الحصول على سلطات تشغيل تطبيقات السحابية باستخدام Oracle
ما المقصود بسلطة التشغيل؟
يجب منح كافة أنظمة المعلومات الفيدرالية سلطة التشغيل (ATO) قبل وضعها في حالة الإنتاج. يتم إصدار سلطة تشغيل عند تقييم نظام المعلومات ويكون مسؤول اعتماد الوكالة (AO)—مسئول رفيع المستوى في كثير من الأحيان هو مدير المعلومات التنفيذي—قبِل صراحة خطر العمليات (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول والأفراد والمنظمات الأخرى. يتم منح سلطة التشغيل من مسؤول الاعتماد، وتحدد كل وكالة معايير سلطة التشغيل لأنظمة المعلومات الخاصة بها، على الرغم من أن المعهد الوطني للمعايير والتكنولوجيا قدم إرشادات مع عملية إطار عمل إدارة المخاطر (RMF). يتم اشتقاق هذه الإجراءات والتوجيهات من قانون تحديث أمان المعلومات الفيدرالية.
عند إجراء تقييمات المخاطر ومنح سلطات التشغيل لأنظمة المعلومات التي تستخدم عروض الخدمات السحابية، فيمكن للوكالات استخدام برنامج اعتماد وإدارة المخاطر الفيدرالية (FedRAMP). تمكّن FedRAMP الوكالات من تسريع اعتماد الحوسبة السحابية من خلال إنشاء معايير وعمليات شفافة للحصول على أذونات الأمان والسماح للوكالات بالاستفادة من أذونات الأمان على نطاق حكومي. توفر سلطة التشغيل المؤقتة (P-ATO) لـ FedRAMP مسؤولو الاعتماد بأدلة على استيفاء ضوابط أمنية معينة حتى لا تضطر إلى تكرار خطوات إطار عمل إدارة المخاطر لتلك الضوابط المحددة. يمكن منح سلطات التشغيل المؤقتة لـ FedRAMP من مجلس الاعتماد المشترك (JAB) أو من خلال وكالة.
يحدد دليل متطلبات أمان الحوسبة السحابية لوكالة أنظمة معلومات الدفاع بوزارة الدفاع الأمريكية (DOD) مستويات تأثير المعلومات 2 و4 و5 و6 لمهام DOD بالإضافة إلى الخطوات الإضافية التي يجب على منظمات DOD اتخاذها للحصول على سلطات التشغيل.
Oracle Cloud FedRAMP High P-ATO
تتوفر جميع خدمات IaaS وPaaS من Oracle 1 في Oracle Government Cloudباعتماد مؤقت عالي لـ FedRAMP، كما هو موضح في سوق FedRAMP. وكما ذُكر، تعد سلطة التشغيل التي تصدرها مجلس الاعتماد المشترك لمنظمات الخدمات السحابية مؤقتة لأن الوكالة ذاتها وحدها هي التي تملك سلطة إصدار سلطة تشغيل نهائي لأنظمة المعلومات الخاصة بها. تقيم الوكالة تنفيذ الضوابط واختبارها وتوثيقها قبل أن يصدر مسؤول الاعتماد بالوكالة سلطة التشغيل، إلا أن سلطة التشغيل المؤقتة تبسط العملية وتسرعها إلى حد كبير.
يلغي FedRAMP الجهود المكررة من خلال توفير إطار أمني مشترك للوكالات الفيدرالية لمراجعة متطلباتها الأمنية مقابل اعتماد موحد. يخضع مزود الخدمة السحابية لعملية التقييم والاعتماد لكل عرض خدمة سحابية (CSO)، وبعد الحصول على سلطة التشغيل المؤقتة لـ CSO، يمكن إعادة استخدام حزمة الأمان بواسطة أي وكالة فيدرالية كجزء من عملية سلطة التشغيل. يمكن إعادة استخدام حزمة أمان FedRAMP لسحابة حكومة الولايات المتحدة الأمريكية من Oracle لتقليل الأعباء الإدارية على الوكالة وتقصير عملية الحصول على سلطة تشغيل عن طريق "اكتساب" اعتمادات مجلس الاعتماد المشترك العالية للحصول على أذونات التشغيل المؤقت لدى IaaS وPaaS.
1 بناءً على طلب الوكالة، يمكن إتاحة بعض الخدمات التي أتمت تقييم الجهات الخارجية ولكن لم يتم اعتمادها بعد على أنها FedRAMP، بينما تنتظر الخدمات اعتمادًا نهائيًا.
الحصول على سلطة تشغيل الوكالة
تختلف عملية الحصول على سلطة تشغيل حسب الوكالة وقد تتضمن المتطلبات والعمليات والمعايير والإجراءات التي تختلف عن المعلومات المقدمة هنا. ومع ذلك، وعلى المستوى التفصيلي، تشمل عملية الحصول على سلطة تشغيل الوكالة لعروض خدمات Oracle Cloud خمس خطوات.
- يمكن لموظفي أمان معلومات الوكالة طلب حزمة وثائق الأمان التي تم تدقيقها من Oracle، الصادرة عن مجلس الاعتماد المشترك، باستخدام نموذج طلب الوصول إلى الحزمة (PDF) في سوق FedRAMP ومعرف الحزمة FR1900048743.
- عند استلام الطلب، ستعد Oracle غرفة قراءة افتراضية مع وصول آمن إلى حزمة وثائق الأمان، والتي تتضمن خطة أمان النظام وخطة تقييم الأمان وتقرير تقييم الأمان وخطة العمل والمراحل الهامة. تعد هذه الوثائق حساسة للغاية وتخضع لاتفاقية سرية. غير مسموح للوكالة بالاحتفاظ بمحتويات حزمة الأمان أو نسخها أو توزيعها خارج غرفة القراءة الافتراضية.
- يمكن لموظفي نظام معلومات الوكالة الاتصال بفريق امتثال Oracle أو بمكتب إدارة البرامج لـ FedRAMP بخصوص أي أسئلة.
- يراجع مسؤول الاعتماد أي ضوابط أمان إضافية لطلباتها المحددة وتوثيقها—بخلاف ضوابط FedRAMP التي تم تقييمها كجزء من سلطة التشغيل المؤقت لمجلس الاعتماد المشترك من Oracle.
- يجري مسؤول الاعتماد مراجعة نهائية لحزمة الاعتماد المجمعة. وإذا استوفت هذه المتطلبات الأمنية، يصدر مسؤول الاعتماد بالوكالة سلطة التشغيل. تتوفر القوالب في Fedramp.gov.
المساعدة في الحصول على سلطة تشغيل من شركاء Oracle
لدى Oracle العديد من المنظمات الشريكة التي على دراية بعملية الحصول على سلطة التشغيل ويمكنها مساعدة الوكالات في الخطوات المطلوبة للحصول على سلطة التشغيل. تفضل بزيارة مواقع الويب التالية للحصول على مزيد من المعلومات حول هؤلاء الشركاء.