Reconociendo la necesidad de una certificación

Share

|

Todos los sistemas de apoyo general y las principales aplicaciones son requeridas por FISMA y la Oficina de Gerencia y Presupuesto (OMB) al ser plenamente certificados y acreditados antes de su puesta en producción. Los sistemas de producción y las principales aplicaciones se requieren para ser reacreditado cada tres años. En adelante nos referiremos a los sistemas que requieren de C & A (por ejemplo, los sistemas generales de apoyo y las principales aplicaciones) simplemente como sistemas de información.

Uno de los objetivos primarios de C & A es para obligar al funcionario que autoriza a entender los riesgos de un sistema de información plantea a las operaciones de la agencia. Sólo después de entender los riesgos que puede un funcionario que autoriza garantizar que el sistema de información ha recibido la atención adecuada para mitigar los riesgos inaceptables. Evaluar el riesgo y la documentación de los resultados es algo que debe ser incorporado a través de un sistema o ciclo de vida de la aplicación de desarrollo de sistemas. NIST ha definido el ciclo de vida de desarrollo del sistema que consiste de cinco fases:

1. Sistema de iniciación

2. Desarrollo y la adquisición

3. Aplicación

4. Operación y mantenimiento

5. Eliminación

mandatos FISMA que los nuevos sistemas y aplicaciones deben ser plenamente certificados y acreditados-cado antes de que se pueden poner en mejor tiempo production.The para comenzar el C & A, de nuevos sistemas y aplicaciones, mientras que todavía están en el desarrollo. Es más fácil para el diseño de seguridad en un sistema que todavía no se ha construido. Cuando los nuevos sistemas de información están siendo propuestos y diseñados, que forma parte del desarrollo debe incluir discusiones sobre el tema "¿Qué necesitamos hacer para asegurar que este sistema de información pueden ser certificados y acreditados?" Después de una nueva aplicación está construido y listo para su aplicación es no es el momento de averiguar si va a soportar un examen completo de certificación.

los sistemas de legado que ya están en su fase de explotación son más difíciles de certificar y acreditar porque es muy posible que se pusieron en producción con poca o ninguna seguridad de tener en cuenta. En la elaboración del Paquete de certificación de un sistema de legado, se puede descubrir que los controles adecuados de seguridad no se han puesto en su lugar. Si se pone de manifiesto que los controles adecuados de seguridad no se han puesto en su lugar, el C y un responsable de proyecto puede decidir poner temporalmente en suspenso el desarrollo de la Certificación del paquete mientras que los controles de seguridad adecuadas se desarrollan e implementan. No tiene mucho sentido gastar los recursos para desarrollar un Paquete de certificación que recomienda que no es un sistema de información estén debidamente acreditados. Sin embargo, llegar a un entendimiento de que un sistema de información no ha sido adecuadamente preparado para la acreditación es precisamente la razón por la C & A existe, es un proceso que permite que se autoriza a los funcionarios para descubrir las verdades de seguridad acerca de su infraestructura para que las decisiones informadas se puede hacer.

---