Che cos'è la Certificazione IL5?

Si tratta di una certificazione del Dipartimento della difesa (DoD) degli Stati Uniti che autorizza un provider di servizi cloud (CSP) ad archiviare e ad elaborare alcuni dei dati più sensibili del DoD. La certificazione IL5 indica che un CSP dispone dei livelli di controlli, protocolli e tecnologie necessari per gestire in modo sicuro le informazioni controllate non classificate (CUI), che sono ritenute mission-critical. I controlli di sicurezza richiesti per la certificazione IL5 sono tra i più rigorosi nel settore dei servizi cloud .

Quali sono i livelli di impatto del DoD?

Il Dipartimento della difesa degli Stati Uniti si affida all'infrastruttura e ai servizi cloud per la condivisione delle informazioni, l'esecuzione di applicazioni di difesa e la fornitura di supporto ai combattimenti in un'ampia gamma di operazioni militari. A causa della costante presenza di minacce agli ambienti cloud, il DoD richiede a qualsiasi CSP che lavora con i dati DoD di conformarsi ad una serie di requisiti di sicurezza e di disporre di determinati controlli e sistemi di protezione.

Il DoD utilizza un sistema a "livello di impatto" per classificare i dati in base a quanto sono sensibili le informazioni e a quanto sarebbero dannose se i dati venissero persi, esposti, rubati o compromessi.

Oltre a classificare i dati, i livelli di impatto consentono al DoD di valutare il livello di sicurezza di una specifica offerta di servizi cloud (CSO) da parte di un CSP. Una certificazione di livello di impatto fornisce una descrizione dei CSP e CSO che possono essere utilizzati per diverse esigenze di sicurezza dei dati.

Il livello di impatto 5, o IL5, è una classificazione assegnata a informazioni non classificate, ma altamente sensibili e importanti (IL-6 è la classificazione più alta, che è riservata ai sistemi informativi e ai dati classificati come SECRET). Una certificazione IL5 consente ai fornitori di archiviare ed elaborare informazioni controllate non classificate (CUI), informazioni mission-critical e informazioni sui sistemi di titoli nazionali, tra cui dati che potrebbero potenzialmente causare perdite di vite umane, gravi danni alla capacità del DoD di condurre operazioni o danni catastrofici alla sicurezza nazionale.

Qual è la differenza tra i livelli di impatto?

Attualmente, sono presenti quattro livelli di impatto del DoD che rappresentano diversi livelli di sensibilità dei dati.

Il livello di impatto 2 (IL2) riguarda le informazioni DoD approvate per il rilascio pubblico
Il livello di impatto 4 (IL4) si riferisce alle informazioni non classificate controllate dal DoD (CUI)
Il livello di impatto 5 (IL5) si riferisce alle CUI del DoD e dei sistemi NSS (National Security System)
Il livello di impatto 6 (IL6) riguarda le informazioni classificate del DoD fino alla classificazione SECRET

Quale agenzia gestisce la certificazione IL5?

La DISA (Defense Information Systems Agency) fa parte del DoD ed è responsabile dello sviluppo e della manutenzione della CC SRG (Cloud Computing Security Requirements Guide) del DoD. Questo documento definisce i requisiti di sicurezza di riferimento per la valutazione del livello di sicurezza di un CSO e supporta il processo decisionale per il rilascio di un'autorizzazione provvisoria (PA) per consentire a un CSP di ospitare missioni del DoD.

In che modo la certificazione FedRAMP è correlata alla certificazione IL5?

Il programma federale di gestione delle autorizzazioni e dei rischi (FedRAMP) è un programma governativo degli Stati Uniti, che si propone di sviluppare e gestire un approccio standardizzato alla valutazione, all'autorizzazione e al monitoraggio continuo di prodotti e servizi da parte dei CSP. Il FedRAMP supervisiona un processo di valutazione e autorizzazione (inclusa l'autorizzazione provvisoria bassa, moderata e alta) che certifica i CSP che collaborano con una varietà di agenzie federali e che memorizzano ed elaborano diversi livelli di informazioni sensibili. Tutti i CSP che desiderano collaborare con il governo federale e le sue agenzie devono ottenere una certificazione FedRAMP. Tuttavia, le aziende che desiderano una certificazione IL5 devono adottare ulteriori misure e integrare controlli di sicurezza ancora più efficaci.

