Was ist FedRAMP Tailored und LI-SaaS?

FedRAMP Tailored ist ein relativ neuer, gestraffter Prozess, der im August 2017 eingeführt wurde. Die meisten Behörden und Anbieter wissen nicht viel über dieses Programm. Wir geben Ihnen eine vollständige Übersicht über alles, was Sie wissen müssen.

Wichtige Erkenntnisse

  • Was ist FedRAMP Tailored?
  • Was ist LI-SaaS?
  • Was sind die Anforderungen für LI-SaaS?
  • Inwiefern unterscheidet sich LI-SaaS von „Low“ „Moderate“ und „High“?
  • Welche Produkte eignen sich am besten für LI-SaaS?
  • Wie kann LI-SaaS am effektivsten genutzt werden?
  • Wie sollten Behörden LI-SaaS nutzen?
  • Sollten Cloud Service Provider nach FedRAMP Tailored oder FedRAMP autorisiert werden?
  • Wie viele LI-SaaS-Produkte haben eine Autorisierung erhalten?

Wenn Sie mehr über FedRAMP erfahren möchten, lesen Sie unbedingt unseren ultimativen FedRAMP-Leitfaden.

 

Was ist FedRAMP Tailored?

Das PMO führte FedRAMP ein, das darauf zugeschnitten ist, die Einführung von Cloud-Diensten in Anwendungsfällen mit geringem Risiko zu beschleunigen. Dieses Programm optimiert den FedRAMP-Autorisierungsprozess durch weniger Sicherheitskontrollen.

Laut Gesetz müssen Behörden das NIST Risk Management Framework (RMF) verwenden. Das RMF bildet die Basis für die grundlegenden Sicherheitsanforderungen. Wie Sie sich vorstellen können, sind die Standards aufgrund der sensiblen Daten, über die die Bundesbehörden verfügen, recht hoch. Sowohl Anbieter als auch Behörden tätigen beträchtliche Investitionen, um eine Autorisierung für einen Service zu erhalten.

Führungskräfte, Lieferanten und Beamte gaben an, dass ein optimierter Prozess für Autorisierungen mit geringem Risiko erforderlich ist. Die Kosten für die Erfüllung der Low-Impact-Grundlagen waren in bestimmten Fällen immer noch zu hoch. Ein einfacherer Autorisierungspfad senkt die Zertifizierungskosten für Anbieter. Außerdem können Behörden dadurch Zeit, Geld und Aufwand sparen.

Die Zusammenarbeit zwischen OMB, NIST und dem Joint Authorization Board (JAB) führte zu der Erstellung. Das Originalprogramm wurde erstmals im Februar 2017 öffentlich kommentiert. Es gab mehr als 330 Kommentare von Behörden, Industrie und Partnern. Die finale Dokumentation wurde im August 2017 veröffentlicht und etablierte FedRAMP Tailored.

 

Was ist LI-SaaS?

LI-SaaS steht für Low-Impact Software-as-a-Service. Es handelt sich um einen Status, der für das FedRAMP-Programm erstellt wurde. FedRAMP hat derzeit drei Gruppen von grundlegenden Sicherheitsanforderungen: Low (niedrig), Moderate (mittel) und High (hoch). Diese Kategorien stammen aus den FIPS 199 199-Standards. LI-SaaS ist eine verschlankte Version von „Low“ (niedrig) in Bezug auf die grundlegenden Sicherheitsanforderungen.

Dieses Programm ermöglicht es Anbietern, sich nur auf relevante Anforderungen zu konzentrieren. Die Low Impact Baseline verfügt über 125 Sicherheitskontrollen, die Anbieter erfüllen müssen. LI-SaaS ist eine Teilmenge davon. Der Anbieter muss mindestens 37 Sicherheitskontrollen dokumentieren und bewerten. Diese Zahl kann je nach Situation um 10–20 steigen. Einige Kontrollen liegen in der Verantwortung der Bundesregierung und gelten nicht. Wenn sich die Kontrolle oder die Verbesserung der Kontrolle nicht direkt auf die Sicherheit einer Cloud-SaaS auswirkt, gilt sie ebenfalls nicht.

