Uzyskiwanie ATO dla aplikacji chmurowych z pomocą Oracle

Co to jest zezwolenie na użytkowanie?

Przed nadaniem statusu produkcyjnego federalnemu systemowi informatycznemu należy uzyskać zezwolenie na jego użytkowanie (Authority to Operate, ATO). ATO jest wydawane, gdy system informatyczny został oceniony, a urzędnik zatwierdzający agencji — wysoki rangą funkcjonariusz, którym często jest dyrektor ds. informatyki — jednoznacznie zaakceptował ryzyko dla operacji (w tym misji, funkcji, wizerunku i reputacji), aktywów, osób i innych organizacji. ATO jest przyznawane przez urzędnika zatwierdzającego; każda agencja określa kryteria ATO dla swoich systemów informatycznych, choć organizacja National Institute of Standards and Technology przedstawiła ogólne wytyczne w ramach procesu Risk Management Framework (RMF). Te procedury i wytyczne zostały opracowane na podstawie ustawy Federal Information Security Modernization Act.

Podczas przeprowadzania oceny ryzyka i przyznawania ATO dla systemów informatycznych, które korzystają z usług chmurowych, agencje mogą korzystać z programu Federal Risk Authorization and Management Program (FedRAMP). FedRAMP pozwala agencjom przyspieszyć proces wdrażania chmury obliczeniowej poprzez stworzenie przejrzystych standardów i procesów przyznawania zezwoleń oraz umożliwienie agencjom wykorzystania ich na skalę rządową. Tymczasowe ATO FedRAMP (P-ATO) dostarcza urzędnikom zatwierdzającym dowodów na to, że poszczególne mechanizmy kontroli zabezpieczeń zostały zastosowane, dzięki czemu w ich przypadku nie muszą powtarzać kroków RMF. FedRAMP P-ATO może przyznać zarówno organizacja Joint Authorization Board (JAB), jak i agencja.

W przygotowanym przez Departament Obrony Stanów Zjednoczonych (DOD) dokumencie Defense Information Systems Agency Cloud Computing Security Requirements Guide określono 2, 4, 5 i 6 poziom wpływu informacji na misje DOD, a także dodatkowe kroki, które muszą podjąć organizacje DOD, aby uzyskać ATO.

FedRAMP High P-ATO dla Oracle Cloud

Wszystkie usługi IaaS i PaaS firmy Oracle dostępne1 w Oracle Government Cloud uzyskały tymczasowe zezwolenie FedRAMP High Provisional Authorization, co można sprawdzić na portalu FedRAMP marketplace. Jak już wspomnieliśmy, ATO, które JAB wydaje organizacjom świadczącym usługi w chmurze, jest tymczasowe, ponieważ tylko sama agencja ma prawo do wydania ostatecznego ATO dla swoich systemów informatycznych. Wdrożenie, testy i dokumentacja mechanizmów kontroli zostaną ocenione przez agencję, zanim urzędnik zatwierdzający wyda ATO, ale P-ATO znacznie upraszcza i przyspiesza ten proces.

FedRAMP eliminuje zbędną pracę, zapewniając agencjom federalnym wspólną strukturę zabezpieczeń, dzięki której mogą one sprawdzać swoje wymagania dotyczące zabezpieczeń w oparciu o jednolitą podstawę. Dostawca usług chmurowych przechodzi proces oceny i autoryzacji w przypadku każdej oferty usług chmurowych (CSO), a po uzyskaniu P-ATO pakiet zabezpieczeń może być ponownie wykorzystany przez dowolną agencję federalną w ramach jej procesu ATO. Pakiet zabezpieczeń FedRAMP dla chmury U.S. Government Cloud firmy Oracle może być ponownie wykorzystany w celu zmniejszenia obciążenia administracyjnego agencji i skrócenia procesu ATO poprzez „dziedziczenie” zezwoleń P-ATO High przyznawanych IaaS i PaaS przez JAB.

1 Na wniosek agencji niektóre usługi, które przeszły ocenę zewnętrzną, ale nie otrzymały jeszcze zezwolenia FedRAMP, mogą zostać udostępnione w oczekiwaniu na ostateczne zezwolenie.

Uzyskiwanie ATO agencji

Proces ATO różni się w zależności od agencji i może obejmować wymagania, procesy, standardy i procedury, które odbiegają od podanych tu informacji. Na poziomie ogólnym proces ATO agencji dla oferty usług Oracle Cloud składa się jednak z pięciu kroków.

  1. Pracownicy agencji ds. bezpieczeństwa informacji mogą zwrócić się z prośbą o udostępnienie pakietu skontrolowanej dokumentacji dotyczącej zabezpieczeń wydanego przez JAB, korzystając z formularza żądania dostępu do pakietu (PDF) na portalu FedRAMP marketplace — należy podać identyfikator pakietu FR1900048743.
  2. Po otrzymaniu prośby Oracle utworzy wirtualną czytelnię umożliwiającą bezpieczny dostęp do pakietu dokumentacji dotyczącej zabezpieczeń, który zawiera plan zabezpieczeń systemu, plan oceny zabezpieczeń, raport z oceny zabezpieczeń oraz plan działań i kamienie milowe. Dokumentacja ta jest niezwykle wrażliwa i podlega umowie o zachowaniu poufności. Agencja nie ma prawa zatrzymywać, kopiować ani rozpowszechniać zawartości pakietu poza wirtualną czytelnią.
  3. Pracownicy obsługujący systemy informatyczne agencji mogą zwracać się z wszelkimi pytaniami do zespołu ds. zgodności z przepisami firmy Oracle lub do Biura ds. zarządzania programem FedRAMP.
  4. Urzędnik zatwierdzający dokonuje przeglądu wszelkich dodatkowych mechanizmów kontroli zabezpieczeń swojej aplikacji —wykraczających poza mechanizmy FedRAMP ocenione w ramach P-ATO przyznanego Oracle przez JAB — i dokumentuje je.
  5. Urzędnik zatwierdzający dokonuje ostatecznego przeglądu połączonego pakietu zezwoleń. Jeśli spełnia on wymagania w zakresie zabezpieczeń, urzędnik zatwierdzający agencji wydaje ATO. Szablony są dostępne na stronie fedramp.gov.

Wsparcie w zakresie ATO od partnerów Oracle

Firma Oracle współpracuje z kilkoma organizacjami partnerskimi, które są zaznajomione z procesem ATO i mogą pomóc agencjom w wykonaniu kroków wymaganych do uzyskania ATO. Więcej informacji o tych partnerach znajdziesz na poniższych stronach internetowych.