikan (Authority to Operate/ATO) Lembaga ke AWS. Lembaga bertanggung jawab untuk menerbitkan ATO mereka di AWS dan juga bertanggung jawab untuk keseluruhan otorisasi komponen sistem. Jika Anda memiliki pertanyaan atau memerlukan informasi lebih lanjut, silakan hubungi Manajer Akun AWS Sales Anda atau ATO di tim AWS.
-
Apakah AWS memiliki Kewenangan untuk Mengoperasikan (Authority to Operate/ATO)?
AWS adalah Penyedia Layanan Cloud (Cloud Service Provider/CSP) yang menawarkan Penawaran Layanan Cloud (Cloud Service Offering/CSO). Sebagai sebuah CSP, AWS mengikuti proses FedRAMP untuk mendapatkan CSO-nya yang diberi wewenang untuk penggunaan Federal atau DoD. Proses FedRAMP tidak menerbitkan Kewenangan untuk Mengoperasikan (Authority to Operate/ATO) kepada CSP, sebailknya, proses FedRAMP menerbitkan Kewenangan untuk Mengoperasikan Provisional (Provisional Authority to Operate/PATO). PATO adalah persetujuan prapengadaan untuk organisasi Lembaga Federal atau DoD untuk menggunakan CSO. Lembaga Federal atau DoD menggunakan PATO dan kontrol warisan yang dihubungkan dengan PATO saat mereka mengikuti proses Kerangka Kerja Manajemen Risiko (Risk Management Framework/RMF) untuk mendapatkan ATO mereka sendiri. Harap perhatikan bahwa PATO AWS tidak akan ditingkatkan ke ATO karena proses FedRAMP tidak menerbitkan ATO atau CSP. ATO hanya diterbitkan sebagai bagian dari proses RMF dan diterbitkan oleh Petugas Pemberi Wewenang (Authorizing Officer/AO) Lembaga Federal atau DoD. Informasi selengkapnya tentang FedRAMP dapat ditemukan di situs web FedRAMP.
-
Bagaimanakah perbedaan antara FedRAMP dan Kerangka Kerja Manajemen Risiko (Risk Management Framework/RMF)?
FedRAMP adalah proses yang diikuti oleh Penyedia Layanan Cloud (Cloud Service Providers/CSP) agar Penawaran Layanan Cloud (Cloud Service Offering/CSO) mereka disetujui untuk lembaga Federal atau DoD untuk menggunakan blok bangunan untuk sistem yang di-host di cloud. Kerangka Kerja Manajemen Risiko (Risk Management Framework/RMF) adalah proses yang diikuti oleh Lembaga Federal atau DoD agar sistem TI mereka diberi wewenang untuk beroperasi. Hanya CSP yang menggunakan proses FedRAMP dan CSP tidak mengikuti proses RMF. Lembaga Federal atau DoD hanya akan mengikuti proses FedRAMP jika mereka membuat layanan cloud (misalnya MilCloud).
-
Apakah AWS mendukung kewenangan untuk mengoperasikan (authorizations to operate/ATO) agensi untuk layanan di luar FedRAMP?
Kami mendorong pelanggan lembaga untuk memanfaatkan ATO JAB FedRAMP dan paket otorisasi untuk menerbitkan Kewenangan untuk Mengoperasikan mereka sendiri.
-
Apakah Amazon Web Services mematuhi FedRAMP?
Ya, AWS menawarkan layanan kepatuhan FedRAMP berikut yang telah diberi otorisasi, telah menangani kontrol keamanan FedRAMP (berdasarkan NIST SP 800-53), menggunakan template FedRAMP yang diperlukan untuk paket keamanan yang diposting di Repositori FedRAMP aman, telah dinilai oleh third party assessor (3PAO) independen yang terakreditasi dan mempertahankan persyaratan pemantauan terus-menerus FedRAMP:
- AWS GovCloud (AS), telah diberi Joint Authorization Board Provisional Authority-To-Operate (JAB P-ATO) dan sejumlah Agency Authorizations (A-ATO) untuk tingkat dampak tinggi. Layanan dalam lingkup batas AWS GovCloud (US) JAB P-ATO pada kategorisasi keamanan baseline tinggi bisa ditemukan dalam AWS Services in Scope by Compliance Program.
- AWS Timur-Barat AS, (Northern Virginia, Ohio, Oregon, Northern California) telah diberi Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) dan beberapa Agency Authorizations (A-ATO) untuk tingkat dampak sedang. Layanan dalam lingkup batas AWS Timur-Barat AS JAB P-ATO pada kategorisasi keamanan baseline Sedang dapat ditemukan dalam Layanan AWS dalam Lingkup menurut Program Kepatuhan.