Für die übrigen Sicherheitskontrollen muss der Anbieter bestätigen, dass er diese erfüllt. Die Bestätigung benötigt keine unterstützende Dokumentation, was Zeit sparen kann.

 

Was sind die Anforderungen für LI-SaaS?

Um ein auf FedRAMP zugeschnittener LI-SaaS Cloud Service zu sein, müssen alle folgenden Fragen mit „Ja“ beantwortet werden:

  • Funktioniert der Service in einer Cloud-Umgebung?
  • Ist der Cloud-Service voll funktionsfähig?
  • Handelt es sich bei dem Cloud-Service um Software as a Service (SaaS) gemäß NIST SP 800-145, der NIST Definition of Cloud Computing?
  • Enthält der Cloud-Dienst keine personenbezogenen Daten (PII), außer wenn dies für die Bereitstellung einer Anmeldefunktion (Benutzername, Kennwort und E-Mail-Adresse) erforderlich ist?
  • Handelt es sich bei dem Cloud-Service um einen Dienst mit geringer Sicherheitsrelevanz gemäß der Definition von FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
  • Wird der Cloud-Service in einer von FedRAMP autorisierten Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) gehostet oder stellt der CSP die zugrunde liegende Cloud-Infrastruktur bereit?
  • Dabei kann es sich um Tools für die Zusammenarbeit, Software für die Medienbearbeitung und Anwendungen für das Projektmanagement handeln.

 

Does your product qualify for LI-Saas? Must answer "yes" to every question

Does the service operate in a cloud environment?

Is the cloud service fully operational?

Is the cloud service a Software as a Service (SaaS), as defined by NIST SP 800-145, the NIST Definition of Cloud Computing?

The cloud service does not contain personally identifiable information (PII), except as needed to provide a login capability (username, password, and email address)

Is the cloud service low-security-impact, as defined by FIPS PUB 199, Standards for Security Categorization of Federal Information Systems?

Is the cloud service hosted with a FedRAMP-authorized Platform as a Service (PaaS) or Infrastructure as a Service (IaaS), or is the CSP providing the underlying cloud infrastructure?

 

Es gibt einige wichtige Nuancen zu beachten. Nur die erforderlichen personenbezogenen Daten (PII), die im System zulässig sind, sind Anmeldeinformationen. Bei PII kann es sich nur um Benutzername, E-Mail-Adresse und Kennwort handeln. Wenn Sie andere personenbezogene Daten haben, wird das System als LI-SaaS disqualifiziert. Selbst der Betrieb unter dieser Einschränkung ist keine Best Practice. Wenn möglich, sollte der Anbieter nicht einmal Anmelde-PII verwenden. Vielmehr sollte er ein Behördenverzeichnis verwenden, das unter eine bestehende ATO fällt, und personenbezogene Daten nicht in seinem eigenen System speichern. Eine bestehende ATO mit einer höheren Ausgangsbasis bietet ein höheres Sicherheitsniveau für personenbezogene Daten.

LI-SaaS-Systeme müssen ein zugrundeliegendes FedRAMP-autorisiertes PaaS oder IaaS oder eine eigene Infrastruktur verwenden. Durch die Nutzung eines vorhandenen ATO kann das System die Sicherheitskontrollen übernehmen. Die Nutzung der eigenen Infrastruktur erfordert eine Bewertung dieser Kontrollen. Einige Bewertungen können die Verwendung von Zertifizierungen wie ISO-27001 oder SOC 2 Typ 2 ermöglichen. In der Praxis ist es am einfachsten, vorhandene autorisierte Lösungen zu verwenden, um die Bewertung zu überspringen.

