페드램프

연방 위험 및 권한 관리 프로그램(FedRAMP)은 클라우드 제품과 서비스에 대한 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공하는 미국 연방 정부 전체 프로그램이다.^[1]

2011년, 관리 예산국(OMB)은 FedRAMP를 제정하는 각서를 발표하면서, "집행부 및 기관에 클라우드 서비스의 채택과 이용을 위한 비용 효율적이고 리스크에 기반한 접근법을 제공한다"^[2]고 밝혔다.GSA(General Services Administration, GSA)는 2012년 6월에 FedRAMP 프로그램 관리 사무소(PMO)를 설립했다.FedRAMP PMO 임무는 보안 및 위험 평가에 대한 표준화된 접근방식을 제공하여 연방정부 전체에 걸쳐 보안 클라우드 서비스의 채택을 촉진하는 것이다.^[3]OMB 비망록에 따르면, 연방 데이터를 보유한 모든 클라우드 서비스는 FedRAMP 인증을 받아야 한다.^[4]FedRAMP는 정부가 서비스를 이용하기 위해 따라야 할 보안 요구사항과 프로세스 클라우드 서비스 제공업체들을 규정한다.

FedRAMP를 통해 클라우드 서비스를 승인하는 방법에는 JAB(Joint Authorization Board) 임시 승인(P-ATO)과 ^[5]개별 기관을 통한 두 가지가 있다.^[6]

FedRAMP의 도입 이전에, 개별 연방 기관은 2002년 연방 정보 보안 관리법이 정한 지침에 따라 자체 평가 방법론을 관리했다.^[7]

거버넌스 및 적용법

FedRAMP는 프로그램을 개발, 관리 및 운영하기 위해 협력적인 방식으로 일하는 다른 행정각부의 지배를 받는다.^[8]이러한 기업에는 다음이 포함된다.

관리예산처(OMB): 프로그램의 핵심 요구사항과 기능을 규정하는 FedRAMP 정책메모서를 발행한 관리기구.

공동 권한 부여 위원회(JAB):FedRAMP의 1차 거버넌스 및 의사결정 기구는 국토안보부(DHS), GSA(General Services Administration), 국방부(DOD)의 최고 정보 책임자(CIO)로 구성된다.

국립표준기술연구원(NIST):FISMA 컴플라이언스 요건에 대해 FedRAMP에 조언하고 독립 3PAO 인증 표준을 개발하는 데 도움을 준다.

국토안보부(DHS): 데이터 피드 기준, 보고구조, 위협 통보 조정, 사고 대응 등 FedRAMP의 지속적인 모니터링 전략 관리

연방 최고 정보 책임자(CIO) 위원회:기관 간 통신 및 이벤트를 통해 연방 CIO 및 기타 담당자에게 FedRAMP 정보 배포

FedRAMP PMO: GSA 내에 설립되고 일상적인 운영 관리를 포함한 FedRAMP 프로그램의 개발을 책임진다.

FedRAMP. FISMA - 연방정보보안현대화법(Federal Information Security 현대화법)에 기초하여 사용하는 정보시스템을 기관이 승인하도록 요구하는 몇 가지 법률, 명령 및 정책이 있다.FedRAMP는 클라우드를 위한 FISMA이다.FedRAMP 정책 메모는 정부 자원을 절약하고 중복되는 노력을 배제하는 것은 물론 인증 과정에서 기관을 지원하기 위해 연방 기관이 클라우드 서비스를 평가, 승인 및 지속적으로 모니터링할 때 FedRAMP를 사용하도록 요구한다.^[9]FedRAMP의 보안 기준선은 클라우드 컴퓨팅의 고유한 보안 요구 사항에 부합하는 일련의 제어 향상 기능을 갖춘 NIST SP 800-53(개정)에서 도출되었다.

타사 평가 조직

제3자 평가 조직(3PAO)은 클라우드 제공자의 보안 구현을 검증하고 보안 인증 결정을 위한 클라우드 환경의 전반적인 위험 상태를 제공하는 독립 평가 조직이기 때문에 FedRAMP 보안 평가 프로세스에서 중요한 역할을 한다.^[10]미국 실험실인가협회(A2LA)에 의해 인가된 이들 평가 기관은 독립성과 보안 구현을 테스트하고 대표 증거를 수집하는 데 필요한 기술적 역량을 입증해야 한다.

FedRAMP 마켓플레이스

FedRAMP 마켓플레이스는 FedRAMP 지정을 획득한 검색 가능하고 분류 가능한 클라우드 서비스 오퍼링(CSO) 데이터베이스를 제공한다.^[11] FedRAMP 평가를 수행할 수 있는 공인 감사인 3PAO가 마켓플레이스 내에 나열되어 있다.FedRAMP 마켓플레이스는 FedRAMP 프로그램 관리 사무소(PMO)에 의해 유지된다.^[12]

참고 항목

참조

^ "FedRAMP.gov". FedRAMP.gov. 2020-03-26. Retrieved 2020-04-05.
^ "Policy memo" (PDF). www.fedramp.gov. Retrieved 2020-04-05.
^ "FedRAMP.gov". FedRAMP.gov. 2020-03-26. Retrieved 2020-04-05.
^ "Policy memo" (PDF). www.fedramp.gov. Retrieved 2020-04-05.
^ "Get Authorized: Joint Authorization Board". FedRAMP.gov. Retrieved 2020-04-05.
^ "Get Authorized: Agency Authorization". FedRAMP.gov. Retrieved 2020-04-05.
^ "DOD turns to FedRAMP and cloud brokering -- FCW". FCW. 2014-05-21. Retrieved 2020-04-05.
^ "Governance". FedRAMP.gov. Retrieved 2020-04-05.
^ "Policy memo" (PDF). www.fedramp.gov. Retrieved 2020-04-05.
^ "Policy memo" (PDF). www.fedramp.gov. Retrieved 2020-04-05.
^ "The Federal Risk And Management Program Dashboard". marketplace.fedramp.gov. Retrieved 2021-07-28.
^ "Marketplace designations" (PDF). www.fedramp.gov. Retrieved 2020-04-05.

외부 링크

[1] "FedRAMP.gov". FedRAMP.gov. 2020-03-26. Retrieved 2020-04-05.

[2] "Policy memo" (PDF). www.fedramp.gov. Retrieved 2020-04-05.

[3] "FedRAMP.gov". FedRAMP.gov. 2020-03-26. Retrieved 2020-04-05.

[4] "Policy memo" (PDF). www.fedramp.gov. Retrieved 2020-04-05.

[5] "Get Authorized: Joint Authorization Board". FedRAMP.gov. Retrieved 2020-04-05.

[6] "Get Authorized: Agency Authorization". FedRAMP.gov. Retrieved 2020-04-05.

[7] "DOD turns to FedRAMP and cloud brokering -- FCW". FCW. 2014-05-21. Retrieved 2020-04-05.

[8] "Governance". FedRAMP.gov. Retrieved 2020-04-05.

[9] "Policy memo" (PDF). www.fedramp.gov. Retrieved 2020-04-05.

[10] "Policy memo" (PDF). www.fedramp.gov. Retrieved 2020-04-05.

[11] "The Federal Risk And Management Program Dashboard". marketplace.fedramp.gov. Retrieved 2021-07-28.

[12] "Marketplace designations" (PDF). www.fedramp.gov. Retrieved 2020-04-05.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

Search