Riconoscere l'esigenza della certificazione

Share

|

Tutti i sistemi di supporto generali ed applicazioni importanti sono richiesti da FISMA e dall'ufficio dell'amministrazione e del preventivo (OMB) completamente da certificare ed accreditare prima che siano messi in produzione. I sistemi di produzione e le applicazioni importanti sono richiesti per essere reaccredited ogni tre anni. Andare in avanti ci riferiremo ai sistemi che richiedono semplicemente C&A (per esempio, sistemi di supporto generali ed applicazioni importanti) come sistemi d'informazione.

Uno degli obiettivi primari di C&A è di forzare il funzionario d'autorizzazione capire che i rischi un sistema d'informazione comporta ai funzionamenti dell'agenzia. Solo dopo capire i rischi inscatolano un funzionario d'autorizzazione si accertano che il sistema d'informazione abbia ricevuto l'attenzione che sufficiente per attenuare i rischi inaccettabili. Il rischio di valutazione e documentare i risultati è qualcosa che dovrebbe essere compresa durante un lifecycle di sviluppo del sistema di application.s o del sistema. Il NIST ha definito il lifecycle di sviluppo del sistema per consistere di cinque fasi:

1. Inizio del sistema

2. Sviluppo ed aquisizione

3. Esecuzione

4. Funzionamento e manutenzione

5. Eliminazione

FISMA affida che in mandato i nuovi sistemi ed applicazioni devono essere completamente certi- fied ed accreditato prima che possano essere messi in tempo migliore di production.The di cominciare il C&A di nuovi sistemi e le applicazioni sia mentre sono ancora in via di sviluppo . È il più facile da progettare la sicurezza in un sistema che ancora non è stato sviluppato. Quando i nuovi sistemi d'informazione stanno proponendi e progettandi facente parte lo sviluppo dovrebbe includere le discussioni su What noi deve fare per accertarsi che questo sistema d'informazione possa essere certificato ed accreditato?. Dopo che una nuova applicazione sia sviluppata e aspetti per essere effettuato non è il momento di calcolare fuori se sosterrà una revisione completa di certificazione.

I sistemi dell'eredità che hanno luogo già nella loro fase operativa sono più duri da certificare ed accreditare perché è complessivamente possibile che sono stati messi in produzione con piccolo a nessuna sicurezza presa in considerazione. Nell'unire il pacchetto di certificazione per un sistema dell'eredità, può essere scoperto che i comandi sufficienti di sicurezza non sono stati installati. Se essere evidente che i comandi sufficienti di sicurezza non sono stati installati, il capo di progetto di C&A può decidere temporaneamente mettere sopra tiene lo sviluppo del pacchetto di certificazione mentre i comandi sufficienti di sicurezza sono sviluppati ed effettuati. Ha piccolo il significato spendere le risorse per sviluppare un pacchetto di certificazione che suggerisce che un sistema d'informazione per non essere accreditato. Tuttavia, venire ad una comprensione che un sistema d'informazione non è stato preparato correttamente per l'accreditamento è precisamente una ragione per la quale C&A exists.it è un processo che permette l'autorizzazione dei funzionari scoprire le verità di sicurezza circa la loro infrastruttura in moda da potere prendere le decisioni informed.