Obwohl die maßgeschneiderte FedRAMP-Basis ein Mindestmaß an Sicherheitskontrollanforderungen vorsieht, muss jede Behörde dennoch ihre eigene ATO ausstellen. Die Behörde muss prüfen, ob zusätzliche Sicherheitskontrollen erforderlich sind, um behördenspezifische Richtlinien einzuhalten.

 

Inwiefern unterscheidet sich LI-SaaS von geringer, mittlerer und hoher Auswirkung?

„Auswirkung“ bezieht sich auf den Schweregrad, den eine Behörde erleiden würde, wenn das System kompromittiert würde. LI-SaaS verfügt über die geringste Anzahl an Sicherheitskontrollen und kann auf Anwendungsfälle mit geringem Risiko angewendet werden. Es handelt sich um eine modifizierte, reduzierte Version von Low Impact. „Low“ ist für begrenzte negative Auswirkungen geeignet, „Medium“ für schwerwiegende Auswirkungen und „High“ für schwere oder katastrophale Auswirkungen.

FedRAMP Tailored legt die LI-SaaS-Richtlinien und Sicherheitskontrollen fest. Dieses Programm optimiert den Autorisierungsprozess sowohl für Anbieter als auch für Behörden. Nur die relevantesten und anwendbarsten Sicherheitskontrollen müssen dokumentiert und bewertet werden. Anbieter können die verbleibenden Kontrollen erfüllen, indem sie bescheinigen, dass sie die Anforderungen erfüllen, und indem sie bestimmte zugrunde liegende autorisierte PaaS- oder IaaS-Kontrollen übernehmen.

FedRAMP steuert den Prozess für Systeme mit geringer, mittlerer und hoher Auswirkung, wie gesetzlich vorgeschrieben. Die Autorisierung ist ein viel aufwändigerer Prozess. Es gibt deutlich mehr Sicherheitskontrollen, die dokumentiert und bewertet werden müssen.

 

Chart illustrating the number of security controls required for FedRAMP LI-SaaS, FedRAMP Low, FedRAMP Medium, and FedRAMP High

 

Im Folgenden haben wir die gesamten Sicherheitskontrollen aufgeführt, die für LI-SaaS, niedrige, mittlere und hohe Auswirkung erforderlich sind:

  • LI-SaaS: mindestens 37, dokumentiert und bewertet. Die verbleibenden Sicherheitskontrollen hängen von der Situation ab oder es kann eine Bestätigung erforderlich sein.
  • Niedrig: 125
  • Mittel: 325
  • Hoch: 421

 

Welche Produkte eignen sich am besten für LI-SaaS?

LI-SaaS ist nur für Situationen geeignet, die ein geringes Risiko für die Behörde im Falle einer Kompromittierung oder eines Fehlers darstellen. Im Folgenden sind einige der besten Produkte für LI-SaaS aufgeführt:

  • Zusammenarbeits-Tools
  • Projektmanagement-Tools
  • Tools für die Open-Source-Entwicklung
  • Medienbearbeitungstools wie Bild- oder Videobearbeitungsprogramme
  • Public-Facing-Content-Management-Systeme für Websites
  • Schulungs- und Weiterbildungssoftware

Diese Produkte dürfen keine anderen personenbezogenen Daten (PII) als Anmeldeinformationen enthalten. Diese Systeme enthalten in der Regel keine sensiblen Daten, die im Falle eines unbefugten Zugriffs nachteilig wären.

 

Wie kann LI-SaaS am effektivsten bereitgestellt werden?

Der Schlüssel zum Erfolg ist die Nutzung von FedRAMP-autorisierten Produkten. Denken Sie daran, dass die Grundlage von FedRAMP darin besteht, zertifizierte Produkte so weit wie möglich wiederzuverwenden. Wenn Sie eine Backend-Cloud-Infrastruktur benötigen, sollten Sie AWS oder IBM Cloud for Government verwenden. Wenn das LI-SaaS-Produkt Inhalte, Dateien oder Dokumente verarbeitet, verwenden Sie Box for Government. Die Nutzung vorhandener Produkte wird die Einführung beschleunigen, da die grundlegenden Elemente sicher sind.