Che tipo di informazioni richiede una certificazione IL5?

I CSP devono ottenere una certificazione IL5 per lavorare con dati che includono:

CUI che richiede un livello di sicurezza più elevato rispetto a quello fornito dal livello IL4 del DoD. Sono incluse informazioni relative a un'ampia gamma di categorie, tra cui informazioni su infrastrutture critiche, difesa, controllo delle esportazioni, intelligence, forze dell'ordine, settore finanziario, nucleare, privacy e molto altro.
Informazioni che fanno parte dei sistemi di sicurezza nazionale (NSS). Sono incluse informazioni che fanno parte delle attività di intelligence, attività crittografiche correlate alla sicurezza nazionale, informazioni utilizzate per il comando e il controllo delle forze militari, informazioni per le apparecchiature che svolgono una parte integrante dei sistemi di armi e i dati che consentono funzioni critiche per la realizzazione diretta di missioni militari o di intelligence.

Che tipo di controlli di sicurezza sono richiesti per la certificazione IL5?

Il conseguimento di una certificazione IL5 richiede una rigorosa valutazione della sicurezza e l'adozione di alcuni dei più rigorosi controlli di isolamento fisici, logici e crittografici, tra cui i controlli necessari per ottenere un'autorizzazione FedRAMP elevata insieme a una serie di requisiti aggiuntivi necessari per proteggere i sistemi di sicurezza nazionale e fornire il massimo livello di sicurezza per le CUI.

Una certificazione IL5 richiede una varietà di controlli in diverse categorie.

Progettazione dell'infrastruttura e architettura di sicurezza: i CSP potrebbero avere la necessità di implementare la segmentazione della rete, sistemi di rilevamento delle intrusioni, solide configurazioni dei firewall e canali di comunicazione crittografati.
Controlli di gestione delle identità e degli accessi: L'autenticazione multifattore (MFA), i controlli degli accessi basati sui ruoli e la gestione degli accessi con privilegi aiutano a impedire agli utenti non autorizzati di accedere a dati e sistemi critici.
Crittografia dei dati: per garantire che le informazioni rese visibili rimangano illeggibili, è fondamentale adottare solidi meccanismi di crittografia per i dati inattivi, in transito e in uso.
Monitoraggio continuo: il monitoraggio continuo tramite il rilevamento delle intrusioni e i sistemi SIEM (Security Information and Event Management) aiutano a individuare e mitigare rapidamente le minacce.
Pratiche DevOps sicure: i CSP possono prevenire le vulnerabilità del sistema di sicurezza nel processo di sviluppo tramite l'adozione di pratiche e metodologie di codifica sicure, eseguendo test di sicurezza regolari e automatizzati per identificare e risolvere le vulnerabilità.
Gestione degli aggiornamenti e delle patch: è essenziale applicare le patch di sicurezza e aggiornare i sistemi con cadenza regolare. I test di penetrazione e le valutazioni delle vulnerabilità possono aiutare a scoprire le vulnerabilità che possono essere sfruttate dai criminali.
Documentazione e rapporti: i CSP devono fornire una documentazione completa dei controlli di sicurezza e delle attività di conformità che eseguono, inclusi record dettagliati relativi a policy, procedure e audit.
Gestione dei rischi di terze parti: le valutazioni dei rischi di terze parti sono fondamentali per identificare le lacune nella sicurezza e prevenire le minacce che possono presentarsi all'interno della supply chain di un'organizzazione.

Domande frequenti (FAQ)

La certificazione IL5 è essenziale per le aziende che desiderano supportare i carichi di lavoro dei clienti del settore pubblico negli Stati Uniti.

