Rapport DCID 6/3 - Disponibilité de base
Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de disponibilité pour les systèmes fonctionnant avec le niveau de protection de base décrit au chapitre 6 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau de base" signifie que les informations doivent être disponibles avec une tolérance de retard flexible. La perte de disponibilité aura une incidence néfaste.
Pourquoi est-ce important
Cette directive fédérale américaine définit la stratégie et les procédures de sécurité pour le stockage, le traitement et la communication de renseignements sensibles dans les systèmes d'information. Dans la mesure où les renseignements sensibles sont un atout majeur pour la sécurité nationale des Etats-Unis, il est essentiel que ces informations soient correctement gérées et que leur confidentialité, intégrité, et disponibilité soient assurées.
Cette stratégie s'applique à toutes les organisations gouvernementales des Etats-Unis, leurs sous-traitants commerciaux et aux systèmes d'information des gouvernements alliés qui traitent, stockent ou communiquent des renseignements sensibles.
Processus d'accréditation
Le manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information" publié par le DCI propose 11 étapes d'accréditation d'un système d'information. Ces étapes sont les suivantes :
- Déterminer le niveau de risque
- Déterminer le niveau de protection
- Déterminer les exigences des systèmes interconnectés
- Identifier les exigences de sécurité et d'assurance techniques
- Déterminer les activités de test et de documentation requises
- Rédiger le plan de sécurité du système
- Valider la sécurité existante
- Tester par rapport aux exigences de sécurité
- Préparer le dossier de certification
- Transmettre le dossier de certification
- Décision d'accréditation par le DAA