Identification du besoin de certification

Share

|

Tous les systèmes généraux de soutien et applications principales sont exigés par FISMA et le bureau de la gestion et du budget (OMB) entièrement à certifier et être accréditée avant qu'ils soient mis dans la production. Des systèmes de production et les applications principales sont exigés pour être reaccredited tous les trois ans. Aller en avant nous nous référerons aux systèmes qui exigent C&A (par exemple, les systèmes généraux de soutien et les applications principales) simplement comme systèmes d'information.

Un des premiers objectifs de C&A est de forcer le fonctionnaire d'autorisation à comprendre que les risques que un système d'information pose aux opérations d'agence. Seulement après l'arrangement les risques mettent en boîte un fonctionnaire d'autorisation s'assurent que le système d'information a suscité à attention proportionnée pour atténuer des risques inacceptables. Le risque d'évaluation et la documentation des résultats est quelque chose qui devrait être incorporé tout au long d'un cycle de vie de développement de système ou de système d'application.s. Le NIST a défini le cycle de vie de développement de système pour se composer de cinq phases :

1. Déclenchement de système

2. Développement et acquisition

3. Exécution

4. Opération et entretien

5. Disposition

FISMA exige que les nouveaux systèmes et applications doivent être entièrement certi- fied et ont accrédité avant qu'ils puissent être mis dans le meilleur temps de production.The de commencer le C&A de nouveaux systèmes et les applications est tandis qu'elles sont toujours à l'étude . Il est le plus facile de concevoir la sécurité dans un système qui n'a pas été encore établi. Quand de nouveaux systèmes d'information sont proposés et conçus, une partie du développement devrait inclure des discussions sur le What nous doit faire pour s'assurer que ce système d'information peut être certifié et accrédité ?. Après qu'une nouvelle application soit établie et préparez pour être mis en application n'est pas l'heure de figurer dehors si elle résistera à une revue complète de certification.

Il est plus difficile de certifier et accréditer les systèmes de legs qui ont lieu déjà dans leur phase opérationnelle parce qu'il est tout à fait possible qu'ils aient été mis dans la production avec peu à aucune sécurité prise en compte. En remontant le paquet de certification pour un système de legs, il peut découvrir qu'à démuni proportionné de commandes de sécurité installé. S'il apparaît clairement qu'à démuni proportionné de commandes de sécurité installé, le chef de projet de C&A peut décider de mettre temporairement dessus tenez le développement du paquet de certification tandis qu'à commandes proportionnées de sécurité sont développées et mises en application. Elle semble à peu raisonnable de dépenser les ressources pour développer un paquet de certification qui recommande qu'un système d'information pour ne pas être accrédité. Cependant, venir à un arrangement qu'un système d'information n'a pas été correctement préparé pour l'accréditation est avec précision une raison pour laquelle C&A exists.it est un processus qui permet autoriser des fonctionnaires à découvrir les vérités de sécurité au sujet de leur infrastructure de sorte que des décisions au courant puissent être prises.