Die unten aufgeführten Produkte verfügen beispielsweise über eine gesicherte FedRAMP-Autorisierung und sind speziell von der Box Plattform abhängig

  • Broadcom: General Support Systems (GSS)
  • Casepoint: Casepoint Government
  • Cisco Systems: Webex for Government
  • DocuSign: DocuSign Federal (eSignature, Gen, Negotiate)
  • MDRC: SPROUT
  • Palantir Technologies: Palantir Federal Cloud Service
  • Palo Alto Networks: Palo Alto Networks Government Cloud Services – WildFire

 

Wie sollten Behörden LI-SaaS nutzen?

Behörden sollten Folgendes für LI-SaaS in Betracht ziehen:

  • Bestimmen, ob die Einführung von Cloud-Software für den Anwendungsfall geeignet ist
  • Bewerten, ob die Auswirkungen und Risiken für das Unternehmen gering sind
  • Prüfen, ob ein vorhandenes FedRAMP-autorisiertes Produkt vorhanden ist
  • Wenn kein Produkt autorisiert ist, bestimmen, ob die Kosten für die Ausstellung einer Behörden-ATO die Vorteile rechtfertigen

 

Behörden sollten zunächst die Anwendungsfälle und Vorteile bestimmter Cloud-Produkte bewerten. SaaS-Produkte sind oft kosteneffizienter, da sie wesentlich einfacher zu verwalten sind als On-Premise-Softwarelösungen. Der Trägheit ist hauptsächlich auf die Kosten der Migration zu einer neuen Lösung zurückzuführen. Die Implementierungskosten können hoch sein. Die Schulung der Mitarbeitenden in der Verwendung neuer Software erfordert ebenfalls Zeit. Aber die Aufrechterhaltung von veralteten Lösungen lohnt sich so gut wie nie.

Die Anwendungsfälle müssen auch für eine Kategorisierung mit geringer Auswirkung geeignet sein. Wenn es im Falle eines Fehlers oder einer Gefährdung ernsthafte oder schwerwiegende negative Risiken gibt, ist LI-SaaS ungeeignet. Zudem dürfen keine anderen personenbezogenen Daten als Anmeldeinformationen involviert sein.

Der einfachste Weg zur Einführung besteht darin, ein vorhandenes FedRAMP-autorisiertes Produkt zu verwenden. Alle Auswirkungsstufen des Produkts (LI-SaaS, Low, Moderate, High) erfüllen die LI-SaaS-Sicherheitsgrundlagen. Die Behörde muss weiterhin prüfen, ob das System dem Anwendungsfall entspricht, und ihr eigenes ATO-Schreiben ausstellen. Das ist allerdings viel einfacher, als ein vollständiges Sicherheitsbewertungs- und Autorisierungsverfahren durchlaufen zu müssen.

Wenn kein autorisiertes Produkt vorhanden ist, muss die Behörde entscheiden, ob es sich lohnt, mit einem Anbieter zusammenzuarbeiten, um den maßgeschneiderten FedRAMP-Prozess durchzugehen. Sie muss sich dazu verpflichten, einen vollständigen Prozess auszuführen. Dieser Prozess ist jedoch wesentlich rationeller als der traditionelle FedRAMP-Prozess.

 

Sollten Cloud Service Provider nach FedRAMP Tailored oder FedRAMP autorisiert werden?

Das maßgeschneiderte FedRAMP-Programm verringert die Hürde für Cloud-Anbieter beim Verkauf an Bundesbehörden. Es ist ein spannender Weg, um große Marktchancen zu erschließen. Der Nachteil ist, dass LI-SaaS nur für Anwendungen mit geringem Risiko geeignet ist.

