Przed nadaniem statusu produkcyjnego federalnemu systemowi informatycznemu należy uzyskać zezwolenie na jego użytkowanie (Authority to Operate, ATO). ATO jest wydawane, gdy system informatyczny został oceniony, a urzędnik zatwierdzający agencji — wysoki rangą funkcjonariusz, którym często jest dyrektor ds. informatyki — jednoznacznie zaakceptował ryzyko dla operacji (w tym misji, funkcji, wizerunku i reputacji), aktywów, osób i innych organizacji. ATO jest przyznawane przez urzędnika zatwierdzającego; każda agencja określa kryteria ATO dla swoich systemów informatycznych, choć organizacja National Institute of Standards and Technology przedstawiła ogólne wytyczne w ramach procesu Risk Management Framework (RMF). Te procedury i wytyczne zostały opracowane na podstawie ustawy Federal Information Security Modernization Act.
Podczas przeprowadzania oceny ryzyka i przyznawania ATO dla systemów informatycznych, które korzystają z usług chmurowych, agencje mogą korzystać z programu Federal Risk Authorization and Management Program (FedRAMP). FedRAMP pozwala agencjom przyspieszyć proces wdrażania chmury obliczeniowej poprzez stworzenie przejrzystych standardów i procesów przyznawania zezwoleń oraz umożliwienie agencjom wykorzystania ich na skalę rządową. Tymczasowe ATO FedRAMP (P-ATO) dostarcza urzędnikom zatwierdzającym dowodów na to, że poszczególne mechanizmy kontroli zabezpieczeń zostały zastosowane, dzięki czemu w ich przypadku nie muszą powtarzać kroków RMF. FedRAMP P-ATO może przyznać zarówno organizacja Joint Authorization Board (JAB), jak i agencja.
W przygotowanym przez Departament Obrony Stanów Zjednoczonych (DOD) dokumencie Defense Information Systems Agency Cloud Computing Security Requirements Guide określono 2, 4, 5 i 6 poziom wpływu informacji na misje DOD, a także dodatkowe kroki, które muszą podjąć organizacje DOD, aby uzyskać ATO.
Wszystkie usługi IaaS i PaaS firmy Oracle dostępne1 w Oracle Government Cloud uzyskały tymczasowe zezwolenie FedRAMP High Provisional Authorization, co można sprawdzić na portalu FedRAMP marketplace. Jak już wspomnieliśmy, ATO, które JAB wydaje organizacjom świadczącym usługi w chmurze, jest tymczasowe, ponieważ tylko sama agencja ma prawo do wydania ostatecznego ATO dla swoich systemów informatycznych. Wdrożenie, testy i dokumentacja mechanizmów kontroli zostaną ocenione przez agencję, zanim urzędnik zatwierdzający wyda ATO, ale P-ATO znacznie upraszcza i przyspiesza ten proces.
FedRAMP eliminuje zbędną pracę, zapewniając agencjom federalnym wspólną strukturę zabezpieczeń, dzięki której mogą one sprawdzać swoje wymagania dotyczące zabezpieczeń w oparciu o jednolitą podstawę. Dostawca usług chmurowych przechodzi proces oceny i autoryzacji w przypadku każdej oferty usług chmurowych (CSO), a po uzyskaniu P-ATO pakiet zabezpieczeń może być ponownie wykorzystany przez dowolną agencję federalną w ramach jej procesu ATO. Pakiet zabezpieczeń FedRAMP dla chmury U.S. Government Cloud firmy Oracle może być ponownie wykorzystany w celu zmniejszenia obciążenia administracyjnego agencji i skrócenia procesu ATO poprzez „dziedziczenie” zezwoleń P-ATO High przyznawanych IaaS i PaaS przez JAB.
1 Na wniosek agencji niektóre usługi, które przeszły ocenę zewnętrzną, ale nie otrzymały jeszcze zezwolenia FedRAMP, mogą zostać udostępnione w oczekiwaniu na ostateczne zezwolenie.
Proces ATO różni się w zależności od agencji i może obejmować wymagania, procesy, standardy i procedury, które odbiegają od podanych tu informacji. Na poziomie ogólnym proces ATO agencji dla oferty usług Oracle Cloud składa się jednak z pięciu kroków.
Firma Oracle współpracuje z kilkoma organizacjami partnerskimi, które są zaznajomione z procesem ATO i mogą pomóc agencjom w wykonaniu kroków wymaganych do uzyskania ATO. Więcej informacji o tych partnerach znajdziesz na poniższych stronach internetowych.