Mit Oracle ATOs für Cloud-Anwendungen erlangen

Was versteht man unter einer Betriebsgenehmigung (ATO, Authorization to Operate)?

Allen Bundesinformationssystemen muss for der Inbetriebnahme eine „Betriebsgenehmigung“ (ATO, Authorization to Operate) erteilt werden. Eine ATO wird ausgestellt, wenn ein Informationssystem bewertet wurde und der Agency Authorizing Official (AO) – ein hochrangiger Beamter, der häufig der CIO ist – das Risiko für den Betrieb (einschließlich Mission, Funktionen, Image und Ruf), Vermögenswerte, Einzelpersonen und andere Organisationen ausdrücklich akzeptiert hat. Die ATO wird vom AO erteilt, wobei jede Behörde die ATO-Kriterien für ihre Informationssysteme selbst festlegt, obwohl das National Institute of Standards and Technology eine Anleitung mit dem Risk Management Framework-(RMF-)Prozess zur Verfügung gestellt hat. Diese Verfahren und Anleitungen basieren auf dem Federal Information Security Modernization Act (Bundesgesetz zur Modernisierung der Datensicherheit).

Bei der Durchführung von Risikobewertungen und der Erteilung von ATOs für Informationssysteme, die Cloud-Service-Angebote nutzen, können Behörden das Federal Risk Authorization and Management Program (FedRAMP) verwenden. Mit FedRAMP können Behörden die Einführung von Cloud-Computing beschleunigen, indem transparente Standards und Prozesse für Sicherheitsautorisierungen geschaffen werden. Außerdem ist die Nutzung von Sicherheitsautorisierungen auf regierungsweiter Ebene möglich. Die vorläufige FedRAMP-ATO (P-ATO) liefert AOs den Nachweis, dass bestimmte Sicherheitskontrollen erfüllt wurden, sodass sie die RMF-Schritte für diese spezifischen Kontrollen nicht wiederholen müssen. FedRAMP P-ATOs können entweder vom Joint Authorization Board (JAB) oder durch eine Behörde erteilt werden.

Der Cloud Computing Security Requirements Guide der Defense Information Systems Agency des US-Verteidigungsministeriums (DOD) legt die Informationsauswirkungsstufen (Impact Levels) 2, 4, 5 und 6 für DOD-Missionen sowie die zusätzlichen Schritte fest, die DOD-Organisationen unternehmen müssen, um ihre ATOs zu erhalten.

Oracle Cloud FedRAMP High P-ATO

Alle IaaS- und PaaS-Services von Oracle1, die in der Oracle Government Cloud verfügbar sind, haben eine FedRAMP High Provisional Authorization (siehe FedRAMP Marketplace). Wie bereits erwähnt, ist die ATO, die das JAB für Cloud-Service-Organisationen ausstellt, vorläufig, da nur die Behörde selbst befugt ist, eine endgültige ATO für ihre Informationssysteme auszustellen. Die Implementierung, Prüfung und Dokumentation von Kontrollen wird vor der Ausstellung einer ATO durch den Behörden-AO von der Behörde bewertet. Dieser Prozess wird durch die P-ATO erheblich vereinfacht und beschleunigt.

FedRAMP verhindert die doppelte Arbeit, indem es Bundesbehörden ein gemeinsames Sicherheits-Framework bietet, um ihre Sicherheitsanforderungen anhand einer standardisierten Baseline zu überprüfen. Ein Cloud Service Provider (CSP) durchläuft den Bewertungs- und Autorisierungsprozess für jedes Cloud-Service-Angebot (CSO), und nachdem er eine P-ATO für sein CSO erreicht hat, kann das Sicherheitspaket von jeder Bundesbehörde im Rahmen ihres ATO-Prozesses wiederverwendet werden. Das FedRAMP-Sicherheitspaket für die US Government Cloud von Oracle kann wiederverwendet werden, um den Verwaltungsaufwand einer Behörde zu reduzieren und den ATO-Prozess zu verkürzen, indem IaaS- und PaaS-P-ATO-High-JAB-Genehmigungen „übernommen“ werden.

1 Auf Anfrage einer Behörde können bestimmte Services, deren Bewertung durch Dritte abgeschlossen wurde, aber noch nicht FedRAMP-autorisiert sind, verfügbar gemacht werden, während die Services auf die endgültige Genehmigung warten.

Behörden-ATO erlangen

Der ATO-Prozess variiert je nach Behörde und kann Anforderungen, Prozesse, Standards und Verfahren umfassen, die von den hier bereitgestellten Informationen abweichen. Im Allgemeinen besteht der Behörden-ATO-Prozess mit Oracle Cloud Service-Angeboten jedoch aus fünf Schritten.

  1. Das für die Datensicherheit verantwortliche Behördenpersonal kann das vom JAB herausgegebene geprüfte Sicherheitsdokumentationspaket von Oracle mit dem Package Access Request Form (PDF) im FedRAMP Marketplace und über die Paket-ID FR1900048743 anfordern.
  2. Nach Eingang der Anforderung richtet Oracle einen virtuellen Leseraum mit sicherem Zugriff auf das Sicherheitsdokumentationspaket ein, das den Systemsicherheitsplan, den Sicherheitsbewertungsplan, den Sicherheitsbewertungsbericht sowie den Aktionsplan und die Meilensteine ​​umfasst. Diese Dokumentation ist äußerst vertraulich und unterliegt einer Geheimhaltungsvereinbarung. Es ist der Behörde nicht gestattet, den Inhalt des Sicherheitspakets außerhalb des virtuellen Leseraums aufzubewahren, zu vervielfältigen bzw. zu verbreiten.
  3. Das für das Informationssystem zuständige Behördenpersonal kann sich bei Fragen an das Compliance-Team von Oracle oder das FedRAMP Program Management Office wenden.
  4. Der AO überprüft und dokumentiert alle zusätzlichen Sicherheitskontrollen für ihre spezifische Anwendung – über die im Rahmen der JAB P-ATO von Oracle bewerteten FedRAMP-Kontrollen hinaus.
  5. Der AO führt eine abschließende Prüfung des kombinierten Genehmigungspakets durch. Werden hier die Sicherheitsanforderungen erfüllt, stellt der Behörden-AO eine ATO aus. Vorlagen finden Sie auf der Website fedramp.gov.

ATO-Unterstützung von Oracle Partners

Oracle hat mehrere Partnerorganisationen, die mit dem ATO-Prozess vertraut sind und Behörden bei den erforderlichen Schritten zum Erreichen ihrer ATO unterstützen können. Weitere Informationen zu diesen Partnern finden Sie auf den folgenden Websites.