Anbieter sollten mit Behörden zusammenarbeiten, um die Nachfrage und Anwendungsfälle für ihr Produkt zu ermitteln. Dann sollten sie die Sicherheitsanforderungen analysieren. Anhand dieser Anforderungen wird bestimmt, welche Auswirkungsstufe geeignet ist. LI-SaaS- und Low-Impact-Autorisierungen müssen einen behördlichen Autorisierungsprozess durchlaufen. Moderate und High Impact durchlaufen in der Regel den JAB-Autorisierungsprozess. Der JAB-P-ATO-Prozess dauert länger als der behördliche ATO-Prozess. FedRAMP Tailored ist speziell für LI-SaaS konzipiert und muss einen Agenturprozess durchlaufen. Niedrige, mittlere und hohe Berechtigungen müssen den traditionellen FedRAMP-Prozess durchlaufen.

In der Praxis müssen Anbieter die Kosten für die einzelnen Prozesse analysieren. FedRAMP Tailored hat einen deutlich strafferen Prozess. Einige Anbieter können zunächst diesen Prozess durchlaufen, um einen Schritt in Richtung eines höheren Status zu machen. Er kann zukünftige Autorisierungen für eine höhere Ebene vereinfachen. Dies ist in erster Linie darauf zurückzuführen, dass bereits eine Teilmenge von Sicherheitskontrollen erfüllt wurde. Ein zusätzlicher Bonus besteht darin, dass JAB-P-ATO den Anbietern mit der höchsten Erfolgschance Priorität einräumt, wenn ein Anwender eine JAB-P-ATO durchlaufen möchte. Wenn ein Anbieter bereits den Status „autorisiert“ erhalten hat, besteht die Sicherheit, dass er mit einer anderen Autorisierung erfolgreich sein kann.

Die meisten Anbieter, die sich für den traditionellen FedRAMP-Prozess entscheiden, müssen den erforderlichen Zeit- und Investitionsaufwand bewerten. 80 % der Anbieter entscheiden sich für „Moderate“, da diese Stufe die meisten Anwendungsfälle abdeckt. Der Autorisierungszeitrahmen zwischen „Moderate“ und „Low“ ist identisch. Daher entscheiden sich die meisten Anbieter für diese Option. „Moderate“ verfügt über eine 2,6-fache Sicherheitskontrolle. Daher müssen Cloud-Anbieter sich darauf vorbereiten.

Wenn Cloud-Service-Provider ein „Low“-Programm verfolgen, sollten sie das maßgeschneiderte FedRAMP-Programm in Betracht ziehen. LI-SaaS ist viel einfacher zu erreichen als „Low“. Andernfalls sollten sie möglicherweise „Low“ überspringen und direkt zu „Moderate“ wechseln, da die Autorisierungszeitpläne für beide Stufen ähnlich sind.

 

Wie viele LI-SaaS-Produkte haben eine Autorisierung erhalten?

Seit dem Start des Programms im Jahr 2018 wurden im April 2021 fast 30 LI-SaaS FedRAMP-autorisierte Anwendungen gestartet. Dies ist ein vielversprechender neuer Weg für Behörden und Anbieter, die Cloud-Einführung innerhalb der Bundesregierung zu beschleunigen. Der optimierte und kostengünstigere Prozess ist in Anwendungsfällen mit geringem Risiko von Vorteil.

 

** Wir sind stets bestrebt, Produkte und Services anzubieten, die den besten Datenschutz sowie die höchste Sicherheit und Compliance gewährleisten, jedoch stellen die in diesem Blogbeitrag enthaltenen Informationen keine Rechtsberatung dar. Wir empfehlen potenziellen und aktuellen Kund:Innen dringend, ihre eigene Sorgfaltspflicht bei der Einhaltung geltender Gesetze zu erfüllen.

 

Erfahren Sie mehr darüber, was Box zu bieten hat

Kontaktieren Sie uns