Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 2

Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 2 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.

Pourquoi est-ce important

Cette directive fédérale américaine définit la stratégie et les procédures de sécurité pour le stockage, le traitement et la communication de renseignements sensibles dans les systèmes d'information. Un système d'information est constitué de tout logiciel, microprogramme ou matériel utilisé pour l'acquisition, le stockage, la manipulation, la gestion, le déplacement, le contrôle, l'affichage, la commutation, les échanges, la transmission ou la réception de la voix et de données (numérique ou analogique).

Cette stratégie s'applique à toutes les organisations gouvernementales des Etats-Unis, leurs sous-traitants commerciaux et aux systèmes d'information des gouvernements alliés qui traitent, stockent ou communiquent des renseignements sensibles.

Processus d'accréditation

Le manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information" publié par le DCI propose 11 étapes d'accréditation d'un système d'information. Ces étapes sont les suivantes :

Déterminer le niveau de risque
Déterminer le niveau de protection
Déterminer les exigences des systèmes interconnectés
Identifier les exigences de sécurité et d'assurance techniques
Déterminer les activités de test et de documentation requises
Rédiger le plan de sécurité du système
Valider la sécurité existante
Tester par rapport aux exigences de sécurité
Préparer le dossier de certification
Transmettre le dossier de certification
Décision d'accréditation par le DAA