30 Mayıs 2023’te Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP) Ortak Yetkilendirme Kurulu, yeni Revizyon 5 (Rev. 5) temellerini onayladı. Yeni temeller, Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) “Özel Yayın (SP) 800-53 Rev. 5” ve “Bilgi Sistemleri ve Organizasyonları için SP 800-53B Kontrol Temelleri” ile uyumludur.
Bu makale, “FedRAMP Baselines Rev. 5 Geçiş Kılavuzu”nda belgelendiği gibi, bulut hizmeti sağlayıcılarının (CSP’lerin) FedRAMP Rev. 5’e geçişlerine hazırlanmak için bilmeleri gereken üst düzey bilgileri kapsar.
FedRAMP’ta Neler Değişiyor?
FedRAMP temel güvenlik kontrolleri, belgeleri ve şablonları, NIST SP 800-53, Rev. 5’teki değişiklikleri yansıtacak şekilde güncellendi. Bu, iki programın birbiriyle daha iyi uyum sağlayacağı anlamına geliyor.
FedRAMP ayrıca birçok kontrolü için kılavuzlar ekledi. Yeni bir kontrol ailesi var: Tedarik Zinciri Risk Yönetimi. Temeller aynı zamanda daha yüksek düzeyde bir konfigürasyon yönetimi titizliği ve ajans gereksinimleri için gizlilik ve özelleştirmeye daha fazla odaklanmayı gerektirir.
BT doğrulama ve uyumluluk firması Schellman’a göre FedRAMP, bu değişikliklerin yanı sıra “yeni gizlilik hususlarının, önemli kontrol ailelerinin ve Rev. 4’te yer almayan rehberliğin entegrasyonunu” ve “kontrol toplamlarındaki değişiklikleri” içeriyor.
Ancak program yönetimi (PM) kontrolleri kurumun sorumluluğunda olmaya devam etmektedir ve güncellenen temellere yansıtılmamaktadır.
CSP’ler FedRAMP Rev. 5’e Nasıl Geçiş Yapabilir?
Geçiş zaman çizelgeniz kuruluşunuza bağlı olarak değişecektir. Başlamak için mevcut FedRAMP yetkilendirme aşamanızı tanımlayın. Rev. 5 geçiş kılavuzunda özetlenen üç aşama vardır: planlama, başlatma ve sürekli izleme. Her aşamada, genel bir zaman çizelgesi de dahil olmak üzere sonraki adımlara ilişkin ayrıntılı talimatlar bulunur; daha fazla bilgi için “Geçiş Kılavuzu”na bakın.
Bir Program Geliştirin
Rev. 5’e geçiş yapmak için, Eylem Planı ve Kilometre Taşları (POA&M) adı verilen, geçiş planınızı gösteren bir program geliştirmeniz gerekir. “Geçiş Kılavuzu”nda listelenen başlıca dönüm noktası etkinlikleri şunlardır:
- CSP: Yeni Rev. 5 Sistem Güvenlik Planı’nı (SSP) ve ekleri (aşağıda listelenen diğer belgelerle birlikte FedRAMP Belgeleri ve Şablonları sayfasında bulunabilir) tamamlayın.
- Değerlendirici: Güvenlik Değerlendirme Planı (SAP) şablonunu doldurun.
- CSP ve Değerlendirici: SSP ve SAP’yi onay için FedRAMP Ortak Yetkilendirme Kurulunuza (JAB) İrtibat Noktanıza (POC) veya kurum yetkilendirme yetkilisine (AO) gönderin.
- Değerlendirici: Test yürütün.
- Değerlendirici: Güvenlik Değerlendirme Raporu (SAR) şablonunu doldurun.
- CSP ve Değerlendirici: SAR, POA&M, ekleri ve güncellenmiş SSP’yi FedRAMP JAB POC’ye veya kurum AO’ya gönderin.
Belgelerinizi Güncelleyin
Rev. 5’te FedRAMP proje yönetim ofisi (PMO) tarafından sağlanan SSP’ye yönelik yeni, güncellenmiş şablonlar ve ekler yer almaktadır. Güncellenen şablonlara dayalı yeni bir yetkilendirme paketini doldurmanız gerekir.
