FISMA 和 FedRAMP 之间有什么区别?
通过 云优先政策,美国政府承诺授予各机构更广泛的权限,以采用商业化的云服务。这种采用的主要驱动力是提高机构 IT 基础设施投资的投资回报率,加强政府 IT 安全,以及为美国人民提供更高质量的服务。
根据 Gartner 的数据,2018 年年中,近 半 的政府组织已经在积极使用云服务。 采用率呈上升趋势,混合云和多云产品日益突出。如果您计划向政府交付基于云的服务,那么从根本上了解政府颁布的联邦 IT 合规性标准比以往任何时候都更加重要。在谈及联邦 IT 基础设施时,有两项与 IT 安全相关的重要合规性规定经常被讨论,它们是 FISMA 和 FedRAMP。
FISMA 和 FedRAMP 具有相同的高层次目标,即保护政府数据和降低联邦信息系统内的信息安全风险。二者也都建立在 NIST 特别出版物 800-53A 控制措施的基础之上。然而,在联邦政策、安全控制和授权方面,两者之间存在明显的对比。
什么是 FISMA?
2002 年颁布的《联邦信息安全管理法》(FISMA)涵盖了政府数据存储和处理的合规性参数。它要求联邦机构及其私营部门供应商实施信息安全控制措施,确保联邦信息系统的数据安全态势得到保护。所有向联邦政府出售服务的私营部门公司都必须遵守 FISMA 的要求。
FISMA 合规性的主要框架是 NISTSP 800-53。简单地说,供应商要符合 FISMA 的要求,就必须实施 NIST SP 800-53 中为联邦信息系统推荐的信息安全控制措施。FISMA 评估传统上侧重于支持单一机构的信息系统。
符合 FISMA 标准的供应商只能从与其开展业务的特定联邦机构获得运营授权(或称 ATO)。如果供应商与多个联邦机构签订了业务合同,则必须从每个机构获得 ATO,因为根据每个机构的具体数据安全需求,安全控制可能有所不同。
让我们谈谈 FedRAMP
通过颁布 FedRAMP,政府旨在使各机构的云服务提供商采购流程更加简便。在最基本的层面上,FedRAMP 更具体地针对云服务提供商。根据 FedRAMP 评估的供政府机构使用的系统是私营部门企业使用的商业云系统(如 IaaS、PaaS、SaaS)。
根据 FIPS 199 标准,按照 FISMA 或 FedRAMP 评估的信息系统根据几种不同的标准分为高、中、低三类。然后,根据安全分类,将 NIST SP 800-53 中适用的安全控制措施按高影响、中等影响或低影响应用于信息系统。FedRAMP 的要求包括 NIST SP 800-53 修订版 4 中标准 NIST 基准控制措施之外的额外控制措施。这些额外的控制措施针对云计算的独特要素,以确保云环境中所有联邦数据的安全。
与 FISMA 不同,FedRAMP ATO 使云服务提供商有资格与任何联邦机构开展业务。
由于 FedRAMP 的范围更广,其认证程序也要严格得多。授权计划要求云提供商接受第三方评估组织(或 3PAO)进行的独立安全评估,才能向联邦机构出售政府云服务。
结论
正在寻找符合 FedRAMP 标准的产品或服务的联邦机构很可能也希望产品或服务符合 FISMA 标准。云服务提供商应同时遵守 FISMA 和 FedRAMP 规定,以保持美国政府的 ATO。
世界各地的国家和联邦政府部门依靠 Palo Alto Networks 防止网络攻击得逞、保护机密和敏感数据并优化安全运营。