Ruoli e responsabilità in Creditation e nell'accreditamento CA
C&A fa partecipare insieme la gente differente molto tutto il funzionamento sulle mansioni differenti. Ci è la gente che sviluppa il programma di C&A, la gente che prepara i pacchetti di certificazione, la gente che è giudicata responsabile per i pacchetti di certificazione, i revisori dei conti dell'agenzia che valutano i pacchetti di certificazione prima dell'accreditamento e gli ispettori federali che verificano l'agenzia per assicurarsi che stanno facendo C&A il giusto senso. Addetto all'informazione PrincipaleL'addetto all'informazione principale dell'agenzia (CIO) è la persona più evidente giudicata responsabile per un programma riuscito di sicurezza delle informazioni ed il programma di C&A. È la responsabilità’di CIO s di assicurarsi che un programma di sicurezza delle informazioni, compreso un programma di C&A, esiste ed è effettuato. Tuttavia, la maggior parte della agenzia CIOs indossa’il gioco di t un ruolo hands-on nello sviluppare questi programmi. Il CIO indicherà solitamente lo sviluppo di questi programmi all'ufficiale di sicurezza maggiore delle informazioni dell'agenzia. Tuttavia, delegare lo sviluppo di programma non significa che il CIO non deve capire il processo. Se il CIO non capisce tutti gli elementi di un programma riuscito di C&A ci è poca probabilità che il CIO potrà giudicare l'ufficiale di sicurezza maggiore delle informazioni dell'agenzia responsabile dello sviluppare un programma completo. Senza capire i particolari del ché programma dovrebbe includere, il CIO non saprà se l'ufficiale di sicurezza maggiore delle informazioni dell'agenzia ha omesso qualche cosa. Una parte di C&A che non può essere trascurato è la necessità per il CIO di sviluppare un preventivo per C&A. C&A è molto tempo intenso ed introiti tipici di C&A in media sei mesi per fare un lavoro completo, pieno con tutti gli impianti richiesti di information.The CIO insieme al funzionario d'autorizzazione accertarsi che ci siano abbastanza di un preventivo per fornire le risorse di personale necessarie per unire il programma di certificazione. Se CIOs non preventivo per C&A, C&A non può ottenere done.The CIO permette a C&A di avvenire completamente capendo il processo di bilancio federale come documentato in una pubblicazione messa fuori dalla Casa Bianca conosciuta come No.A-11 la pianificazione della parte 7, stanziare, aquisizione e l'amministrazione circolari della pubblicazione dei Thisdel capitale fisso è attualmente disponibile a www.whitehouse.gov/omb/circulars/a11/2002/part7.pdf. A-11 la parte 7 riferisce l'altra guida di riferimento di bilancio che il CIO dovrebbe anche diventare esperto con, compreso uno conosciuto come documento 300 di OMB. Il documento 300 di OMB è attualmente disponibile a www.cio.gov/archive/S300_05 _ draft_0430.pdf. È infine il CIO che è probabile essere giudicato responsabile e responsabile se l'agenzia riceve un povero grado sulla scheda federale annuale rapporto di sicurezza del calcolatore. Una delle responsabilità del CIO deve preoccuparsi per il grado federale annuale della scheda rapporto di sicurezza del calcolatore. Se un'agenzia riceve un grado venente a mancare, allora chiaramente ci è male qualcosa con o il programma in se di C&A, o come il programma è effettuato. Se un'agenzia riceve un segno superiore sulla scheda federale annuale rapporto di sicurezza del calcolatore, allora per quanto C&A va, il processo sta funzionando il giusto senso. Mentre le schede federali rapporto di sicurezza del calcolatore ottengono ogni anno attenzione più e più pubblica, un povero segno sulla scheda di rapporto può essere un'esperienza carriera-di limitazione per tutta l'agenzia CIO. Autorizzazione Del FunzionarioIl funzionario d'autorizzazione è un termine generico per un funzionario dell'amministrazione maggiore in seno ad un'agenzia che autorizza i funzionamenti di un sistema d'informazione, dichiarante che i rischi connessi con esso sono accettabili. È improbabile che chiunque abbia tenuto il titolo “di autorizzazione del funzionario,” quindi non sto punteggiandolo qui con letters.There capitale posso essere multiplo che autorizza i funzionari in seno ad ogni agenzia, tutto il responsabile delle loro proprie zone indicate. In molte agenzie, il funzionario d'autorizzazione si riferisce a come l'autorità d'accreditamento indicata (DAA). Il funzionario d'autorizzazione ha solitamente responsabilità di bilancio dell'accertarsi che una determinata quantità di risorse sia messa per la sorveglianza del processo di C&A. L'agenzia CIO segnala solitamente al funzionario d'autorizzazione. Tuttavia, nelle grandi agenzie, in