Zich bewust van de behoefte aan certificering


  Share  
|

Alle algemene ondersteunende systemen en de belangrijkste toepassingen zijn vereist door FISMA en het Office of Management and Budget (OMB) volledig gecertificeerd en geaccrediteerd voordat zij in productie genomen. Productie systemen en belangrijke toepassingen moeten worden om de drie jaar reaccredited. Naar de toekomst toe zullen we verwijzen naar dat C & A (bijv. algemene ondersteunende systemen en de belangrijkste toepassingen vereisen) gewoon als informatie-systemen.

Een van de primaire doelstellingen van C & A is de officiële machtiging om de risico's van een informatiesysteem vormt voor operaties agentschap begrijpen kracht. Pas na het begrijpen van de risico's kan een machtiging ambtenaar ervoor dat de informatie systeem voldoende aandacht aan onaanvaardbare risico's te beperken heeft ontvangen. Evaluatie van de risico's en documenteren van de resultaten is iets dat moet worden opgenomen in een systeem of een systeem applicatie ontwikkeling van de levenscyclus. NIST is het systeem ontwikkelingscyclus omschreven bestaat uit vijf fasen:

1. Systeem inleiding

2. Ontwikkeling en aanschaf

3. Implementatie

4. Exploitatie en onderhoud

5. Verwijdering

FISMA mandaten die nieuwe systemen en applicaties moeten volledig gecertificeerd en erkend voordat ze kunnen worden gebracht production.The beste tijd om de C & A van nieuwe systemen en applicaties is terwijl ze nog in het begin ontwikkeling. Het is het eenvoudigst te ontwerpen zekerheid in een systeem dat nog niet is gebouwd. Als er nieuwe informatie systemen worden voorgesteld en ontworpen, een deel van de ontwikkeling dient besprekingen over "Wat moeten we doen om ervoor te zorgen dat deze informatie systeem kan worden gecertificeerd en erkend?" Na een nieuwe applicatie is gebouwd en klaar om te worden uitgevoerd is niet de tijd om uit te vinden wanneer zij een alomvattende certificering herziening zal weerstaan.

Legacy systemen die al in hun operationele fase zijn moeilijker te certificeren en erkennen, omdat het helemaal mogelijk is dat ze in productie met weinig tot geen beveiliging in aanmerking genomen. Bij het samenstellen van de certificering pakket voor een legacy systeem kan worden ontdekt dat er adequate beveiligingsmaatregelen niet zijn ingevoerd. Als duidelijk wordt dat er voldoende beveiligingsmaatregelen niet zijn ingevoerd, de C & A projectleider kan besluiten om tijdelijk in de wachtstand de ontwikkeling van de certificering Pakket terwijl adequate veiligheidscontroles worden ontwikkeld en uitgevoerd. Het heeft weinig zin om de middelen te besteden aan een certificatie-pakket beveelt aan dat een informatie-systeem niet worden geaccrediteerd te ontwikkelen. Echter, die naar het inzicht dat een informatie-systeem niet correct is opgesteld voor de erkenning is juist een reden waarom C & A bestaat-het is een proces dat tot machtiging van de ambtenaren in staat stelt om de veiligheid waarheden over hun infrastructuur zo ontdekken dat geïnformeerde beslissingen kunnen worden gemaakt.

een artikel afkomstig van Hemant Baidwan

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions