Получение разрешения на эксплуатацию (ATO) облачных приложений с Oracle

Что такое разрешение на эксплуатацию (ATO)?

Перед развертыванием в рабочих средах все федеральные информационные системы США должны получить разрешение на эксплуатацию (Authority to Operate, ATO). Разрешение на эксплуатацию выдается после оценки информационной системы, если специалист по выдаче разрешений (Authorizing Official, AO)  — старшее должностное лицо соответствующего государственного органа, зачастую его директор по информационным технологиям — сочтет приемлемыми возникающие при эксплуатации системы риски для работы органа (включая его миссию, функции, имидж и репутацию), активов, а также физических лиц и других организаций. Каждый государственный орган определяет критерии выдачи ATO для своих информационных систем самостоятельно, однако в качестве ориентира может использоваться разработанная Национальным институтом стандартов и технологий структура управления рисками (Risk Management Framework, RMF). Предусмотренные в ней правила и процедуры основываются на положениях Федерального закона о модернизации информационной безопасности.

При проведении оценки риска и выдаче ATO для информационных систем, в которых задействованы облачные сервисы, государственные органы могут использовать Федеральную программу управления рисками и авторизацией (FedRAMP). FedRAMP позволяет государственным органам ускорить внедрение облачных вычислений за счет создания прозрачных стандартов и процедур получения разрешений в отношении их безопасности, а также дает возможность использовать полученные разрешения на межведомственном уровне. Полученное в рамках FedRAMP предварительное разрешение на эксплуатацию (provisional ATO, P-ATO) представляет собой подтверждение наличия в системе определенных механизмов обеспечения безопасности, позволяя специалистам по выдаче разрешений обходиться без повторного выполнения предусмотренных RMF процедур в отношении этих механизмов. Статус P-ATO по FedRAMP можно получить через Бюро межведомственных авторизаций (JAB) или через один из государственных органов.

Министерством обороны США (DOD) разработан сборник требований к безопасности облачных вычислений для оборонных информационных систем, в котором определены уровни секретности информации 2, 4, 5 и 6 для задач DOD, а также дополнительные шаги, которые входящие в структуру DOD организации должны предпринимать для получения ATO для своих систем.

Oracle Cloud имеет статус High P-ATO

Все IaaS- и PaaS-сервисы Oracle, доступные 1 в Oracle Government Cloud, имеют предварительное разрешение на эксплуатацию высокого уровня (High P-ATO) и внесены в соответствующий перечень на рынке FedRAMP. Как уже говорилось, разрешения на эксплуатацию, выдаваемые JAB поставщикам облачных сервисов, являются предварительными, поскольку только сам государственный орган имеет полномочия на выдачу окончательного ATO для своих информационных систем. Государственные органы самостоятельно проводят оценку реализации, тестирования и документации механизмов безопасности, прежде чем выдавать ATO, однако наличие статуса P-ATO в значительной степени упрощает и ускоряет этот процесс.

FedRAMP позволяет избежать дублирования усилий, предоставляя государственным органам возможность опираться на стандартизированную базу при проверке выполнения своих требований к безопасности. Поставщик облачных сервисов проходит процедуру проверки и выдачи разрешения для каждого своего облачного сервиса. Вместе с P-ATO выдается пакет документов по безопасности, который любое федеральное агентство может использовать в рамках своей процедуры выдачи ATO. Так, пакет документов FedRAMP для Oracle U.S. Government Cloud может использоваться для снижения административной нагрузки на государственный орган и сокращения процедуры выдачи ATO за счет «наследования» P-ATO высокого уровня, выданного JAB для IaaS и PaaS.

1 По запросу государственного органа могут быть предоставлены определенные сервисы, которые прошли независимую оценку, но еще не получили авторизацию по FedRAMP.

Выдача ATO в государственных органах

Процедура выдачи ATO зависит от конкретного государственного органа и может предполагать требования, процессы, нормы и мероприятия, отличающиеся от описанных здесь. Однако в общем случае процедура получения ATO в государственном органе для облачных сервисов Oracle Cloud включает в себя пять этапов.

  1. Специалисты по безопасности государственного органа могут запросить прошедший аудит пакет документов по безопасности Oracle с помощью формы запроса доступа к пакету (PDF) на рынке FedRAMP, указав в качестве ИД пакета FR1900048743.
  2. После получения запроса Oracle откроет виртуальный читальный зал с защищенным доступом к пакету документов, в который входят план обеспечения безопасности системы, план оценки безопасности, отчет по оценке безопасности, а также план действий и промежуточных этапов. Эта документация является чрезвычайно конфиденциальной, и для доступа к ней необходимо подписать соглашение о неразглашении. Государственному органу не разрешается сохранять, копировать или распространять содержимое пакет документов за пределами виртуального читального зала.
  3. Специалисты по безопасности государственного органа могут обращаться с вопросами к группе обеспечения нормативного соответствия Oracle или в офис управления программой FedRAMP.
  4. Специалист по выдаче разрешения рассматривает и документирует дополнительные механизмы обеспечения безопасности, необходимые для сферы деятельности данного государственного органа (в дополнение к предусмотренным FedRAMP механизмам, прошедшим оценку в рамках получения Oracle P-ATO от JAB).
  5. Специалист по выдаче разрешения проводит окончательное рассмотрение объединенного авторизационного пакета. Если он соответствует требованиям к безопасности данного государственного органа, государственный орган выдает разрешение на эксплуатацию (ATO). Необходимые шаблоны можно найти на fedramp.gov.

Помощь по разработке процедуры выдачи ATO от партнеров

У Oracle есть ряд организаций-партнеров, знакомых с процедурой получения ATO, которые могут оказать государственным организациям помощь в разработке этой процедуры. Для получения дополнительной информации об этих партнерах посетите следующие сайты.