Все общие системы поддержки и основные приложения требуется FISMA и Бюро управления и бюджета (АБУ), которые будут полностью сертифицированные и аккредитованные До ввода в производство. Производство систем и основных прикладных должны продления каждые три года. Переход вперед мы рассмотрим систем, требующих С и А (например, общую поддержку системы и основных приложений) просто, как создание информационных систем.
|
|
Одна из основных задач С и А заставить разрешать официальных понять рисков информационной системы ставит перед учреждением операций. Только после понимания опасности могут соответствующего официального обеспечить, чтобы информационная система получила достаточное внимание смягчения неприемлемые риски. Оценка рисков и документирование результатов - это то, что должно быть включено в систему или применения системы развития жизненного цикла. НИСТ определило жизненный цикл развития системы состоит из пяти этапов:
1. Система возбуждения
2. Разработка и приобретение
3. Осуществления
4. Эксплуатация и техническое обслуживание
5. Распоряжении
FISMA мандатов, что новые системы и приложения должны быть полностью certi - fied и аккредитованных прежде, чем они смогут быть введены в production.The лучшее время для начала С и А новых систем и приложений - а они все еще находятся в разработке. Это простой разработки в области безопасности системы, которая еще не построена. При новых информационных систем в настоящее время предложены и разработаны, в рамках разработки должны включать обсуждение "Что нам необходимо сделать для того, что эта информационная система может быть сертифицированы и аккредитованы"? После новую заявку построен и готов будет осуществляться это не время, чтобы выяснить, если он будет выдерживать всеобъемлющий обзор сертификации.
Унаследованные системы, которые уже есть в их оперативную фазу сложнее сертификации и аккредитации, поскольку это вообще возможно, что они были введены в производство с практически безопасности не учтены. В воедино сертификации Пакет для старой системы, может быть обнаружено, что адекватного контроля безопасности не были введены в действие. Если станет ясно, что адекватного контроля безопасности не были введены в действие, С и А руководитель проекта может принять решение временно отложено развития сертификации упаковки, хотя достаточное контроля безопасности разрабатываются и осуществляются. Вряд ли имеет смысл тратить ресурсы на разработку сертификации Пакет что рекомендует информационную систему, не будут аккредитованы. Однако ближайшие к пониманию, что информационная система не была должным образом подготовлены для аккредитации как раз одна из причин, почему C и A существует - это процесс, который позволяет разрешать должностным лицам открыть истин о безопасности своей инфраструктуры с тем, что сообщил решение может быть принято .
|
|