Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Beheerde bestandsoverdracht (MFT) voor FedRAMP-naleving
Beheerde bestandsoverdracht (MFT) voor FedRAMP-naleving

Beheerde bestandsoverdracht (MFT) voor FedRAMP-naleving

by Bob Ertl updated februari 20, 2024 Beheerde bestandsoverdracht
Reading Time: 6 minutes

Als u een Department of Defense (DoD)-aannemer bent, moet de managed file transfer (MFT)-oplossing die u gebruikt voor het uitwisselen van CUI en FCI voldoen aan de strenge FedRAMP-vereisten. Doet u dit niet, dan loopt u het risico op niet-naleving van CMMC, wat kan leiden tot hoge boetes en sancties, evenals het verlies van overheidscontracten. Kortom, niet-naleving moet te allen tijde worden voorkomen.

Als uw managed file transfer-software echter FedRAMP-compliant is, kunt u erop vertrouwen dat de federale gegevens die u overdraagt, worden verwerkt volgens de hoogste normen voor cloudbeveiliging.

In deze Blog Post verkennen we de functionele vereisten waaraan defensie- en andere overheidsaannemers en onderaannemers moeten voldoen in hun managed file transfer-oplossing om ervoor te zorgen dat de software voldoet aan FedRAMP en dus in overeenstemming is met CMMC.

Het CMMC-certificeringsproces is intensief, maar ons CMMC 2.0-nalevingsstappenplan kan helpen.

Waarom FedRAMP van belang is

FedRAMP is een compliance framework dat door de federale overheid wordt vereist voor alle cloud service providers (CSP’s) die willen samenwerken met federale instanties. Het maakt gebruik van diverse technologische en beveiligingsspecificaties, met name NIST Special Publication 800-53, om beveiligingsvereisten te definiëren voor elke CSP die federale overheidsinformatie verwerkt.

Hoewel er verschillende aanvullende federale compliance frameworks zijn die relevant zijn voor IT-leveranciers in de federale sector, is FedRAMP een fundamenteel compliance framework voor cloudproviders die met een federale instantie willen werken.

FedRAMP is essentieel voor alle overheidsinstanties en aannemers, maar vooral voor het DoD en voor defensie-aannemers en onderaannemers, omdat het ervoor zorgt dat gevoelige informatie met betrekking tot DoD-initiatieven en -programma’s vertrouwelijk blijft en buiten het bereik blijft van onbevoegd personeel, waaronder cybercriminelen en vijandige staten.

Het FedRAMP-certificeringsproces is lang en grondig, en omvat noodzakelijke tests en audits door gekwalificeerde Third-Party Assessment Organizations (3PAO’s). Maar zodra de certificering is afgerond, wordt de CSP beschouwd als FedRAMP-geautoriseerd en zijn de producten goedgekeurd voor gebruik door federale instanties en samenwerkende aannemers en onderaannemers.

Vereisten voor FedRAMP-autorisatie

Kern van FedRAMP is dat CSP’s controles (gespecificeerd in NIST 800-53) moeten implementeren die betrekking hebben op diverse potentiële inbraakgebieden. Dit omvat controles in families zoals:

  • Toegangscontrole
  • Bewustwording en training
  • Audittrail en verantwoording
  • Risicobeoordeling
  • Fysieke en omgevingsbescherming
  • En andere

Deze controles geven aan wat een CSP moet implementeren, afhankelijk van de gegevens die zij beheren. Afhankelijk van die informatie kan het zijn dat de CSP meer geavanceerde controles moet toepassen om certificering te behalen.

Compliance and Certification Table

Is FedRAMP verplicht?

Ja, FedRAMP is verplicht voor alle cloud service providers (CSP’s) die federale gegevens verwerken, opslaan of delen, inclusief controlled unclassified information (CUI). Alle cloud service-aankopen van federale instanties moeten FedRAMP-autorisatie verkrijgen voordat ze gebruikt mogen worden. De implementatie van FedRAMP zorgt ervoor dat alle federale instanties een overeengekomen basislijn van beveiligingsvereisten hebben voordat ze cloudservices mogen gebruiken. Het stelt instanties ook in staat om snel en kosteneffectief cloudoplossingen te adopteren, terwijl ze een veilige omgeving behouden en de gegevens van de overheid beschermen. Uiteindelijk helpt naleving van FedRAMP instanties hun netwerken en gegevens te beschermen tijdens de overstap naar de cloud.

FedRAMP Impact Levels: Welke heb ik nodig?

Het FedRAMP-framework categoriseert systeemvereisten in verschillende “Impact Levels” die de nadruk leggen op diverse soorten gegevens die een CSP mogelijk opslaat of beheert. Deze niveaus zijn gedefinieerd in FIPS 199, waarin gegevens en de verantwoordelijkheden van instanties die deze gegevens gebruiken worden gecategoriseerd op basis van criteria zoals vertrouwelijkheid, beveiliging en noodzakelijke integriteit.

Met behulp van deze criteria definieert FedRAMP drie Impact Levels: Laag, Matig en Hoog:

  1. Laag Impact verwijst naar controles die nodig zijn om informatie te beschermen waarvan verlies, diefstal of beschadiging minimale impact heeft op de instantie of burgers. Over het algemeen zijn deze gegevens al op een of andere manier openbaar, maar vereisen ze toch bescherming in een cloudomgeving.
  2. Matig Impact verwijst naar controles die gegevens beschermen waarvan verlies, diefstal of beschadiging een aanzienlijke impact heeft op de werking van een instantie of haar betrokkenen. Deze controles hebben betrekking op privégegevens die financiële of in sommige gevallen zelfs fysieke schade kunnen veroorzaken, afhankelijk van de informatie.
  3. Hoog Impact verwijst naar controles die privégegevens beschermen waarvan beschadiging of diefstal een catastrofale impact heeft op een instantie of betrokkenen. Verlies van deze gegevens kan het vermogen van een instantie om te blijven functioneren aanzienlijk of volledig tenietdoen. Daarnaast kan verlies van deze gegevens leiden tot ernstige financiële schade of fysiek letsel, waaronder verlies van mensenlevens.

Naarmate het belang van bescherming en naleving toeneemt binnen deze drie FedRAMP Impact-categorieën, neemt ook het aantal noodzakelijke controles per categorie toe.

Het Impact Level, en de hoeveelheid controles die u moet implementeren of hebben, hangt af van het soort gegevens dat u voor een federale instantie beheert.

De implicaties van FedRAMP voor Managed File Transfer

Elk cloudgebaseerd systeem dat wordt gebruikt om CUI en FCI te delen, over te dragen, te ontvangen of op te slaan, moet FedRAMP-geautoriseerd zijn. Dit geldt voor e-mail, bestandsoverdracht, secure file transfer protocol (SFTP) en uiteraard managed file transfer.

Minimaal moet elke FedRAMP-compliant CSP over een vorm van encryptie en beveiliging beschikken om de veiligheid van gegevens tijdens overdracht te waarborgen. De meeste managed file transfer-oplossingen maken gebruik van een beveiligde bestandsoverdracht, zoals SFTP, die past binnen een compliance-strategie.

Managed file transfer (MFT) speelt een cruciale rol in de samenwerkingsinspanningen van federale instanties met samenwerkende aannemers. Managed file transfer maakt veilige, betrouwbare en efficiënte overdracht van bestanden mogelijk, inclusief gevoelige of vertrouwelijke gegevens, tussen deze partijen.

Managed file transfer biedt essentiële functies waarmee organisaties het uitwisselen van enkele bestanden, bulkbestanden of grote bestanden kunnen automatiseren tussen personen, computers of locaties, terwijl de integriteit, beveiliging en naleving van regelgeving wordt gewaarborgd.

Een beveiligde managed file transfer-oplossing bevat diverse functies, zoals:

  1. Analytics om inzicht te geven in gegevensgebruik, overdrachtstijden, enzovoorts.
  2. Uitgebreide audit logs en audits ter ondersteuning van beveiliging en compliance
  3. Autorisatie en encryptie voor inhoudsbeveiliging en privacy
  4. Dashboards voor datavisibiliteit en toegankelijkheid binnen de gehele organisatie

Het zou nu duidelijk moeten zijn dat managed file transfer een integraal onderdeel kan vormen van samenwerking tussen instanties en partners. Daarom moet de managed file transfer-applicatie van een CSP voldoen aan de FedRAMP-vereisten. Gezien het werk dat nodig is voor CSP’s om FedRAMP-geautoriseerd te worden, zou een FedRAMP-geautoriseerde managed file transfer-oplossing zich moeten onderscheiden van niet-FedRAMP-geautoriseerde oplossingen die mogelijk bepaalde functionaliteiten niet bieden.

Een FedRAMP-geautoriseerde managed file transfer-oplossing moet geavanceerde functies bevatten zoals:

  1. Verbeterde beveiliging: FedRAMP-geautoriseerde managed file transfer-oplossingen zorgen ervoor dat gegevens veilig worden opgeslagen en niet toegankelijk zijn voor onbevoegde gebruikers. De oplossingen zorgen er ook voor dat alle beveiligingsprotocollen voortdurend worden bijgewerkt met de nieuwste technologische ontwikkelingen.
  2. Naleving: FedRAMP-geautoriseerde managed file transfer-oplossingen helpen organisaties te voldoen aan overheidsbeveiligingsnormen. Dit helpt organisaties tijd en geld te besparen bij het voldoen aan de vereisten van specifieke regelgeving of beleidsregels.
  3. Verminderde complexiteit: Door gebruik te maken van een FedRAMP-geautoriseerde managed file transfer-oplossing kunnen organisaties de complexiteit vermijden van het opzetten en beheren van hun eigen managed file transfer-oplossing. Dit omvat het omgaan met hardware- en software-updates, het waarborgen dat beveiligingsprotocollen up-to-date zijn en het monitoren van gebruikersrechten en -activiteiten.
  4. Automatisering: Automatisering is essentieel bij het beheren van bestandsoverdrachten. FedRAMP-geautoriseerde managed file transfer-oplossingen bieden geautomatiseerde tools om gegevensoverdrachten te creëren, te monitoren en te analyseren. Dit maakt het eenvoudiger om overdrachtsactiviteiten te volgen, gegevensstromen te automatiseren en potentiële problemen te identificeren.
  5. Kostenbesparing: Tot slot kan het gebruik van een FedRAMP-geautoriseerde managed file transfer-oplossing kosten besparen doordat u geen eigen managed file transfer-systeem hoeft te implementeren, onderhouden, upgraden en monitoren. De kosten van licenties en onderhoud van een managed file transfer-oplossing kunnen aanzienlijk worden verlaagd wanneer u een FedRAMP-geautoriseerde provider gebruikt.

Kiteworks FedRAMP-geautoriseerde Managed File Transfer versterkt samenwerking tussen instanties en aannemers

Het Kiteworks Private Content Network is FedRAMP-geautoriseerd voor Moderate Impact Level-informatie, waardoor federale instanties en hun partners gevoelige CUI en FCI veilig kunnen verzenden, delen en opslaan.

Kiteworks secure managed file transfer beschikt over diverse essentiële beveiligings- en compliance-mogelijkheden die vereist zijn voor FedRAMP-autorisatie, waaronder:

  • Logging en documentatie: Kiteworks bevat logging- en rapportagetools die FedRAMP-compliant kunnen worden ingericht. Sommige noodzakelijke beveiligingscontroles, met name die op Moderate en High Impact Levels, vereisen een FedRAMP-audit log of documentatie om gegevensgebruik, toegang en datalekken te volgen.
  • Datavisibiliteit en toegankelijkheid: Het Kiteworks-dashboard is toegankelijk via de cloud en bevat tools op enterpriseniveau om gegevens binnen een organisatie te beheren, te auditen en te controleren. Belangrijker nog: een visueel CISO-dashboard, gecombineerd met uitgebreide audit logs, biedt diverse effectieve lagen van data- en gebeurtenisvisibiliteit, waaronder uploads, downloads en pogingen tot ongeautoriseerde toegang.
  • Beveiliging en compliance: Gegevens op Kiteworks-servers zijn versleuteld tot het vereiste niveau van compliance voor FedRAMP-gebruik, inclusief gegevens in rust op een server en onderweg via een SFTP voor FedRAMP-verbinding. Evenzo kunnen andere communicatievormen, zoals e-mail voor FedRAMP, ook worden gebruikt via versleutelde verbindingen.
  • Fysieke en administratieve waarborgen: Kiteworks hanteert de vereiste fysieke en administratieve waarborgen voor FedRAMP-certificering. Dit betekent passende bescherming tegen ongeautoriseerde fysieke toegang tot een serverruimte of werkstation.
  • Private cloud-inzet: Gedeelde publieke clouds kunnen problemen opleveren voor instanties en providers die hun gegevens willen isoleren van potentiële aanvalsvlakken. Met Kiteworks krijgt u private cloud-infrastructuur, inclusief private contentcommunicatie, bestandssystemen, databaseservices en visualisatie- en loggingtools, om het verkeer van derden in en uit uw systeem te volgen.

Wilt u meer weten over de FedRAMP-geautoriseerde managed file transfer-mogelijkheden van Kiteworks? Plan vandaag nog een aangepaste demo.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks