Was ist Betriebsberechtigung (ATO)?
Der Begriff "Betriebsberechtigung" bezieht sich auf die Erlaubnis, dass ein Produkt in einem vorhandenen System verwendet wird. Es wird in der Bundesregierung häufig für Informationstechnologie verwendet. Bevor beispielsweise ein Softwareprogramm von Mitarbeitern in einem Netzwerk installiert werden kann, erfordert dieses Programm möglicherweise ein ATO. Die Stelle, die die ATO herausgibt, bestätigt, dass das Produkt oder die Dienstleistung mit vorhandenen Systemen zusammenarbeitet. Private Unternehmen und andere Organisationen verwenden auch ATOs.
Warum Organisationen ATOs verwenden
Während eine Organisation ATOs aus beliebigen Gründen verwenden kann, verwendet sie sie in erster Linie, wenn Sicherheit oder betriebliche Integrität von Belang sind. Wenn Sie beispielsweise eine Software-App entwickeln, die im Computernetzwerk eines Unternehmens verwendet werden soll, kann dies in beiden Bereichen zu Besorgnis führen. Bevor Sie Ihr Produkt mit dem Netzwerk verbinden können, muss das Unternehmen zunächst feststellen, dass in Ihrem Produkt keine Fehler vorhanden sind, die die Netzwerkdaten beeinträchtigen könnten. Außerdem muss festgestellt werden, dass das Produkt ordnungsgemäß funktioniert und keine Probleme mit anderen Apps oder Geräten oder unnötigen technischen Support verursacht.
Ein ATO beantragen
Wenn für eine Organisation ein ATO erforderlich ist, bevor Ihr Produkt dort verwendet werden kann, müssen Sie sich an die entsprechende Zertifizierungsstelle innerhalb dieser Organisation wenden. Seien Sie darauf vorbereitet, ein Muster Ihres Produkts anzubieten, damit es getestet werden kann. Im Falle von Regierungsabteilungen sollten Sie auch mit einer Sicherheitsüberprüfung rechnen. Die Zeit, die der Überprüfungsprozess dauert, ist sehr unterschiedlich. Für eine Organisation wie das Verteidigungsministerium kann der Prozess mehrere Jahre dauern.
Regierungs-ATOs
Das Bundesinformationsschutz-Managementgesetz schreibt vor, dass die Bundesbehörden über ein System zur Bewertung und Überwachung der Sicherheitsrisiken von Produkten verfügen. Diese können von jeder Abteilung unabhängig implementiert werden, beispielsweise von der Abteilung für Informationssystem des Verteidigungsministeriums oder von Abteilungsgremien wie dem Federal Risk and Authorization Management Program, das Cloud-basierte Produkte und Dienstleistungen für mehrere Regierungsstellen zertifiziert. Die Zertifizierungsstelle für jede Agentur ist unterschiedlich. Wenn Sie eine Agentur gefunden haben, die zu Ihrem Produkt passt, müssen Sie sich an diese Zertifizierungsstelle wenden.
Arten des ATO-Status
Wenn Sie sich für ein ATO bewerben, erhalten Sie möglicherweise einen von drei Status. Wenn für Ihr Produkt ein ATO ausgestellt wurde, kann das Produkt innerhalb der Organisation verwendet werden. ATOs werden in der Regel für einen bestimmten Zeitraum, beispielsweise drei Jahre, gewährt, und das Produkt muss dann möglicherweise erneut bewertet werden. Eine Ablehnung der Betriebserlaubnis bedeutet, dass das Produkt nicht in der Umgebung der Organisation verwendet werden darf. Eine vorläufige Betriebsgenehmigung kann für einen kurzen Zeitraum oder unter begrenzten Bedingungen erteilt werden, bis sie genehmigt oder abgelehnt wird.