Qual é a diferença entre o FISMA e o FedRAMP?
Para fornecer serviços entregues na nuvem para o governo, é importante entender os padrões de conformidade de TI federais promulgados pelo governo
Com sua política de nuvem em primeiro lugar, o governo dos EUA se comprometeu a conceder às agências uma autoridade mais ampla para adotar serviços baseados em nuvem disponíveis comercialmente. Os principais motivadores dessa adoção são a melhoria do retorno sobre o investimento, ou ROI, dos investimentos em infraestrutura de TI das agências, o reforço da segurança de TI do governo e o fornecimento de serviços de maior qualidade ao povo americano.
De acordo com o Gartner, em meados de 2018, quase metade das organizações governamentais já estava usando ativamente os serviços em nuvem. A adoção está em alta, com as ofertas de nuvem híbrida e multicloud ganhando destaque. Se o senhor planeja fornecer serviços entregues na nuvem para o governo, é mais importante do que nunca entender fundamentalmente os padrões federais de conformidade de TI promulgados pelo governo. Dois importantes mandatos de conformidade relacionados à segurança de TI que são muito discutidos quando se fala em infraestrutura federal de TI são o FISMA e o FedRAMP.
O FISMA e o FedRAMP têm os mesmos objetivos de alto nível de proteger os dados do governo e reduzir o risco de segurança da informação nos sistemas de informação federais. Ambos também são construídos com base nos controles da Publicação Especial 800-53A do NIST. No entanto, há um contraste distinto entre os dois em termos de política federal, controles de segurança e autorização.
O que é o FISMA?
Promulgada em 2002, a FISMA (Federal Information Security Management Act) abrange os parâmetros de conformidade sobre o armazenamento e o processamento de dados governamentais. Ela exige que os órgãos federais e seus fornecedores do setor privado implementem controles de segurança da informação que garantam a proteção das posturas de segurança de dados dos sistemas de informação federais. Todas as empresas do setor privado que vendem serviços para o governo federal devem cumprir os requisitos do FISMA.
A estrutura principal para a conformidade com o FISMA é a NIST SP 800-53. Simplificando, para que os fornecedores se tornem compatíveis com o FISMA, eles devem implementar os controles de segurança da informação recomendados para sistemas de informação federais, conforme identificado no NIST SP 800-53. As avaliações do FISMA são tradicionalmente focadas em sistemas de informação que dão suporte a uma única agência.
Os fornecedores em conformidade com a FISMA recebem Authority to Operate (Autoridade para Operar), ou ATO, somente do órgão federal específico com o qual estão fazendo negócios. Se um fornecedor tiver contratos comerciais com vários órgãos federais, deverá obter ATO de cada órgão, pois os controles de segurança podem diferir de acordo com as necessidades específicas de segurança de dados de cada órgão.
Vamos falar sobre o FedRAMP
Ao promulgar o FedRAMP, o governo pretendia facilitar o processo de aquisição de provedores de serviços em nuvem para as agências. No nível mais básico, o FedRAMP é voltado mais especificamente para os provedores de serviços em nuvem. Os sistemas avaliados pelo FedRAMP para uso por órgãos governamentais são sistemas comerciais baseados em nuvem (por exemplo, IaaS, PaaS, SaaS) usados por empresas do setor privado.
Os sistemas de informação avaliados pelo FISMA ou pelo FedRAMP são categorizados de acordo com o FIPS 199 como alto, moderado ou baixo, com base em alguns critérios diferentes. Em seguida, com base na categorização de segurança, os controles de segurança aplicáveis do NIST SP 800-53 são aplicados ao sistema de informações como de alto impacto, impacto moderado ou baixo impacto. Os requisitos do FedRAMP incluem controles adicionais acima dos controles de linha de base padrão do NIST no NIST SP 800-53 Revisão 4. Esses controles adicionais abordam os elementos exclusivos da computação em nuvem para garantir que todos os dados federais estejam seguros em ambientes de nuvem.
As agências federais sabem que um serviço baseado em nuvem é seguro para uso quando recebe o selo de aprovação do FedRAMP e, ao contrário do FISMA, o FedRAMP ATO qualifica um provedor de serviços em nuvem para fazer negócios com qualquer agência federal.
Devido ao seu escopo mais amplo, o processo de certificação FedRAMP também é muito mais rigoroso. O programa de autorização exige que os provedores de nuvem se submetam a uma avaliação de segurança independente conduzida por uma organização de avaliação terceirizada, ou 3PAO, para vender serviços de nuvem do governo a órgãos federais.
Conclusão
Os órgãos federais que procuram um produto ou serviço compatível com o FedRAMP provavelmente também esperam que ele seja compatível com a FISMA. Os provedores de serviços em nuvem devem cumprir os regulamentos FISMA e FedRAMP para manter uma ATO do governo dos EUA.
Departamentos governamentais nacionais e federais em todo o mundo contam com a Palo Alto Networks para evitar ataques cibernéticos bem-sucedidos, proteger dados confidenciais e sensíveis e otimizar as operações de segurança.
