A cloud computing szabályozása amerikai módra

A FedRAMP (Federal Risk and Authorization Management Program) program kidolgozását az tette szükségessé, hogy a cloud computing alapú szolgáltatások az amerikai kormányzati szervezetek és szövetségi intézmények körében is egyre vonzóbbá válnak. Azonban ezek bevezetése, használata új biztonsági szemléletmódot követel meg, és számos kockázati tényező kezelését teszi szükségessé. Ahhoz, hogy mindez egységes módon, szabályozott keretek között történhessen meg, szükség volt olyan szabványokra, előírásokra, amelyek iránymutatóak lehetnek a compliance számára.

A FedRAMP specifikáció első vázlata októberben jelent meg, és azóta számos változtatáson esett át. John Pescatore, a Gartner elemzője szerint a módosítások közül az egyik legfontosabb, hogy a szolgáltatások értékelését nemcsak kormányzati szakemberek, hanem független szakértők is végezni fogják, ami a várakozások szerint gyorsabbá és hatékonyabbá teszi majd a tanúsítási folyamatokat, illetve a FedRAMP terjedését.

A FedRAMP a szövetségi ügynökségek mellett a beszállítók és a szolgáltatók számára is tartalmaz előírásokat. Meghatározza azokat a biztonsági és adatvédelmi előírásokat, amelyeket minden olyan cloud szolgáltatónak be kell tartania, amely kormányzati ügynökségeknek kíván felhőalapú megoldásokat értékesíteni. A követelmények kiterjednek az összes cloud modellre, így a SaaS (Software as a Service) és a PaaS (Platform as a Service) technológiákra is. A FedRAMP többek között a biztonság értékelésével, a hitelesítéssel valamint a monitorozással kapcsolatban fogalmaz meg elvárásokat.

Az előírások kidolgozói arra is gondoltak, hogy a cloud computing folyamatos fejlődésével a jövőben újabb szempontokat kell majd figyelembe venni a kockázatok értékelése és kezelése során. Ezért ezentúl egy erre a feladatra kinevezett csoport fog felelni a FedRAMP naprakészen tartásáért, és annak mindenkori biztonsági követelményekhez való igazításáért. Emellett egy hónapon belül el fog készülni egy olyan irányelveket tartalmazó dokumentum is, amely a szolgáltatókat fogja segíteni a biztonsági és adatvédelmi kontrollok felállításában.

A FedRAMP fontos célja, hogy megkönnyítse, egységesítse a cloud computing biztonságosabbá tételét szolgáló védelmi lépéseket, hiszen ezáltal komoly költségek spórolhatók meg. Emellett lehetővé teszi a duplikált és a felesleges folyamatok kiszűrését, hogy az egyes szervezeteknél, ügynökségeknél a legjobb gyakorlatok valósulhassanak meg.