-
Apakah kepatuhan dengan FedRAMP akan meningkatkan biaya AWS saya?
Tidak, tidak ada peningkatan biaya layanan untuk wilayah mana pun sebagai hasil dari kepatuhan FedRAMP AWS.
-
Mana saja Wilayah AWS yang tercakup?
Dua P-ATO FedRAMP terpisah telah diterbitkan; yang satu mencakup AWS GovCloud (US), dan yang lainnya mencakup wilayah AWS Timur/Barat AS.
-
Apakah sekarang entitas Pemerintah AS menggunakan AWS?
Ya, lebih dari 2.000 lembaga pemerintah dan entitas lain yang memberikan integrasi sistem serta produk dan layanan lain kepada lembaga pemerintah menggunakan berbagai macam layanan AWS saat ini. Anda dapat meninjau studi kasus tentang entitas pemerintah AS menggunakan AWS melalui laman web Keberhasilan Pelanggan AWS. Untuk informasi lebih lanjut tentang cara AWS memenuhi persyaratan keamanan tinggi pemerintah, lihat laman web AWS for Government.
-
Layanan apa yang tercakup dan bagaimana kami dapat memvalidasi kepatuhan FedRAMP?
Layanan AWS tercakup yang sudah berada dalam lingkup batas FedRAMP dan DoD SRG dapat ditemukan dalam AWS Services in Scope by Compliance Program. Setelah mengeklik tab FedRAMP atau DoD SRG, layanan dengan '“✓” menunjukkan bahwa FedRAMP JAB telah mengotorisasi layanan telah cukup memenuhi persyaratan dasar menengah FedRAMP (berikutnya, DoD SRG IL2) untuk persyaratan dasar AWS AS Timur-Barat dan/atau FedRAMP Tinggi (berikutnya DoD SRG IL2, IL4, dan IL5) untuk AWS GovCloud (AS). Layanan ini diposting di bawah deskripsi layanan untuk AWS di FedRAMP Marketplace. Jika layanan ini ditandai sebagai "Penilaian 3PAO" atau "Sedang Dinilai", AWS tidak menuntut penerapan atau pemeliharaan kontrol FedRAMP karena layanan tersebut masih dievaluasi. Jika layanan ditandai sebagai "Tinjauan JAB" or "Tinjauan DISA", layanan tersebut telah menyelesaikan penilaian 3PAO dan saat ini dalam antrean pembuat peraturan kami. Untuk layanan ini, AWS telah menerapkan dan telah dinilai untuk kontrol FedRAMP yang relevan berdasarkan lingkungan tersebut, namun belum diotorisasi oleh JAB. Jika Anda ingin mempelajari lebih lanjut tentang penggunaan layanan ini dan/atau tertarik dengan layanan lain, hubungi AWS Sales and Business Development.
-
Dapatkah layanan AWS lainnya digunakan?
Ya, pelanggan dapat mengevaluasi beban kerja mereka untuk disesuaikan dengan layanan AWS lain. Hubungi AWS Sales and Business Development untuk diskusi selengkapnya tentang kontrol keamanan dan pertimbangan penerimaan risiko.
-
Dapatkah sistem tingkat dampak tinggi ditempatkan di AWS?
Ya, pelanggan dapat mengevaluasi beban kerja berdampak tinggi mereka untuk disesuaikan dengan AWS. Saat ini, pelanggan dapat menempatkan beban kerja dampak-tinggi mereka diAWS GovCloud (AS), yang telah diberi Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) untuk tingkat dampak tinggi.
-
Di mana saya dapat mengakses AWS FedRAMP Security Package?
AS Karyawan dan kontraktor pemerintah dapat meminta akses ke AWS FedRAMP Security Package dari FedRAMP PMO dengan mengisi Formulir Permintaan Akses Paket dan mengirimkannya ke info@fedramp.gov.
Pelanggan dan mitra komersial dapat meminta akses ke Paket Partner FedRAMP AWS sebagai panduan terkait penawaran membangun menggunakan AWS dan bantuan dalam merancang layanan kepatuhan FedRAMP/DoD di AWS. Paket Partner dapat ditemukan di akun AWS melalui AWS Artifact atau dengan meminta melalui manajer akun AWS.
-
Apakah ID FedRAMP untuk tujuan referensi?
Untuk Wilayah AWS Timur-Barat AS, ID FedRAMP-nya adalah AGENCYAMAZONEW. Untuk Wilayah AWS GovCloud (AS), ID FedRAMP-nya adalah F1603047866.