Le certificazioni FedRAMP e i livelli di impatto del DoD sono entrambi coinvolti nella valutazione delle funzionalità di sicurezza dei prodotti e dei servizi cloud, ma queste autorizzazioni sono diverse per ambito e attenzione. Il FedRAMP è un programma governativo progettato per garantire la sicurezza dei sistemi basati su cloud che archiviano ed elaborano i dati governativi e la certificazione FedRAMP è il livello minimo di sicurezza per tutti i servizi cloud del DoD. I livelli di impatto sono specifici degli standard di cybersecurity richiesti dal DoD per proteggere le valutazioni mission-critical.

Per i provider di servizi cloud, una certificazione IL5 apre la porta a ulteriori opportunità per la protezione dei contratti con gli enti governativi che richiedono servizi cloud conformi ai più elevati standard di sicurezza. Per le agenzie governative, il processo di certificazione IL5 fornisce un modo rapido ed altamente efficiente per trovare e contrattare con un CSP. Anche le aziende del settore privato possono trarre vantaggio dalla collaborazione con i CSP che hanno ottenuto una certificazione IL5, poiché questa distinzione garantisce che il provider si impegni a fornire i massimi livelli di sicurezza e può aiutare meglio le aziende a raggiungere la resilienza informatica.

Perché i clienti scelgono Akamai

Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, l'innovativa intelligence sulle minacce e il team presente su scala globale forniscono una difesa approfondita in grado di proteggere applicazioni e dati critici ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere le loro attività senza rischi.

Prodotti correlati

Akamai Guardicore Segmentation

Visualizzazione, protezione e segmentazione di ambienti on-premise, cloud e ibridi.

Ulteriori informazioni

Sicurezza Zero Trust

Copertura completa della cybersecurity unita ad una visibilità approfondita e un controllo granulare.

Ulteriori informazioni

Risorse aggiuntive

Iniziate il percorso Zero Trust con il piede giusto

Le aziende riscontrano problemi con i loro progetti Zero Trust. Garantitevi il successo con una roadmap strategica stilata da Gartner®.

Ulteriori informazioni

La roadmap per un eccellente sistema di sicurezza

Creare un piano Zero Trust pratico con il modello ZTMM sviluppato dalla CISA. Conoscere i cinque pilastri e le tre funzionalità fondamentali per migliorare la sicurezza.

Ulteriori informazioni

Migliorare la sicurezza Zero Trust con Akamai

Akamai consente alle agenzie federali di migliorare la sicurezza Zero Trust con la microsegmentazione, la sicurezza delle API e i controlli di accesso dinamico allineati agli elementi fondamentali della CISA.

Ulteriori informazioni

Pagine correlate

Scoprite ulteriori informazioni sugli argomenti correlati e sulle tecnologie nelle pagine elencate di seguito.

Scoprite tutte le soluzioni per la sicurezza di Akamai

Vai avanti

Sicurezza

Sicurezza di app e API

Sicurezza Zero Trust

Protezione dagli abusi e dai bot

SICUREZZA DELL'INFRASTRUTTURA

Cloud computing

Delivery dei contenuti

PERFORMANCE DELLE APPLICAZIONI

DISTRIBUZIONE DI MEDIA

APPLICAZIONI EDGE

MONITORAGGIO, GENERAZIONE DI RAPPORTI ED ESECUZIONE DI TEST

CLOUD COMPUTING

SICUREZZA

DELIVERY DI CONTENUTI

Libreria

Che cos'è la Certificazione IL5?

Quali sono i livelli di impatto del DoD?

Qual è la differenza tra i livelli di impatto?

Quale agenzia gestisce la certificazione IL5?

In che modo la certificazione FedRAMP è correlata alla certificazione IL5?

Che tipo di informazioni richiede una certificazione IL5?

Che tipo di controlli di sicurezza sono richiesti per la certificazione IL5?

Domande frequenti (FAQ)