Como obter ATOs de aplicações na nuvem com a Oracle

O que é uma Autorização para Operar?

Todos os sistemas de informações federais devem receber uma Autorização para Operar (ATO) antes de serem colocados no status de produção. Uma ATO é emitida quando um sistema de informação foi avaliado e o Oficial de Autorização da Agência (AO) – um funcionário sênior que geralmente é o CIO – aceitou explicitamente o risco para as operações (incluindo missão, funções, imagem e reputação), ativos, indivíduos e outras organizações. A ATO é concedida pelo AO, e cada agência determina os critérios da ATO para seus sistemas de informação, embora o Instituto Nacional de Padrões e Tecnologia tenha fornecido orientações com o processo de Estrutura de gerenciamento de risco (RMF). Esses procedimentos e orientações são derivados da Lei Federal de Modernização da Segurança da Informação.

Ao realizar avaliações de risco e conceder ATOs para sistemas de informação que usam ofertas de serviços em nuvem, as agências podem usar o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP ). O FedRAMP permite que as agências acelerem a adoção da computação em nuvem, criando padrões e processos transparentes para autorizações de segurança e permitindo que as agências usem as autorizações de segurança em escala governamental. A ATO provisória do FedRAMP (P-ATO) fornece aos AOs registros de que determinados controles de segurança foram atendidos para que não seja necessário repetir as etapas de RMF para esses controles específicos. As P-ATOs do FedRAMP podem ser concedidas pelo Conselho de Autorização Conjunta (JAB) ou por meio de uma agência.

O Guia de Requisitos de Segurança de Computação em Nuvem da Agência de Sistemas de Informações de Defesa do Departamento de Defesa dos EUA (DOD) define os Níveis de Impacto 2, 4, 5 e 6 das informações para missões do DOD, bem como as etapas adicionais que as organizações do DOD devem seguir para alcançar as ATOs.

Oracle Cloud FedRAMP High P-ATO

Todos os serviços de IaaS e PaaS da Oracle disponíveis1 na Oracle Government Cloud possuem autorização provisória de alto nível do FedRAMP, conforme mostrado no mercado FedRAMP. Conforme mencionado, a ATO que o JAB emite para organizações de serviços em nuvem é provisória porque somente a própria agência tem autoridade para emitir uma ATO final para seus sistemas de informação. A implementação, o teste e a documentação dos controles serão avaliados pela agência antes que a Agência AO emita uma ATO, mas a P-ATO simplifica e acelera muito o processo.

O FedRAMP elimina a duplicidade de esforços ao fornecer uma estrutura de segurança comum para agências federais revisarem seus requisitos de segurança em relação a uma linha de base padronizada. Um provedor de serviços de nuvem passa pelo processo de avaliação e autorização para cada oferta de serviço de nuvem (CSO) e, após obter P-ATO para seu CSO, o pacote de segurança pode ser reutilizado por qualquer agência federal como parte de seu processo de ATO. O pacote de segurança FedRAMP para o U.S. Government Cloud da Oracle pode ser reutilizado para reduzir a carga administrativa de uma agência e encurtar o processo de ATO ao “herdar” as autorizações IaaS e PaaS P-ATO High JAB.

1 Mediante solicitação da agência, os serviços que concluíram a avaliação de terceiros, mas ainda não foram autorizados pelo FedRAMP, podem ser disponibilizados enquanto aguardam a autorização final.

Como obter ATO da agência

O processo de ATO varia de acordo com a agência e pode incluir requisitos, processos, padrões e procedimentos que diferem das informações fornecidas aqui. Porém, em se tratando de um nível mais alto, o processo da ATO da Agência com ofertas de serviço Oracle Cloud tem cinco etapas.

  1. A equipe de segurança das informações da agência pode solicitar o pacote de documentação de segurança auditada da Oracle, emitido pelo JAB, usando o formulário de solicitação de acesso ao pacote (PDF) no mercado FedRAMP e ID FR1900048743.
  2. Após o recebimento da solicitação, a Oracle configurará uma sala de leitura virtual com acesso seguro ao pacote de documentação de segurança, que inclui o Plano de Segurança do Sistema, Plano de Avaliação de Segurança, Relatório de Avaliação de Segurança e Plano de Ação e Etapas. Esta documentação é extremamente sensível e está sujeita a um acordo de confidencialidade. A agência não tem permissão para reter, copiar ou distribuir o conteúdo do pacote de segurança fora da sala de leitura virtual.
  3. O pessoal do sistema de informações da agência pode entrar em contato com a equipe de conformidade da Oracle ou com o Departamento de Gerenciamento de Programas do FedRAMP em caso de dúvidas.
  4. O AO analisa e documenta todos controles de segurança adicionais da aplicação específica, além dos controles do FedRAMP avaliados como parte do JAB P-ATO da Oracle.
  5. O AO realiza uma avaliação final do pacote de autorização combinado. Se atenderem aos seus requisitos de segurança, o AO da agência emite uma ATO. Os modelos estão disponíveis em fedramp.gov.

Assistência para ATO do Oracle Partners

A Oracle tem várias organizações parceiras que estão familiarizadas com o processo de ATO e podem ajudar as agências com as etapas necessárias para obter a ATO. Acesse os seguintes sites para obter mais informações sobre esses parceiros.