FISMA 和 FedRAMP 之間有何差異?
要向政府交付雲端交付的服務,必須瞭解政府制定的聯邦 IT 合規性標準
透過 雲端優先政策,美國政府已承諾賦予各機構更廣泛的權力,以採用商業可用的雲端服務。採用此技術的最大動力在於提高機構 IT 基礎架構投資的投資報酬率 (ROI)、加強政府 IT 安全性,以及為美國人民提供更高品質的服務。
根據 Gartner 的資料,在 2018 年年中,將近 半 的政府組織已經在積極使用雲端服務。 採用率正處於上升趨勢,混合雲端和多雲端產品的地位日益顯著。如果您打算向政府交付雲端服務,那麼從根本瞭解政府制定的聯邦 IT 合規性標準就比以往任何時候都重要。在談論聯邦 IT 基礎架構時,有兩項重要的 IT 安全相關合規性規定經常被討論,那就是 FISMA 和 FedRAMP。
FISMA 和 FedRAMP 具有相同的高層次目標,即保護政府資料和降低聯邦資訊系統內的資訊安全風險。兩者也都建立在 NIST Special Publication 800-53A 控制的基礎上。然而,在聯邦政策、安全控制和授權方面,兩者有明顯的對比。
什麼是 FISMA?
FISMA - 聯邦資訊安全管理法案,於 2002 年制定,涵蓋政府資料儲存與處理的合規性參數。它需求聯邦機構及其私營部門供應商實作資訊安全控制,以確保聯邦資訊系統的資料安全勢態受到保護。所有向聯邦政府銷售服務的私營企業都必須遵守 FISMA 的需求。
FISMA 合規性的主要框架是 NISTSP 800-53。簡單來說,供應商要符合 FISMA 規範,就必須實作 NIST SP 800-53 所建議的聯邦資訊系統資訊安全控制。FISMA 評估傳統上著重於支援單一機構的資訊系統。
符合 FISMA 規範的廠商只會從與其有業務往來的特定聯邦機構取得營運授權 (或 ATO)。若供應商與多個聯邦機構簽訂業務合約,則必須取得各機構的 ATO,因為安全控制可能會因應各機構的特定資料安全需求而有所不同。
讓我們談談 FedRAMP
透過制定 FedRAMP,政府旨在讓各機構更容易採購雲端服務供應商。在最基本的層級上,FedRAMP 針對的是雲端服務供應商。根據 FedRAMP 評估供政府機構使用的系統是私人企業使用的商業雲端系統 (例如 IaaS、PaaS、SaaS)。
根據 FISMA 或 FedRAMP 評估的資訊系統,會依據 FIPS 199 的幾項不同標準,分為高、中、低三級。然後,依據安全分類,將 NIST SP 800-53 中適用的安全控制,依高影響、中度影響或低影響應用於資訊系統。FedRAMP 的需求包括 NIST SP 800-53 Revision 4 中標準 NIST 基線控制之上的額外控制。這些額外的控制措施針對雲端運算的獨特元素,以確保所有聯邦資料在雲端環境中的安全。
與 FISMA 不同,FedRAMP ATO 讓雲端服務供應商有資格與任何聯邦機構開展業務。
由於範圍更廣,FedRAMP 認證程序也嚴格得多。授權計畫要求雲端供應商接受由第三方評估組織 ( 3PAO) 進行的獨立安全評估,才能向聯邦機構銷售政府雲端服務。
總結
聯邦機構在尋找符合 FedRAMP 的產品或服務時,很可能也希望該產品或服務符合 FISMA。雲端服務供應商應同時遵守 FISMA 和 FedRAMP 法規,以維持美國政府的 ATO。
全球的國家和聯邦政府部門都仰賴 Palo Alto Networks 防止成功的網路攻擊、保護機密和敏感資料,並最佳化安全性作業。