In Anerkennung der Notwendigkeit zur Zertifizierung

Alle allgemeinen Support-Systeme und wichtige Anwendungen werden von FISMA und das Office of Management and Budget (OMB) benötigt, um vollständig zertifiziert und akkreditiert, bevor sie in Produktion gehen. Produktionssysteme und wichtigen Anwendungen sind erforderlich, um reakkreditiert alle drei Jahre. In Zukunft werden wir beziehen sich auf Systeme, erfordern C & A (z. B. allgemeine Support-Systeme und wichtige Anwendungen) einfach als Informations-Systeme.

Eines der primären Ziele der C & A ist es, die Anweisungsbefugten, die Risiken eines Informationssystems stellt die Agenturen Operationen verstehen Kraft. Erst nachdem das Verständnis der Risiken kann eine Ermächtigung Beamte sicher, dass das Informationssystem über ausreichende Aufmerksamkeit zu unannehmbaren Risiken zu mindern erhalten. Evaluierung des Risiko-und Dokumentation der Ergebnisse ist etwas, das innerhalb eines Systems oder Anwendung System-Lebenszyklus integriert werden sollten. NIST hat das System Entwicklungszyklus aus fünf Phasen bestehen definiert:

1. System Einleitung

2. Entwicklung und Akquisition

3. Umsetzung

4. Betrieb und Wartung

5. Entsorgung

FISMA Mandate, die neue Systeme und Anwendungen in vollem Umfang zertifizierten und akkreditierten müssen, bevor sie in Produktionssektoren beste Zeit genommen werden können, um die C & A neuer Systeme und Applikationen zu beginnen ist, während sie noch in sind Entwicklung. Am einfachsten ist es um die Sicherheit in einem System, das noch nicht gebaut worden Design. Wenn neue Informationen Systeme vorgeschlagen werden und entwickelt ein Teil der Entwicklung sollten auch Diskussionen über "Was wollen wir tun müssen, um sicherzustellen, dass diese Informationen zertifiziert werden können und akkreditiert?" Nach einer neuen Anwendung aufgebaut ist und bereit, umgesetzt werden soll nicht die Zeit, um herauszufinden, ob es sich um eine umfassende Zertifizierung Überprüfung standhalten.

Legacy-Systeme, die bereits in ihre operationelle Phase sind schwerer zu zertifizieren und akkreditieren, da es durchaus möglich ist, dass sie in die Produktion mit wenig bis gar keine Sicherheit berücksichtigt setzen. Bei der Zusammenstellung der Zertifizierung-Paket für ein Altsystem, kann es entdeckt, dass angemessene Sicherheitskontrollen nicht eingeführt worden sein. Wenn es klar, dass angemessene Sicherheitskontrollen nicht eingeführt worden wird, kann die C & A Projektleiter entscheiden, vorübergehend auf Eis der Entwicklung der Zertifizierung Paket geschnürt, während angemessene Sicherheitskontrollen entwickelt und umgesetzt werden. Es macht wenig Sinn, die Ressourcen aufwenden, um die Entwicklung einer Certification Package empfiehlt, dass ein Informationssystem nicht akkreditiert werden. Allerdings kommen zu der Einsicht, dass ein Informationssystem nicht ordnungsgemäß für die Akkreditierung vorbereitet ist gerade ein Grund, warum C & A existiert, es ist ein Prozess, der Ermächtigung der Beamten für die Sicherheit Wahrheiten über ihre Infrastruktur, so dass fundierte Entscheidungen getroffen werden entdecken können.

Verfasst von Hemant Baidwan