Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 4
Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 4 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
Pourquoi est-ce important
Cette directive fédérale américaine définit la stratégie et les procédures de sécurité pour le stockage, le traitement et la communication de renseignements sensibles dans les systèmes d'information. Un système d'information est constitué de tout logiciel, microprogramme ou matériel utilisé pour l'acquisition, le stockage, la manipulation, la gestion, le déplacement, le contrôle, l'affichage, la commutation, les échanges, la transmission ou la réception de la voix et de données (numérique ou analogique).
Cette stratégie s'applique à toutes les organisations gouvernementales des Etats-Unis, leurs sous-traitants commerciaux et aux systèmes d'information des gouvernements alliés qui traitent, stockent ou communiquent des renseignements sensibles.
Processus d'accréditation
Le manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information" publié par le DCI propose 11 étapes d'accréditation d'un système d'information. Ces étapes sont les suivantes :
- Déterminer le niveau de risque
- Déterminer le niveau de protection
- Déterminer les exigences des systèmes interconnectés
- Identifier les exigences de sécurité et d'assurance techniques
- Déterminer les activités de test et de documentation requises
- Rédiger le plan de sécurité du système
- Valider la sécurité existante
- Tester par rapport aux exigences de sécurité
- Préparer le dossier de certification
- Transmettre le dossier de certification
- Décision d'accréditation par le DAA