Der Begriff „Betriebserlaubnis“ bezieht sich auf die Erlaubnis zur Verwendung eines Produkts in einem vorhandenen System. Es wird in der Bundesregierung häufig für die Informationstechnologie eingesetzt. Bevor beispielsweise ein Softwareprogramm von Mitarbeitern in einem Netzwerk installiert werden kann, erfordert dieses Programm möglicherweise eine ATO. Die Stelle, die die ATO ausstellt, bescheinigt, dass das Produkt oder die Dienstleistung mit vorhandenen Systemen funktioniert. Private Unternehmen und andere Organisationen verwenden ebenfalls ATOs.
Warum Organisationen ATOs verwenden
Während eine Organisation ATOs aus irgendeinem Grund verwenden kann, verwendet sie diese hauptsächlich, wenn Sicherheit oder Betriebsintegrität von Bedeutung sind. Wenn Sie beispielsweise eine Software-App entwickeln, die für die Verwendung im Computernetzwerk eines Unternehmens entwickelt wurde, kann dies in beiden Bereichen zu Problemen führen. Bevor Ihr Produkt eine Verbindung zum Netzwerk herstellen kann, muss das Unternehmen zunächst feststellen, dass Ihr Produkt keine Fehler aufweist, die die Netzwerkdaten gefährden könnten. Außerdem muss festgestellt werden, dass das Produkt ordnungsgemäß funktioniert und keine Probleme mit anderen Apps oder Geräten oder unnötige Probleme mit dem technischen Support verursacht.
Beantragung einer ATO
Wenn eine Organisation verlangt, dass Sie eine ATO erhalten, bevor Ihr Produkt dort verwendet werden kann, müssen Sie sich an die entsprechende Zertifizierungsstelle in dieser Organisation wenden. Seien Sie bereit, ein Muster Ihres Produkts anzubieten, damit es getestet werden kann. Bei Regierungsabteilungen sollten Sie damit rechnen, auch Sicherheitsüberprüfungen durchzuführen. Die Zeit, die der Überprüfungsprozess benötigt, ist sehr unterschiedlich. Für eine Organisation wie das Verteidigungsministerium kann der Prozess mehrere Jahre dauern.
Regierungs-ATOs
Das Bundesgesetz über das Management der Informationssicherheit schreibt vor, dass die Bundesbehörden über ein System zur Bewertung und Überwachung der Sicherheitsrisiken von Produkten verfügen. Diese können von jeder Abteilung unabhängig implementiert werden, z. B. von der Agentur für Verteidigungsinformationssysteme, oder von abteilungsübergreifenden Stellen wie dem Federal Risk and Authorization Management Program, das Cloud-basierte Produkte und Dienstleistungen für mehrere Regierungsabteilungen zertifiziert. Die Zertifizierungsstelle für jede Agentur ist unterschiedlich. Sobald Sie eine Agentur identifiziert haben, die gut zu Ihrem Produkt passt, müssen Sie sich an diese Zertifizierungsstelle wenden.
Arten des ATO-Status
Wenn Sie eine ATO beantragen, erhalten Sie möglicherweise einen von drei Status. Wenn Ihrem Produkt eine ATO ausgestellt wurde, kann das Produkt innerhalb der Organisation verwendet werden. ATOs werden normalerweise für einen bestimmten Zeitraum gewährt, z. B. drei Jahre. Anschließend muss das Produkt möglicherweise erneut bewertet werden. Eine Verweigerung der Betriebserlaubnis bedeutet, dass das Produkt möglicherweise nicht in der Umgebung des Unternehmens verwendet wird. Eine vorläufige Betriebserlaubnis kann für einen kurzen Zeitraum oder unter begrenzten Bedingungen erteilt werden, bis sie genehmigt oder verweigert wird.