Proces certyfikacji i akredytacji Departamentu Obrony w zakresie zapewniania informacji

Proces certyfikacji i akredytacji zapewniania informacji DoD ( DIACAP ) to przestarzały proces Departamentu Obrony Stanów Zjednoczonych (DoD), którego celem jest zapewnienie, że firmy i organizacje stosują zarządzanie ryzykiem w systemach informatycznych (IS). DIACAP zdefiniował formalny i standardowy zestaw działań, ogólnych zadań i struktury zarządzania dla całego Departamentu Obrony w celu certyfikacji i akredytacji ( C&A) DoD IS, który utrzymywał pozycję zapewniania informacji (IA) przez cały cykl życia systemu .

Od maja 2015 r. DIACAP został zastąpiony przez „ Ramy zarządzania ryzykiem (RMF) dla DoD Information Technology (IT)”. Chociaż ponowne akredytacje za pośrednictwem DIACAP trwały do ​​końca 2016 r., systemy, które nie rozpoczęły jeszcze akredytacji do maja 2015 r., musiały przejść na procesy RMF. DoD RMF jest zgodny z ramami zarządzania ryzykiem (RMF) Narodowego Instytutu Standardów i Technologii (NIST).

Historia

DIACAP był wynikiem kierowanej przez NSA zmiany podstawowych podejść do bezpieczeństwa. Tymczasowa wersja DIACAP została podpisana 6 lipca 2006 r. i zastąpiła tymczasowe wytyczne DITSCAP. Ostateczna wersja nosi nazwę Instrukcja Departamentu Obrony 8510.01 i została podpisana 12 marca 2014 r. (poprzednia wersja to 28 listopada 2007 r.).

DODI 8500.01 Cyberbezpieczeństwo http://www.dtic.mil/whs/directives/corres/pdf/850001_2014.pdf ,

DODI 8510.01 Ramy zarządzania ryzykiem (RMF) dla DoD Information Technology (IT) https://fas.org/irp/doddir/dod/i8510_01.pdf

DIACAP różnił się od DITSCAP na kilka sposobów - w szczególności w przyjęciu idei kontroli zapewniania informacji (zdefiniowanej w DoDD 8500.1 i DoDI 8500.2) jako podstawowego zestawu wymagań bezpieczeństwa dla wszystkich zautomatyzowanych systemów informacyjnych (AIS). Stosowne kontrole IA zostały przydzielone na podstawie kategorii gwarancji misji systemu (MAC) i poziomu poufności (CL).

Proces

• Profil identyfikacji systemu
• Plan wdrożenia DIACAP
• Walidacja
• Określenie certyfikacji
• Karta wyników DIACAP
• POA&M
• Decyzja o zezwoleniu na prowadzenie działalności
• Akceptacja ryzyka rezydualnego

• Wytyczne DIACAP w środowisku wsparcia zapewniania informacji DoD
• Usługa wiedzy DIACAP (wymaga certyfikatu DoD PKI )
• Indeksator kontroli DIACAP
• Pełna lista faz DIACAP wraz z instrukcjami na GovITwiki.
• DPT. Instrukcja obrony 8510.01: Proces certyfikacji i akredytacji zapewniania informacji DoD
• Dyrektywa Departamentu Obrony 8500.1: Zapewnienie informacji (IA)
• Instrukcja Departamentu Obrony 8500.2: Implementacja zapewniania informacji (IA).

Linki zewnętrzne

• Zatwierdzone przez DoD certyfikaty bazowe 8570