Subiecte în pagină

Obținerea ATO pentru aplicații cloud cu Oracle

Ce este autorizația de funcționare?

Toate sistemele informatice federale trebuie să primească o autorizație de funcționare (ATO) înainte de a fi plasate în starea de producție. ATO este emisă după ce sistemul informatic a fost evaluat, iar un funcționar de rang înalt al agenției (AO) - de cele mai multe ori, directorul IT - a acceptat explicit riscul funcționării acestuia (inclusiv misiunea, funcțiile, imaginea și reputația), activele, persoanele și alte organizații. ATO este acordată de AO, iar fiecare agenție stabilește criteriile ATO pentru sistemele sale informatice, deși Institutul Național de Standarde și Tehnologie oferă îndrumări prin procesul Cadrul de management al riscului (RMF). Aceste proceduri și îndrumări derivă din Legea federală de modernizare a securității informatice.

Când se efectuează evaluări ale riscurilor și se acordă ATO pentru sistemele informatice care utilizează oferte de servicii în cloud, agențiile pot utiliza Programul federal de autorizare și gestionare a riscurilor (FedRAMP). FedRAMP le permite agențiilor să accelereze adoptarea tehnologiei cloud, creând standarde și procese transparente pentru autorizațiile de securitate și permițându-le agențiilor să utilizeze autorizațiile de securitate la scară guvernamentală. ATO provizorie (P-ATO) FedRAMP oferă AO dovezi că au fost respectate anumite controale de securitate, astfel încât să nu trebuiască să repete etapele RMF pentru controalele respective. P-ATO FedRAMP pot fi acordate fie de Comisia de autorizare comună (JAB), fie printr-o agenție.

Ghidul normelor de securitate pentru tehnologia cloud al Departamentului Apărării SUA (DOD) definește nivelurile de impact 2, 4, 5 și 6 ale informațiilor pentru misiunile DOD, precum și pașii suplimentari pe care trebuie să-i facă organizațiile DOD pentru a obține ATO.

Oracle Cloud FedRAMP High P-ATO

Toate serviciile IaaS și PaaS Oracle disponibile1 în Oracle Government Cloud au FedRAMP High Provisional Authorization, așa cum se arată în FedRAMP marketplace. După cum s-a menționat, acordarea ATO de către JAB pentru organizațiile de servicii cloud este provizorie, deoarece numai agenția însăși are autoritatea de a emite o ATO finală pentru sistemele sale informatice. Implementarea, testarea și documentarea controalelor vor fi evaluate de agenție înainte ca AO al agenției să emită ATO, dar P-ATO simplifică mult și accelerează procesul.

FedRAMP elimină eforturile suplimentare prin furnizarea unui cadru de securitate comun pentru agențiile federale, care își pot revizui normele de securitate conform unei baze standardizate. Un furnizor de servicii în cloud este supus procesului de evaluare și autorizare pentru fiecare ofertă de servicii în cloud (CSO), iar după obținerea P-ATO pentru CSO, pachetul de securitate poate fi reutilizat de orice agenție federală, ca parte a procesului ATO. Pachetul de securitate FedRAMP pentru cloudul guvernamental american de la Oracle poate fi reutilizat pentru a reduce povara administrativă a unei agenții și a scurta procesul de acordare a ATO prin „moștenirea” autorizațiilor P-ATO High JAB pentru IaaS și PaaS.

1 La cererea agenției, anumite servicii care au finalizat evaluarea terță dar nu sunt încă autorizate FedRAMP pot deveni disponibile înainte de a primi autorizarea finală.

Obținerea ATO pentru agenție

Procesul ATO diferă în funcție de agenție și poate include alte cerințe, procese, standarde și proceduri decât cele menționate aici. Totuși, la nivel înalt, procesul ATO al agenției cu ofertele de servicii Oracle Cloud are cinci pași.

  1. Personalul de securitate informatică din agenție poate solicita pachetul de documentație de securitate auditat de Oracle, emis de JAB, folosind formularul de Cerere de acces la pachete (PDF) din FedRAMP marketplace și ID-ul de pachet FR1900048743.
  2. La primirea cererii, Oracle va configura o sală de lectură virtuală, cu acces securizat la pachetul de documente de securitate, care include planul privind securitatea sistemului, planul de evaluare a securității, raportul de evaluare a securității și planul de acțiune, cu principalele repere. Această documentație este extrem de sensibilă și face obiectul unui acord de confidențialitate. Agenției nu îi este permis să păstreze, să copieze sau să distribuie conținutul pachetului de securitate în afara sălii de lectură virtuale.
  3. Personalul sistemului informatic al agenției poate contacta echipa de conformitate Oracle sau Biroul de gestionare a programelor FedRAMP, dacă are întrebări.
  4. AO examinează și documentează orice controale de securitate suplimentare pentru domeniul de activitate respectiv - dincolo de controalele FedRAMP evaluate ca parte a P-ATO JAB de la Oracle.
  5. AO efectuează o evaluare finală a pachetului de autorizare combinat. Dacă acesta îndeplinește cerințele de securitate, AO al agenției emite ATO. Șabloanele sunt disponibile pe fedramp.gov.

Asistență ATO de la parteneri Oracle

Oracle are drept parteneri mai multe organizații care sunt familiarizate cu procesul ATO și pot ajuta agențiile să facă pașii necesari pentru a obține ATO. Pentru mai multe informații despre acești parteneri, accesați site-urile web care urmează.