-
Bagaimana pemantauan terus-menerus ditangani otorisasi FedRAMP?
Dalam FedRAMP Concept of Operations (CONOPS), setelah otorisasi diberikan, postur keamanan CSP dipantau sesuai dengan proses penilaian dan otorisasi. Guna mendapatkan otorisasi ulang dari otorisasi FedRAMP dari tahun ke tahun, CSP harus memantau kontrol keamanan mereka, menilai kontrol keamanan secara berkala, dan menunjukkan bahwa postur keamanan penawaran layanan mereka dapat terus diterima. Lembaga federal yang memanfaatkan program pemantauan terus-menerus FedRAMP, serta Authorizing Officials (AO) dan tim yang ditunjuk, bertanggung jawab untuk meninjau kepatuhan AWS yang berkelanjutan. Secara berkelanjutan, AO dan tim yang ditunjuk meninjau artefak yang diberikan melalui proses pemantauan terus-menerus FedRAMP AWS, sebagai bukti penerapan kontrol khusus lembaga yang diperlukan atas kontrol FedRAMP. Untuk informasi tambahan, lihat program atau kebijakan keamanan sistem informasi lembaga Anda.
-
Sebagai lembaga federal AS, apakah saya memerlukan interconnection security agreement (ISA) dengan AWS?
Tidak. Menurut FedRAMP Weekly Tips & Cues – 10 Agustus 2016, ISA tidak diperlukan untuk penggunaan antara CSP dan lembaga federal.
-
Bagaimana jika saya perlu mendiskusikan beban kerja atau arsitektur AWS khusus FedRAMP di organisasi saya dengan AWS?
AWS FedRAMP Security Package tersedia untuk pelanggan dengan menggunakan AWS Artifact, portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact dalam AWS Management Console, atau pelajari selanjutnya di Memulai AWS Artifact.
Jika Anda memiliki pertanyaan spesifik mengenai kepatuhan FedRAMP atau DoD, silakan hubungi manajer akun AWS Anda atau kirim AWS Compliance Contact Us Form untuk terhubung dengan tim kepatuhan FedRAMP kami.
-
Di mana saya dapat menemukan lebih banyak informasi tentang program kepatuhan lainnya terkait FedRAMP?
Untuk informasi selengkapnya tentang program kepatuhan, silakan lihat laman web Program Kepatuhan AWS. Anda juga dapat menemukan lebih banyak informasi khusus ke Federal Information Processing Standard (FIPS) 140-2, Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG), Federal Information Security Management Act (FISMA), dan National Institute of Standards and Technology (NIST).
-
Apa hubungan antara FedRAMP dengan program kepatuhan federal lainnya (FISMA, DFARS, DoD SRG, NIST SP 800-171, FIPS 140-2)?
Lembaga pemerintah federal dinilai oleh Kantor Inspektur Jenderal (Office of Inspector General/OIG) mereka dan secara internal berdasarkan metrik yang disediakan oleh Departemen Keamanan Dalam Negeri (Department of Homeland Security/DHS). Kriteria untuk metrik FISMA OIG dan CIO adalah publikasi khusus NIST SP 800, dengan penekanan pada NIST SP 800-53. Untuk lembaga-lembaga yang akan mengandalkan keamanan CSP ini, FedRAMP adalah program kepatuhan yang dibangun pada baseline kontrol NIST SP 800-53 untuk mematuhi persyaratan FISMA di dalam cloud.
Program kepatuhan FedRAMP dimanfaatkan oleh DoD untuk memenuhi Panduan Persyaratan Keamanan Komputasi Cloud Departemen Pertahanan (Department of Defense Cloud Computing Security Requirements Guide/DoD CC SRG) Tingkat Dampak, di mana keduanya memerlukan kepatuhan pada FIPS 140-2 untuk kontrol enkripsi tertentu. Tambahan Peraturan Akuisisi Federal Pertahanan (Defense Federal Acquisition Regulation Supplement/DFARS) memerlukan kontraktor DoD yang memproses, menyimpan, atau mengirimkan Informasi Tidak Diklasifikasikan Terkontrol (Controlled Unclassified Information/CUI), untuk memenuhi serangkaian standar keamanan tertentu, yang mencakup persyaratan NIST SP 800-171. NIST SP 800-171 memberikan persyaratan keamanan yang direkomendasikan untuk melindungi kerahasiaan Informasi Tidak Diklasifikasikan Terkontrol (Controlled Unclassified Information/CUI) kepada lembaga-lembaga.