O que é uma certificação IL5?

A IL5 é uma certificação emitida pelo Departamento de Defesa dos Estados Unidos (DoD) que autoriza um provedor de serviços em nuvem (CSP) a armazenar e processar alguns dos dados mais confidenciais do DoD. A certificação IL5 indica que um provedor de serviços em nuvem possui o nível de controles, protocolos e tecnologias necessários para lidar com segurança com informações não classificadas controladas (CUI) consideradas essenciais para a missão. Os controles de segurança exigidos para a certificação IL5 estão entre os mais rigorosos da indústria de serviços em nuvem.

O Departamento de Defesa dos EUA depende de infraestrutura e serviços de nuvem para compartilhar informações, executar aplicações de defesa e oferecer suporte a operações militares em todo o espectro de missões. Devido à presença constante de ameaças a ambientes de nuvem, o DoD exige que qualquer provedor de serviços em nuvem que trabalhe com dados do DoD cumpra uma série de requisitos de segurança e mantenha controles e proteções específicos.

O DoD utiliza um sistema de “Níveis de impacto” para classificar os dados de acordo com a sensibilidade das informações e o grau de dano potencial caso esses dados sejam perdidos, expostos, roubados ou comprometidos.

Além de classificar os dados, os Níveis de impacto permitem ao DoD avaliar a postura de segurança de uma oferta específica de CSO (serviço em nuvem) de um CSP. Uma certificação de Nível de impacto fornece uma forma resumida de entender quais provedores e ofertas de serviço podem ser utilizados para diferentes necessidades de segurança de dados.

O Nível de impacto 5, ou IL5, é uma classificação atribuída a informações não classificadas, porém altamente confidenciais e importantes. (O IL-6 é a classificação mais alta e é reservado a sistemas e dados classificados como SECRET.) Uma certificação IL5 permite que fornecedores armazenem e processem informações não classificadas controladas (CUI), informações essenciais para a missão e informações de sistemas de segurança nacional. Isso inclui dados que podem potencialmente resultar em perda de vidas, em sérios danos à capacidade do Departamento de Defesa (DoD) de conduzir operações ou em danos catastróficos à segurança nacional.

Atualmente, existem quatro Níveis de impacto do DoD, que representam diferentes níveis de confidencialidade dos dados.

• O Nível de impacto 2 (IL2) é destinado a informações do DoD aprovadas para divulgação pública
• O Nível de impacto 4 (IL4) é destinado a informações não classificadas controladas (CUI) do DoD
• O Nível de impacto 5 (IL5) é destinado a CUI e NSS (Sistemas de Segurança Nacional) do DoD
• O Nível de impacto 6 (IL6) é destinado a informações classificadas do DoD até o nível de classificação SECRET

A DISA (Defense Information Systems Agency, Agência de Sistemas de Informação de Defesa) faz parte do DoD e é responsável por desenvolver e manter o CC SRG (Guia de Requisitos de Segurança de Computação em Nuvem) do DoD. Esse documento define os requisitos básicos de segurança para avaliar a postura de segurança de um CSO e apoia o processo de tomada de decisão para conceder uma autorização provisória (PA) que permita que um CSP hospede missões do DoD.

O FedRAMP (Federal Risk and Authorization Management Program) é um programa governamental de abrangência nacional responsável por desenvolver e gerenciar uma abordagem padronizada para avaliar, autorizar e monitorar continuamente produtos e serviços de CSPs. O FedRAMP supervisiona um processo de avaliação e autorização (incluindo autorizações provisórias de níveis baixo, moderado e alto) que certifica CSPs para trabalhar com diversas agências federais e armazenar e processar diferentes níveis de informações confidenciais. Qualquer CSP que deseje trabalhar com o governo federal e suas agências deve obter uma certificação FedRAMP. No entanto, as empresas que desejam uma certificação IL5 precisam seguir etapas adicionais e incorporar controles de segurança ainda mais rigorosos.

Os CSPs devem obter uma certificação IL5 para trabalhar com dados que incluam:

• CUI que exige um nível de segurança mais alto do que o fornecido pelo DoD IL4. Isso inclui informações em várias categorias, como infraestrutura crítica, defesa, controle de exportações, inteligência, aplicação da lei, finanças, energia nuclear, privacidade e outras.
• Informações que façam parte de Sistemas de Segurança Nacional (NSS). Isso inclui informações relacionadas a atividades de inteligência, atividades criptológicas voltadas à segurança nacional, informações usadas no comando e controle de forças militares, informações para equipamentos que fazem parte integrante de sistemas de armas e dados que possibilitam funções críticas ao cumprimento direto de missões militares ou de inteligência.

Obter uma certificação IL5 exige uma avaliação rigorosa de segurança e a adoção de alguns dos controles físicos, lógicos e criptográficos mais rigorosos. Isso inclui os controles necessários para obter uma autorização FedRAMP High, além de diversos requisitos adicionais necessários para proteger Sistemas de Segurança Nacional e garantir o mais alto nível de segurança para CUI.

Uma certificação IL5 requer uma variedade de controles em várias categorias.

• Projeto de infraestrutura e arquitetura de segurança: os CSPs podem precisar implementar segmentação de rede, sistemas de detecção de invasão, configurações robustas de firewall e canais de comunicação criptografados.
• Controles de identidade e gerenciamento de acesso: a autenticação multifator (MFA), controles de acesso baseados em função e gerenciamento de acesso privilegiado ajudam a impedir que usuários não autorizados acessem dados e sistemas críticos.
• Criptografia de dados: para garantir que qualquer informação exposta permaneça ilegível, mecanismos fortes de criptografia são essenciais para dados em repouso, em trânsito e em uso.
• Monitoramento contínuo: O monitoramento contínuo, utilizando sistemas de detecção de invasão e gerenciamento de informações e eventos de segurança (SIEM), ajuda a identificar e mitigar ameaças rapidamente.
• Práticas seguras de DevOps: os CSPs podem prevenir vulnerabilidades no processo de desenvolvimento adotando práticas e metodologias de codificação segura, realizando testes de segurança regulares e automatizados para identificar e corrigir vulnerabilidades.
• Gerenciamento de patches e atualizações: manter uma cadência regular de aplicação de patches de segurança e atualização de sistemas é essencial. Testes de penetração e avaliações de vulnerabilidade ajudam a identificar falhas que podem ser exploradas por invasores.
• Documentação e relatórios: os CSPs devem fornecer documentação abrangente de seus controles de segurança e esforços de conformidade, incluindo registros detalhados de políticas, procedimentos e auditorias.
• Gerenciamento de risco de terceiros: as avaliações de risco de terceiros são cruciais para identificar lacunas de segurança e prevenir ameaças que possam surgir dentro da cadeia de suprimentos de uma organização.