Rapport DCID 6/3 - Intégrité moyenne
Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles d'intégrité pour les systèmes fonctionnant avec le niveau d'intégrité moyenne décrit au chapitre 5 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau moyen" signifie qu'un degré de résistance élevé mais non absolu contre les modifications non autorisées est requis. Une perte moyenne d'intégrité peut provoquer des dommages corporels ou avoir une incidence néfaste sur les intérêts de l'organisation.
Pourquoi est-ce important
Cette directive fédérale américaine définit la stratégie et les procédures de sécurité pour le stockage, le traitement et la communication de renseignements sensibles dans les systèmes d'information. Dans la mesure où les renseignements sensibles sont un atout majeur pour la sécurité nationale des Etats-Unis, il est essentiel que ces informations soient correctement gérées et que leur confidentialité, intégrité, et disponibilité soient assurées.
Cette stratégie s'applique à toutes les organisations gouvernementales des Etats-Unis, leurs sous-traitants commerciaux et aux systèmes d'information des gouvernements alliés qui traitent, stockent ou communiquent des renseignements sensibles.
Processus d'accréditation
Le manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information" publié par le DCI propose 11 étapes d'accréditation d'un système d'information. Ces étapes sont les suivantes :
- Déterminer le niveau de risque
- Déterminer le niveau de protection
- Déterminer les exigences des systèmes interconnectés
- Identifier les exigences de sécurité et d'assurance techniques
- Déterminer les activités de test et de documentation requises
- Rédiger le plan de sécurité du système
- Valider la sécurité existante
- Tester par rapport aux exigences de sécurité
- Préparer le dossier de certification
- Transmettre le dossier de certification
- Décision d'accréditation par le DAA