ATO's voor cloudapplicaties krijgen met Oracle

Wat is Authority to Operate?

Alle federale informatiesystemen moeten een gebruiksautorisatie (ATO) krijgen voordat ze in de productiestatus worden geplaatst. Een ATO wordt afgegeven als een informatiesysteem is beoordeeld en de Agency Authorizing Official (AO) - een hoge ambtenaar die vaak de CIO is - expliciet het gebruiksrisico (waaronder missie, functies, beeld en reputatie), activa, individuen en andere organisaties heeft geaccepteerd. De ATO wordt afgegeven door de AO en elk bureau bepaalt de ATO-criteria voor hun informatiesystemen, hoewel het National Institute of Standards and Technology richtlijnen heeft gegeven voor het Risk Management Framework (RMF)-proces. Deze procedures en richtlijnen zijn afgeleid van de Federal Information Security Modernization Act.

Bij het uitvoeren van risicobeoordelingen en afgeven van ATO's voor informatiesystemen die cloudserviceproducten gebruiken, kunnen bureaus het Federal Risk Authorization and Management Program (FedRAMP) gebruiken. FedRAMP stelt bureaus in staat om cloudcomputing sneller toe te passen door transparante normen en processen voor beveiligingsautorisaties te creëren en bureaus beveiligingsautorisaties op overheidsniveau te laten gebruiken. De voorlopige ATO (P-ATO) van FedRAMP bewijst AO's dat bepaalde beveiligingscontroles zijn gedaan, zodat zij de RMF-stappen voor die specifieke controles niet hoeven te herhalen. FedRAMP P-ATO's kunnen worden afgegeven door de Joint Authorization Board (JAB) of via een bureau.

De Defense Information Systems Agency Cloud Computing Security Requirements Guide van het Amerikaanse Defense Department (DOD) definieert de informatie Impact Levels 2, 4, 5 en 6 voor DOD-missies en de aanvullende stappen die DOD-organisaties moeten zetten om hun ATO's te krijgen.

Oracle Cloud FedRAMP High P-ATO

Alle IaaS- en PaaS-services van Oracle die beschikbaar zijn1 in Oracle Government Cloud, hebben een FedRAMP High Provisional Authorization, zoals aangegeven op de FedRAMP-marktplaats. De ATO die het JAB afgeeft aan cloudservice-organisaties is zoals gezegd voorlopig, omdat alleen het bureau zelf de bevoegdheid heeft om een definitieve ATO af te geven voor hun informatiesystemen. De toepassing, het testen en de documentatie van controles zullen door het bureau worden beoordeeld voordat de AO van het bureau een ATO afgeeft, maar de P-ATO vereenvoudigt en versnelt het proces aanzienlijk.

FedRAMP voorkomt dubbel werk door een gemeenschappelijk beveiligingskader te scheppen voor overheidsinstanties om hun beveiligingseisen volgens een bepaalde norm te beoordelen. Een cloudprovider ondergaat het beoordelings- en autorisatieproces voor elk cloudserviceproduct (CSO), en zodra hij de P-ATO voor zijn CSO heeft gekregen, kan het beveiligingspakket door elke overheidsinstantie worden hergebruikt als onderdeel van hun ATO-proces. Het FedRAMP-beveiligingspakket voor de US Government Cloud van Oracle kan worden hergebruikt om het administratiewerk bij een bureau te verminderen en het ATO-proces te verkorten door IaaS en PaaS P-ATO High JAB-autorisaties 'over te nemen'.

1 Op verzoek van het bureau kunnen bepaalde services die al door derden zijn beoordeeld, maar nog niet zijn geautoriseerd door FedRAMP, beschikbaar worden gesteld terwijl de services wachten op hun definitieve autorisatie.

ATO voor bureau krijgen

Het ATO-proces varieert per bureau en kan eisen, processen, normen en procedures omvatten die afwijken van de hier verstrekte informatie. Het ATO-proces van een bureau met de Oracle Cloud serviceproducten heeft op een hoog niveau echter vijf stappen.

  1. Het personeel voor de informatieveiligheid van het bureau kan het door de JAB uitgegeven beveiligingsdocumentatie-pakket van Oracle aanvragen via het Formulier toegang tot pakket (PDF) op de FedRAMP-marktplaats en pakket-ID FR1900048743.
  2. Als de aanvraag binnenkomt, zal Oracle een virtuele leesruimte met een beveiligde toegang tot het documentatiepakket maken met daarin het systeembeveiligingsplan, beveiligingsevaluatieplan, beveiligingsbeoordelingsrapport, actieplan en mijlpalen. Deze documentatie is uiterst gevoelig en valt onder een geheimhoudingsovereenkomst. Het bureau mag de inhoud van het beveiligingspakket niet buiten de virtuele leesruimte bewaren, kopiëren of verspreiden.
  3. Informatiemedewerkers van het bureau kunnen bij vragen contact opnemen met het Oracle Compliance Team of het FedRAMP Program Management Office.
  4. De AO beoordeelt en documenteert aanvullende beveiligingsmaatregelen voor hun specifieke applicatie - naast de FedRAMP-controles die worden beoordeeld als onderdeel van de JAB P-ATO van Oracle.
  5. De AO voert een definitieve evaluatie uit van het gecombineerde autorisatiepakket. Als deze voldoen aan hun beveiligingseisen, geeft de AO van het bureau een ATO af. Sjablonen zijn beschikbaar op fedramp.gov.

ATO-ondersteuning van Oracle Partners

Oracle heeft diverse partnerorganisaties die bekend zijn met het ATO-proces en die bureaus kunnen helpen met de stappen om hun ATO te krijgen. Bezoek de volgende websites voor meer informatie over deze partners.