Allen Bundesinformationssystemen muss for der Inbetriebnahme eine „Betriebsgenehmigung“ (ATO, Authorization to Operate) erteilt werden. Eine ATO wird ausgestellt, wenn ein Informationssystem bewertet wurde und der Agency Authorizing Official (AO) – ein hochrangiger Beamter, der häufig der CIO ist – das Risiko für den Betrieb (einschließlich Mission, Funktionen, Image und Ruf), Vermögenswerte, Einzelpersonen und andere Organisationen ausdrücklich akzeptiert hat. Die ATO wird vom AO erteilt, wobei jede Behörde die ATO-Kriterien für ihre Informationssysteme selbst festlegt, obwohl das National Institute of Standards and Technology eine Anleitung mit dem Risk Management Framework-(RMF-)Prozess zur Verfügung gestellt hat. Diese Verfahren und Anleitungen basieren auf dem Federal Information Security Modernization Act (Bundesgesetz zur Modernisierung der Datensicherheit).
Bei der Durchführung von Risikobewertungen und der Erteilung von ATOs für Informationssysteme, die Cloud-Service-Angebote nutzen, können Behörden das Federal Risk Authorization and Management Program (FedRAMP) verwenden. Mit FedRAMP können Behörden die Einführung von Cloud-Computing beschleunigen, indem transparente Standards und Prozesse für Sicherheitsautorisierungen geschaffen werden. Außerdem ist die Nutzung von Sicherheitsautorisierungen auf regierungsweiter Ebene möglich. Die vorläufige FedRAMP-ATO (P-ATO) liefert AOs den Nachweis, dass bestimmte Sicherheitskontrollen erfüllt wurden, sodass sie die RMF-Schritte für diese spezifischen Kontrollen nicht wiederholen müssen. FedRAMP P-ATOs können entweder vom Joint Authorization Board (JAB) oder durch eine Behörde erteilt werden.
Der Cloud Computing Security Requirements Guide der Defense Information Systems Agency des US-Verteidigungsministeriums (DOD) legt die Informationsauswirkungsstufen (Impact Levels) 2, 4, 5 und 6 für DOD-Missionen sowie die zusätzlichen Schritte fest, die DOD-Organisationen unternehmen müssen, um ihre ATOs zu erhalten.
Alle IaaS- und PaaS-Services von Oracle1, die in der Oracle Government Cloud verfügbar sind, haben eine FedRAMP High Provisional Authorization (siehe FedRAMP Marketplace). Wie bereits erwähnt, ist die ATO, die das JAB für Cloud-Service-Organisationen ausstellt, vorläufig, da nur die Behörde selbst befugt ist, eine endgültige ATO für ihre Informationssysteme auszustellen. Die Implementierung, Prüfung und Dokumentation von Kontrollen wird vor der Ausstellung einer ATO durch den Behörden-AO von der Behörde bewertet. Dieser Prozess wird durch die P-ATO erheblich vereinfacht und beschleunigt.
FedRAMP verhindert die doppelte Arbeit, indem es Bundesbehörden ein gemeinsames Sicherheits-Framework bietet, um ihre Sicherheitsanforderungen anhand einer standardisierten Baseline zu überprüfen. Ein Cloud Service Provider (CSP) durchläuft den Bewertungs- und Autorisierungsprozess für jedes Cloud-Service-Angebot (CSO), und nachdem er eine P-ATO für sein CSO erreicht hat, kann das Sicherheitspaket von jeder Bundesbehörde im Rahmen ihres ATO-Prozesses wiederverwendet werden. Das FedRAMP-Sicherheitspaket für die US Government Cloud von Oracle kann wiederverwendet werden, um den Verwaltungsaufwand einer Behörde zu reduzieren und den ATO-Prozess zu verkürzen, indem IaaS- und PaaS-P-ATO-High-JAB-Genehmigungen „übernommen“ werden.
1 Auf Anfrage einer Behörde können bestimmte Services, deren Bewertung durch Dritte abgeschlossen wurde, aber noch nicht FedRAMP-autorisiert sind, verfügbar gemacht werden, während die Services auf die endgültige Genehmigung warten.
Der ATO-Prozess variiert je nach Behörde und kann Anforderungen, Prozesse, Standards und Verfahren umfassen, die von den hier bereitgestellten Informationen abweichen. Im Allgemeinen besteht der Behörden-ATO-Prozess mit Oracle Cloud Service-Angeboten jedoch aus fünf Schritten.
Oracle hat mehrere Partnerorganisationen, die mit dem ATO-Prozess vertraut sind und Behörden bei den erforderlichen Schritten zum Erreichen ihrer ATO unterstützen können. Weitere Informationen zu diesen Partnern finden Sie auf den folgenden Websites.