Какво е разрешение за работа (ATO)?

Терминът „разрешение за работа“ се отнася до разрешение за използване на продукт в съществуваща система. Често се използва във федералното правителство за информационни технологии. Например, преди да може да бъде инсталирана софтуерна програма от служители в мрежа, тази програма може да изисква ATO. Органът, който издава АТО, удостоверява, че продуктът или услугата работи със съществуващи системи. Частните компании и други организации също използват АТО.

Защо организациите използват АТО

Въпреки че дадена организация може да използва ATO по някаква причина, тя ги използва предимно, когато се отнася до сигурността или оперативната цялост. Например, ако разработите софтуерно приложение, предназначено да се използва в компютърната мрежа на организацията, това може да създаде опасения и в двете области. Преди да разрешите на вашия продукт да се свърже с мрежата, организацията първо трябва да установи, че няма недостатъци във вашия продукт, които биха могли да компрометират мрежовите данни. Той също така трябва да определи, че продуктът работи правилно и няма да създава проблеми с други приложения или оборудване или да създава ненужни проблеми с техническата поддръжка.

Кандидатстване за АТО

Ако една организация изисква да получите ATO, преди продуктът ви да може да бъде използван там, трябва да се свържете със съответния сертифициращ орган в тази организация. Бъдете готови да предложите проба от вашия продукт, за да може да бъде тестван. В случая на правителствените служби трябва да очаквате да преминете и през проверка на сигурността. Времето, което отнема процесът на проверка варира в широки граници. За организация като Министерството на отбраната процесът може да отнеме няколко години.

Правителствени АТО

Федералният закон за управление на информационната сигурност изисква федералните държавни агенции да имат система за оценка и наблюдение на рисковете за сигурността на продуктите. Те могат да се прилагат от всеки отдел независимо, като Агенцията за информационна система за отбрана, или чрез междуведомствени органи като Федералната програма за управление на риска и разрешенията, която сертифицира облачни продукти и услуги за множество правителствени служби. Сертифициращият орган за всяка агенция е различен. След като установите агенция, която би била подходяща за вашия продукт, трябва да се свържете с този сертифициращ орган.

Видове статус на АТО

Ако кандидатствате за АТО, може да ви бъде предоставен един от трите статуса. Ако на вашия продукт е издадено АТО, продуктът може да се използва в организацията. АТО обикновено се предоставят за определен период от време, като например три години, и тогава продуктът може да се наложи да бъде оценен отново. Отказ на разрешение за работа означава, че продуктът не може да се използва в средата на организацията. Временно разрешение за работа може да бъде издадено за кратък период от време или при ограничени условия, докато бъде одобрено или отказано.