Hvis du har tenkt å levere nettskytjenester til føderale organer i USA, angir dette dokumentet hva du har å forholde deg til.

Klare krav til skytjenester til det offentlige

USAs myndigheter kunngjør 300 kriterier for blant annet sikkerhet og risiko.

I USA er føderale organer pålagt, som ledd i offentlige innsparinger, å vurdere nettskytjenester der det er mulig.

For å gi klarhet i hva «mulig» faktisk vil si, ble det 8. desember i fjor opprettet en egen myndighet for forhåndsgodkjenning av tjenester som leveres over nettet, kalt FedRAMP (Federal Risk and Authorization Management Program).

FedRAMP skal være operativ i løpet av juni. I forrige uke offentliggjorde de et 47 siders dokument kalt «Concept of Operations» (CONOS) med trinn for trinn beskrivelse av hva nettskyleverandører må gjøre for å få sine tjenester klarert.

Prinsippet er at en tjeneste som er klarert én gang for levering til et føderalt organ, skal kunne leveres til andre organer uten behov for ytterligere godkjenning.

FedRAMP etablerer samtidig en prioritering, slik at de viktigste tjenestene stiller først i godkjenningskøen. De som er pekt ut, er e-post, samhandling og dokumentlagring.

CONOS-dokumentet inneholder rundt 300 kriterier for hver tjeneste, som skal vurderes av uavhengige revisorer. Blant de viktigste kriteriene er lagringssikkerhet, informasjonsvern og evne til å håndtere sikkerhetsbrudd.

FedRAMP er foreløpig finansiert gjennom en bevilgning fra statsbudsjettet. Meningen er at den skal bli selvfinansierende innen 2014.

Det vil åpenbart være viktig for store aktører som Google og Microsoft å få sine nettskytjenester godkjent av FedRAMP.

OBS: Teksten er rettet, slik at femte avsnitt ikke lenger feilaktig kaller til e-post, samhandling og dokumentlagring som infrastrukturtjenester.

Til toppen