Reconhecendo a necessidade para a certificação

Share

|

Todos os sistemas de sustentação gerais e aplicações principais são requeridos por FISMA e pelo escritório de gerência e de orçamento (OMB) inteiramente a ser certificados e acreditado antes que estejam postos na produção. Os sistemas de produção e as aplicações principais são requeridos para ser reaccredited cada três anos. Ir para a frente nós consultaremos aos sistemas que requerem C&A (por exemplo, sistemas de sustentação gerais e aplicações principais) simplesmente como sistemas de informação.

Um dos objetivos preliminares de C&A é forçar o oficial autorizando a compreender que os riscos que um sistema de informação poses às operações da agência. Somente após a compreensão os riscos enlatam um oficial autorizando asseguram-se de que o sistema de informação receba a atenção adequada para mitigate riscos inaceitáveis. O risco de avaliação e documentar os resultados são algo que deve ser incorporado durante todo um ciclo de vida do desenvolvimento do sistema ou do sistema de application.s. O NIST definiu o ciclo de vida do desenvolvimento do sistema para consistir em cinco fases:

1. Iniciação do sistema

2. Desenvolvimento e aquisição

3. Execução

4. Operação e manutenção

5. Eliminação

FISMA exige que os sistemas e as aplicações novos necessitem ser inteiramente certi- fied e acreditem antes que possam ser postos no mais melhor tempo de production.The começar o C&A de sistemas novos e as aplicações forem quando estiverem ainda no desenvolvimento. É o mais fácil projetar a segurança em um sistema que não seja construído ainda. Quando os sistemas de informação novos estão sendo propostos e projetados, a parte do desenvolvimento deve incluir discussões no What nós necessita fazer para assegurar-se de que este sistema de informação possa ser certificado e acreditado?. Depois que uma aplicação nova é construída e apronte para ser executado não é o momento de figurar para fora se suportar uma revisão detalhada da certificação.

Os sistemas do legacy que se realizam já em sua fase operacional são mais duros de certificar e acreditar porque é completamente possível que estiveram postos na produção com o pouco a nenhuma segurança feita exame na consideração. Em unir o pacote da certificação para um sistema do legacy, pode-se descobrir que os controles adequados da segurança não estiveram postos no lugar. Se se tornar desobstruído que os controles adequados da segurança não estiveram postos no lugar, o líder de projeto de C&A pode decidir-se pôr temporariamente sobre prende o desenvolvimento do pacote da certificação quando os controles adequados da segurança forem desenvolvidos e executados. Faz a pouco o sentido gastar os recursos para desenvolver um pacote da certificação que recomende que um sistema de informação não ser acreditado. Entretanto, vir a uma compreensão que um sistema de informação não estêve preparado corretamente para o accreditation é precisamente uma razão porque C&A exists.it é um processo que permita autorizar oficiais descobrir as verdades da segurança sobre seu infrastructure de modo que as decisões informed possam ser feitas.