A tutti i sistemi di informazione federali deve essere concessa un'Authority to Operate (ATO) prima di passare allo stato di produzione. Un'ATO è rilasciata dopo che un sistema di informazione è stato esaminato e l'Agency Authorizing Official (AO), un alto funzionario che spesso è il CIO, ha esplicitamente accettato il rischio per le operazioni (comprese la missione, le funzioni, l'immagine e la reputazione), gli asset, le persone e altre organizzazioni. L'ATO è concessa dall'AO e ogni agenzia determina i criteri ATO per i propri sistemi informativi, sebbene il National Institute of Standards and Technology abbia fornito indicazioni sul processo di Risk Management Framework (RMF). Queste procedure e queste linee guida sono derivate dal Federal Information Security Modernization Act.
Quando si svolgono le valutazioni dei rischi e si concedono ATO per i sistemi informativi che utilizzano le offerte dei servizi cloud, le agenzie possono utilizzare il Federal Risk Authorizaion and Management Program (FedRAMP). Il FedRAMP consente alle agenzie di accelerare l'adozione del cloud computing creando standard e processi trasparenti per le autorizzazioni di sicurezza e consentendo alle agenzie di sfruttare le autorizzazioni di sicurezza su scala governativa. La provisional ATO (P-ATO) FedRAMP fornisce alle AO prove del rispetto di particolari controlli di sicurezza, in modo che non debbano ripetere i passaggi RMF per quei controlli specifici. Le FedRAMP P-ATO possono essere concesse dal Joint Authorization Board (JAB) o tramite un'agenzia.
La Defense Information Systems Agency Cloud Computing Security Requirements Guide del Dipartimento della Difesa degli Stati Uniti (DOD) dà una definizione dei livelli di impatto 2,4,5 e 6 per le missioni DOD e definisce i passaggi aggiuntivi che le organizzazioni DOD devono fare per ottenere le loro ATO.
Tutti i servizi IaaS e PaaS di Oracle disponibili1 su Oracle Government Cloud dispongono della FedRAMP High Provisional Authorization, come mostrato nel marketplace FedRAMP. Come accennato precedentemente, l'ATO che il JAB dà alle organizzazioni di servizi cloud è provvisoria perché solo l'agenzia stessa ha l'autorità necessaria per emettere un ATO finale per i loro sistemi informativi. L'implementazione, i testi e la documentazione dei controlli sono valutati dall'agenzia prima che l'Agency AO emetta un'ATO, ma il P-ATO semplifica e accelera notevolmente il processo.
Il FedRAMP elimina gli sforzi aggiuntivi fornendo un framework di sicurezza comune per le agenzie federali affinché revisionino i loro requisiti di sicurezza rispetto a una base di riferimento standardizzata. Un provider di servizi cloud è sottoposto al processo di valutazione e autorizzazione per ogni offerta di servizi cloud (CSO, cloud service offering) e dopo aver ottenuto la P-ATO per il suo CSO, il pacchetto di sicurezza può essere riutilizzato da qualsiasi agenzia federale come parte del suo processo ATO. Il pacchetto di sicurezza FedRAMP per il cloud per il governo degli Stati Uniti di Oracle può essere riutilizzato per ridurre il carico amministrativo di un'agenzia e abbreviare il processo ATO "ereditando" le autorizzazioni P-ATO High JAB per IaaS e PaaS.
1 Su richiesta dell'agenzia, alcuni servizi che hanno completato una valutazione di terze parti ma che non hanno ancora ottenuto l'autorizzazione FedRAMP possono essere resi disponibili mentre i servizi attendono autorizzazione finale.
Il processo ATO varia in base all'agenzia e può includere requisiti, processi, standard e procedure diversi dalle informazioni qui fornite. Tuttavia, a un livello avanzato, il processo di Agency ATO con le offerte dei servizi Oracle Cloud prevede cinque passi.
Oracle ha come partner numerose organizzazioni che conoscono i processi ATO e possono aiutare le agenzie nei passaggi necessari per ottenere le loro ATO. Visita i seguenti siti web per avere maggiori informazioni su questi partner.