FedRAMP
O que é FedRAMP?
FedRAMPPrograma do governo dos EUA que padroniza a avaliação de segurança, autorização e monitorização contínua dos serviços cloud usados pelas agências federais.
O Federal Risk and Authorization Management Program (FedRAMP) foi criado em 2011 e consagrado em lei pelo FedRAMP Authorization Act de 2022. Fornece uma autorização de segurança única e reutilizável para ofertas cloud (CSO) vendidas a agências federais. Os fornecedores cloud são avaliados por uma 3PAO acreditada com base nos baselines NIST SP 800-53 (Low, Moderate, High) e recebem uma P-ATO do Joint Authorization Board ou uma ATO emitida por uma agência. Os serviços autorizados constam do FedRAMP Marketplace e ficam sujeitos a monitorização contínua, atualizações mensais de POA&M e reporte de incidentes à CISA. Gerido pela GSA com supervisão da OMB, o programa reduz auditorias duplicadas.
● Exemplos
- 01
Um fornecedor SaaS que persegue uma ATO FedRAMP Moderate para vender a agências federais.
- 02
Uma agência que reutiliza uma P-ATO FedRAMP High existente para adotar um serviço cloud de colaboração.
● Perguntas frequentes
O que é FedRAMP?
Programa do governo dos EUA que padroniza a avaliação de segurança, autorização e monitorização contínua dos serviços cloud usados pelas agências federais. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa FedRAMP?
Programa do governo dos EUA que padroniza a avaliação de segurança, autorização e monitorização contínua dos serviços cloud usados pelas agências federais.
Como se defender contra FedRAMP?
As defesas contra FedRAMP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para FedRAMP?
Nomes alternativos comuns: Federal Risk and Authorization Management Program.