Oracle ile Bulut Uygulama ATO'larını Alma

İşletme Yetkisi Nedir?

Tüm federal bilgi sistemleri üretim durumuna geçirilmeden önce bu sistemlere İşletme Yetkisi (ATO) verilmelidir. ATO, bir bilgi sistemi değerlendirildiğinde ve kıdemli bir yetkili (genelde CIO) olmak üzere Kurum Yetkilendirme Sorumlusu (AO) operasyonlar (misyon, işlevler, imaj ve itibar dahil), varlıklar, kişiler ve diğer organizasyonlarla ilgili riskleri açıkça kabul ettiğinde verilir. ATO, AO tarafından verilir ve Ulusal Standartlar ve Teknoloji Enstitüsü Risk Yönetim Çerçevesi (RMF) süreci ile ilgili rehberlik sağlamış olsa da her kurum kendi bilgi sistemlerine dair ATO kriterlerini kendisi belirler. Bu prosedürler ve kılavuzlar Federal Bilgi Güvenliği Modernizasyon Yasası'ndan alınmıştır.

Kurumlar, risk değerlendirmeleri yapılırken ve bulut hizmeti teklifleri sunan bilgi sistemleri için ATO'lar verilirken Federal Risk Yetkilendirme ve Yönetim Programı'nı (FedRAMP) kullanabilir. FedRAMP, kurumların güvenlik yetkilendirmeleri için şeffaf standartlar ve süreçler oluşturarak ve kurumların kamu genelinde güvenlik yetkilendirmelerinden yararlanmasını sağlayarak bulut bilişimin benimsenmesini hızlandırmasına imkân tanır. FedRAMP geçici ATO'su (P-ATO), AO'lara belirli güvenlik kontrollerinin karşılandığını gösteren kanıtlar sunar. Böylece, söz konusu kontroller için RMF adımlarını tekrarlamak zorunda kalmazlar. FedRAMP P-ATO'ları Müşterek Yetkilendirme Kurulu (JAB) tarafından veya bir kurum aracılığıyla verilir.

ABD Savunma Bakanlığı (DOD) Savunma Bilgi Sistemleri Dairesi Bulut Bilişim Güvenlik Şartları Kılavuzu, DOD görevlerine yönelik bilgi Etki Düzeyleri 2, 4, 5 ve 6'nın yanı sıra DOD organizasyonlarının ATO'larını almak için atmaları gereken ek adımları tanımlar.

Oracle Bulut FedRAMP Yüksek P-ATO

All of Oracle Kamu Bulutu'nda yer alan Oracle'ın IaaS ve PaaS hizmetleri1 , FedRAMP pazar yerinde gösterildiği gibi FedRAMP Yüksek Geçici Yetkilendirme'ye sahiptir. Belirtildiği gibi, JAB'nin bulut hizmeti organizasyonlarına verdiği ATO geçicidir çünkü yalnızca kurumun kendisi bilgi sistemleri için nihai ATO yayınlama yetkisine sahiptir. Kontrollerin uygulanması, test edilmesi ve belgelendirilmesi Kurum AO'su ATO vermeden önce kurum tarafından değerlendirilir ancak P-ATO, süreci büyük ölçüde basitleştirip hızlandırır.

FedRAMP, federal kurumların güvenlik şartlarını standartlaştırılmış bir referans değeriyle karşılaştırmaları için ortak bir güvenlik çerçevesi sağlayarak çabaların tekrarlanmasını önler. Bir bulut hizmeti sağlayıcısı, her bulut hizmeti teklifi (CSO) için değerlendirme ve yetkilendirme sürecinden geçer ve kendi CSO'ları için P-ATO'yu aldıktan sonra, güvenlik paketi her federal kurum tarafından ATO sürecinin bir parçası olarak yeniden kullanılabilir. Oracle'ın ABD Kamu Bulutu'na yönelik FedRAMP güvenlik paketi, bir kurumun idari yükünü azaltmak ve IaaS ile P-ATO Yüksek JAB yetkilendirmelerini "devralarak" ATO sürecini hızlandırmak için kullanılabilir.

1 Kurum talep ettiğinde, üçüncü taraf değerlendirmesi tamamlanan ancak FedRAMP yetkisi olmayan bazı hizmetler, nihai yetkilendirmeyi beklerken kullanılabilir hâle getirilebilir.

Kurum ATO'sunu Alma

ATO süreci kuruma göre değişir ve burada sağlanan bilgilerden farklı şartlar, süreçler, standartlar ve prosedürler içerebilir. Ancak, yüksek düzeyde Oracle Bulut hizmet teklifleriyle Kurum ATO'su sürecinde beş adım bulunur.

  1. Kurum bilgi güvenliği personeli, FedRAMP pazar yerinde Paket No FR1900048743 ile yer alan Paket Erişim İsteği Formu (PDF) aracılığıyla JAB tarafından verilen, Oracle'ın denetlenen güvenlik dokümantasyonu paketini talep edebilir.
  2. Talebin alınması üzerine Oracle, Sistem Güvenliği Değerlendirme Planı, Güvenlik Değerlendirme Planı, Güvenlik Değerlendirme Raporu ve Eylem Planı ile Etaplarını içeren güvenlik dokümantasyonu paketine güvenli bir şekilde erişilebilen sanal bir okuma odası hazırlayacaktır. Bu dokümantasyon son derece hassastır ve bir gizlilik anlaşmasına tabidir. Kurumun güvenlik paketinin içeriğini sanal okuma odası dışında tutmasına, kopyalamasına veya dağıtmasına izin verilmez.
  3. Kurum bilgi sistemi personeli, tüm sorularınız için Oracle uyumluluk ekibi veya FedRAMP Programı Yönetim Ofisi'ne ulaşabilir.
  4. AO, Oracle JAB P-ATO kapsamında değerlendirilen FedRAMP kontrollerinin ötesinde belirli uygulamaları için ek güvenlik kontrollerini gözden geçirip belgelendirir.
  5. AO, birleşik yetkilendirme paketinin son bir incelemesini gerçekleştirir. Bunlar güvenlik şartlarını karşılarsa AO bir ATO verir. Şablonlar fedramp.gov adresinde bulunmaktadır.

Oracle iş ortaklarından ATO desteği

Oracle'ın, ATO sürecine hakim ve ATO'ları almak için gereken adımlarda kurumlara yardımcı olabilecek çeşitli iş ortağı organizasyonları vardır. Bu iş ortakları hakkında daha fazla bilgi için aşağıdaki web sitelerini ziyaret edin.