Değerlendirmenizin Kapsamını Belirleyin
Değerlendirmenizin kapsamı, bir değerlendiricinin test etmesini gerektiren belirli FedRAMP NIST SP 800-53 Rev. 5 kontrollerini belirlemenize bağlı olacaktır. “Geçiş Kılavuzu”na göre tüm yeni veya değiştirilmiş gereksinimler test edilmelidir ve CSP’ye özgü uygulamalara ve sürekli izleme faaliyetlerine bağlı olarak başka kontrol testleri de gerekli olabilir.
Kontrol seçim süreci: FedRAMP, kontrol seçim süreci için ayrıntılı çalışma sayfaları ve bilgiler sağlar. Ana şablon olan “FedRAMP Rev. 4 ila Rev. 5 Değerlendirme Kontrolleri Seçim Şablonu”, tıpkı FedRAMP etki seviyeleri gibi Yüksek, Orta ve Düşük olarak kategorize edilmiştir.
Elektronik tablo biçiminde gelen şablon dört çalışma sayfası içerir: Rev. 5 Kontrol Listesi, Koşullu Kontroller, CSP’ye Özel Kontroller ve Devralınan Kontroller. Bu çalışma sayfaları ve bunların nasıl kullanılacağı hakkında daha fazla bilgiyi “Geçiş Kılavuzu”nda bulabilirsiniz.
Güvenlik Değerlendirmesini tamamlayın
FedRAMP Rev. 4 ve Rev. 5 arasında oldukça az fark olsa da, değerlendiriciler FedRAMP Rev. 5 değerlendirmesi için aynı süreç ve prosedürleri uygulayacaktır. Değerlendirmenin kapsamı kuruluşa göre farklılık gösterecektir. Testler, Bölüm 6, FedRAMP Rev. 5 Test Senaryoları’nda (FedRAMP şablonları sayfasında mevcuttur) bulunabilecek FedRAMP Rev. 5 Test Senaryosu şablonlarının yanı sıra “Sürekli İzleme Stratejisi Kılavuzu”nda belirtilen gereksinimlerin kullanılmasını gerektirecektir. “
Güvenlik değerlendirmenizi tamamlamak için şunları yapmalısınız: SAP’nizde test etmeye yönelik süreçlerinizi, prosedürlerinizi ve metodolojilerinizi tanımlamanız; testlerde kullanılan süreçleri, prosedürleri ve metodolojileri gerektiği gibi tanımlayın ve testlerin sonuçlarını SAR’ınızda belgeleyin; ve değerlendiricinizin SAR’ın bir parçası olarak ilgili FedRAMP Güvenlik Değerlendirme Test Durumlarını hazırlayıp göndermesini sağlayın.
POA&M’yi tamamlayın
POA&M’nizi tamamlamak için “FedRAMP Eylem Planı ve Kilometre Taşları (POA&M) Şablon Tamamlama Kılavuzunu” kullanmanız gerekecektir. SAR’ınızda listelenen tüm kalan riskler, iyileştirme için tanımlanmış bir plana ihtiyaç duyacaktır. POA&M’ye, hizmet olarak platform (PaaS) ve hizmet olarak altyapı (IaaS) sistemlerinizle ilişkili olarak üçüncü taraf değerlendirme kuruluşu (3PAO) tarafından tanımlanan bilinen riskleri de eklemeniz gerekir.
Daha fazla bilgi edin
FedRAMP Rev. 5 ile mücadele etmek çok zor olabilir, ancak kontrollerinizin tam bir deposuna sahip olmanıza, çerçeveye göre ilerlemenizi takip etmenize ve otomatik kanıt toplamayı kullanarak değerlendirmeleri kolaylaştırmanıza yardımcı olacak yönetişim, risk ve uyumluluk (GRC) araçları mevcuttur. FedRAMP ayrıca ek destek arayanlar için Rev. 5 güncellemeleri ve geçiş sürecine özel eğitim ve öğretim forumları da sağlar. Ayrıca program güncellemelerini, önemli hatırlatıcıları, blog duyurularını ve en son FedRAMP değişiklikleri hakkında güncel bilgilere sahip olmak için aylık PMO Haber Bültenini almak üzere FedRAMP abone listesine katılabilirsiniz.
yazar hakkında
Kayne McGladrey, CISSP, Hyperproof alanında CISO ve IEEE’nin kıdemli üyesidir. Siber güvenlik alanında yirmi yıldan fazla deneyime sahiptir ve CISO ve danışma kurulu üyesi olarak görev yapmıştır. Siber güvenlik açıklarının bireylere, şirketlere ve ülkeye yönelik politika, sosyal ve ekonomik etkilerine odaklanıyor.