Amerykańska lekcja cyfrowego zaufania: Nowy standard certyfikacji usług chmurowych FedRAMP 20x

Amerykańska administracja federalna wdraża gruntowną reformę certyfikacji usług chmurowych pod nazwą FedRAMP 20x, która całkowicie zmienia zasady współpracy z sektorem technologicznym. Nowy model zastępuje statyczną dokumentację danymi weryfikowanymi w czasie rzeczywistym, co stanowi interesujący przykład nowoczesnego podejścia do cyberbezpieczeństwa państwowego.

 

Od dokumentacji do maszynowych danych

W Stanach Zjednoczonych następuje odejście od tradycyjnych, tysiącstronicowych pakietów dowodowych, które do tej pory stanowiły fundament zaufania w sektorze publicznym. Nowy standard FedRAMP 20x wyklucza ręczne audyty oraz punktowe opisy zabezpieczeń na rzecz informacji czytelnych dla maszyn. Amerykańska administracja uznała, że certyfikacja nie może być zdarzeniem jednorazowym w roku, lecz musi stać się procesem ciągłym, gdzie dowody bezpieczeństwa są pobierane bezpośrednio z systemów źródłowych. Rozwiązanie to ma na celu wyeliminowanie problemu nieaktualnych danych i znaczące przyspieszenie wdrażania nowoczesnych technologii w agencjach rządowych.

 

Nowa klasyfikacja usług federalnych

Amerykanie zdecydowali się na zmianę kategoryzacji usług, odchodząc od poziomów wpływu na rzecz czterech przejrzystych klas certyfikacji oznaczonych literami od A do D. Klasa A jest zarezerwowana dla najbardziej dojrzałych i krytycznych systemów, natomiast Klasa C, którą niedawno jako jedna z pierwszych uzyskała platforma Anecdotes, obejmuje standardowe usługi korporacyjne wykorzystywane w istotnych systemach rządowych. Każda z tych klas nakłada na dostawców obowiązek automatycznego aktualizowania informacji o stanie zabezpieczeń, aby pakiety certyfikacyjne nigdy nie traciły na aktualności. Taki podział pozwala rządowi USA na elastyczne dopasowanie wymagań do faktycznej roli danej usługi w infrastrukturze państwa.

 

Koniec z przygotowywaniem wersji pod audytora

Kluczowym elementem amerykańskiej reformy jest zmiana filozofii samego badania zgodności. Do tej pory audyty często opierały się na przedstawianiu starannie przygotowanej wersji rzeczywistości, co nowa metodologia ma całkowicie uniemożliwić. System 20x wymusza transparentność, budując zaufanie na podstawie faktycznego, bieżącego stanu technicznego systemów. Przykład firmy Anecdotes, która przeszła proces certyfikacji przy użyciu własnej technologii automatyzacji, pokazuje, że zarządzanie zgodnością może odbywać się bez udziału zewnętrznych firm wdrażających. Dla europejskiego rynku IT to sygnał, że kierunek rozwoju regulacji zmierza ku pełnej automatyzacji i rezygnacji z papierowych procesów na rzecz ciągłego monitoringu danych.