Ottenere ATO delle applicazioni cloud con Oracle

Che cos'è un'Authority to Operate?

A tutti i sistemi di informazione federali deve essere concessa un'Authority to Operate (ATO) prima di passare allo stato di produzione. Un'ATO è rilasciata dopo che un sistema di informazione è stato esaminato e l'Agency Authorizing Official (AO), un alto funzionario che spesso è il CIO, ha esplicitamente accettato il rischio per le operazioni (comprese la missione, le funzioni, l'immagine e la reputazione), gli asset, le persone e altre organizzazioni. L'ATO è concessa dall'AO e ogni agenzia determina i criteri ATO per i propri sistemi informativi, sebbene il National Institute of Standards and Technology abbia fornito indicazioni sul processo di Risk Management Framework (RMF). Queste procedure e queste linee guida sono derivate dal Federal Information Security Modernization Act.

Quando si svolgono le valutazioni dei rischi e si concedono ATO per i sistemi informativi che utilizzano le offerte dei servizi cloud, le agenzie possono utilizzare il Federal Risk Authorizaion and Management Program (FedRAMP). Il FedRAMP consente alle agenzie di accelerare l'adozione del cloud computing creando standard e processi trasparenti per le autorizzazioni di sicurezza e consentendo alle agenzie di sfruttare le autorizzazioni di sicurezza su scala governativa. La provisional ATO (P-ATO) FedRAMP fornisce alle AO prove del rispetto di particolari controlli di sicurezza, in modo che non debbano ripetere i passaggi RMF per quei controlli specifici. Le FedRAMP P-ATO possono essere concesse dal Joint Authorization Board (JAB) o tramite un'agenzia.

La Defense Information Systems Agency Cloud Computing Security Requirements Guide del Dipartimento della Difesa degli Stati Uniti (DOD) dà una definizione dei livelli di impatto 2,4,5 e 6 per le missioni DOD e definisce i passaggi aggiuntivi che le organizzazioni DOD devono fare per ottenere le loro ATO.

Oracle Cloud FedRAMP High P-ATO

Tutti i servizi IaaS e PaaS di Oracle disponibili1 su Oracle Government Cloud dispongono della FedRAMP High Provisional Authorization, come mostrato nel marketplace FedRAMP. Come accennato precedentemente, l'ATO che il JAB dà alle organizzazioni di servizi cloud è provvisoria perché solo l'agenzia stessa ha l'autorità necessaria per emettere un ATO finale per i loro sistemi informativi. L'implementazione, i testi e la documentazione dei controlli sono valutati dall'agenzia prima che l'Agency AO emetta un'ATO, ma il P-ATO semplifica e accelera notevolmente il processo.

Il FedRAMP elimina gli sforzi aggiuntivi fornendo un framework di sicurezza comune per le agenzie federali affinché revisionino i loro requisiti di sicurezza rispetto a una base di riferimento standardizzata. Un provider di servizi cloud è sottoposto al processo di valutazione e autorizzazione per ogni offerta di servizi cloud (CSO, cloud service offering) e dopo aver ottenuto la P-ATO per il suo CSO, il pacchetto di sicurezza può essere riutilizzato da qualsiasi agenzia federale come parte del suo processo ATO. Il pacchetto di sicurezza FedRAMP per il cloud per il governo degli Stati Uniti di Oracle può essere riutilizzato per ridurre il carico amministrativo di un'agenzia e abbreviare il processo ATO "ereditando" le autorizzazioni P-ATO High JAB per IaaS e PaaS.

1 Su richiesta dell'agenzia, alcuni servizi che hanno completato una valutazione di terze parti ma che non hanno ancora ottenuto l'autorizzazione FedRAMP possono essere resi disponibili mentre i servizi attendono autorizzazione finale.

Ottenere un'Agency ATO

Il processo ATO varia in base all'agenzia e può includere requisiti, processi, standard e procedure diversi dalle informazioni qui fornite. Tuttavia, a un livello avanzato, il processo di Agency ATO con le offerte dei servizi Oracle Cloud prevede cinque passi.

  1. Il personale della sicurezza delle informazioni dell'agenzia può richiedere il pacchetto della documentazione di sicurezza sottoposto a revisione di Oracle, emesso dal JAB, utilizzando il Package Access Request Form (PDF) sul marketplace FedRAMP e il Package ID FR1900048743.
  2. Dopo aver ricevuto la richiesta, Oracle creerà una sala di lettura virtuale con accesso sicuro al package della documentazione di sicurezza, che comprende il System Security Plan, il Security Assessment Plan, il Security Assessment Report ed il Plan of Action and Milestones Questa documentazione è estremamente confidenziale ed è soggetta a un accordo di riservatezza. L'agenzia non è autorizzata a conservare, copiare o distribuire i contenuti del pacchetto di sicurezza al di fuori della sala di lettura virtuale.
  3. Il personale del sistema di informazione dell'agenzia può contattare il team addetto alla compliance Oracle o il FedRAMP Program Management Office per qualsiasi domanda.
  4. L'AO revisiona e documenta eventuali controlli di sicurezza aggiuntivi per la sua applicazione specifica, oltre ai controlli FedRAMP valutati nell'ambito del sistema JAB P-ATO di Oracle.
  5. L'AO effettua una revisione finale del pacchetto di autorizzazione combinato. Se questi soddisfano i loro requisiti di sicurezza, l'Agency AO emette un'ATO. I modelli sono disponibili su fedramp.gov.

Assistenza ATO da parte di Oracle Partners

Oracle ha come partner numerose organizzazioni che conoscono i processi ATO e possono aiutare le agenzie nei passaggi necessari per ottenere le loro ATO. Visita i seguenti siti web per avere maggiori informazioni su questi partner.