cui un certo rapporto dell'ufficio CIOs all'agenzia CIO, esso può essere il caso che un CIO è il funzionario d'autorizzazione. In altri casi il funzionario d'autorizzazione può essere il commissario o un commissario di aiuto. Se il funzionario ed i CIO d'autorizzazione sono due genti differenti, devono lavorare insieme per assicurarsi che un preventivo sufficiente è stato messo per C&A. Il funzionario d'autorizzazione, secondo l'istituto nazionale dei campioni, pubblicazione speciale 800-37 (maggio 2004), essere un impiegato del governo degli STATI UNITI e non può essere un appaltatore o un consulente. Tuttavia, il funzionario d'autorizzazione può indicare un rappresentante per effettuare le varie mansioni relative a C&A ed il rappresentante indicato può essere un appaltatore o un consulente. Tuttavia, la decisione finale di accreditamento di sicurezza e la relativa lettera accompagnante di decisione di accreditamento devono essere possedute e firmate dall'impiegato di governo degli STATI UNITI che è il funzionario d'autorizzazione. Ufficiale Di Sicurezza Maggiore Delle Informazioni Dell'AgenziaL'ufficiale di sicurezza maggiore delle informazioni dell'agenzia (SAISO) è la persona che quel CIO giudica responsabile per sorvegliare tutta la sicurezza’initiatives.The SAISO delle informazioni dell'agenzia s è analogo di un ufficiale di sicurezza principale delle informazioni nell'industria riservata. Esso’s possibile che CIOs può effettuare questo ruolo essi stessi, nel qual caso là il wouldn’t è una tenuta specifica separata queste responsabilità. Il SAISO funziona con l'agenzia che autorizza i funzionari a accertarsi che siano nell'accordo sui requisiti di sicurezza del sistema d'informazione così come i documenti chiave contenuti nel pacchetto di certificazione quali le valutazioni di rischio ed il programma di sicurezza. Nel funzionamento insieme, il SAISO ed i funzionari d'autorizzazione dovrebbero essere sicuri prendere considerazione nei requisiti di affari e di missione dell'agenzia. Il SAISO fornisce la svista dell'amministrazione all'agente di certificazione e funziona con lui o lei per accertarsi che il processo di C&A sia pensiero buono fuori ed includa tutta la documentazione necessaria e guidance.The SAISO nomini l'agente di certificazione e li giudica responsabili per realizzare le loro funzioni. Per il SAISO è molto importante scegliere con attenzione la loro certificazione Agent(s) perché dovranno contare sulle loro raccomandazioni di accreditamento. Il SAISO può desiderare rivedere tutti i pacchetti di certificazione che sono proceduti in seno all'agenzia; tuttavia, come aspetto pratico, è vicino ad impossible fare questo. Nella maggior parte delle agenzie, ci è lontano troppi pacchetti di certificazione affinchè un individuo riveda e da convalidare. dovuto questo motivo stesso, il SAISO impiega un agente di certificazione (o gli agenti) per leggere i pacchetti, effettuare le valutazioni, scrivere le raccomandazioni e redigere un documento ha denominato un rapporto di valutazione di sicurezzadel The rapporto di valutazione di sicurezza è basicamente un sommario di valutazione e dovrebbe giustificare e sostenere la raccomandazione sopra se o non accreditare il rapporto di valutazione di sicurezza di package.The dovrebbe avere tutte le informazioni che il SAISO deve giustificare firmare la lettera di accreditamento ed intensifica la raccomandazione verso l'alto al offi- d'autorizzazione cial se o non dovrebbero firmare la lettera di accreditamento. Funzionario Maggiore Di Segretezza Dell'AgenziaOgni agenzia è supposta di avere un funzionario maggiore di segretezza dell'agenzia. Per una grande agenzia, un funzionario maggiore di segretezza dell'agenzia potrebbe essere un lavoro a tempo pieno. Tuttavia, una piccola agenzia, che’la s possibile che le responsabilità di questo funzionario possono essere effettuate dal CIO, dal personale’di CIO s, o dalla persona di SAISO.The in questo ruolo potrebbe tenere il titolo dell'ufficiale principale di segretezza—lui o lei necessariamente non deve richiedersi il funzionario maggiore di segretezza dell'agenzia. Che’s più importante è che qualcuno è indicato per realizzare le funzioni di salvaguardare le informazioni confidenziali e riservate. Squadra Di Certificazione Agent/EvaluationL'agente di certificazione rivede i pacchetti di certificazione, facenti le raccomandazioni se garantiscono un accreditamento positivo oppure no. Essenzialmente, gli agenti di certificazione fungono da un pettine di auditor.They con la certificazione poco maneggevole impacca il ricerca delle informazioni mancanti e le informazioni che il doesn’t fa l'obiettivo di sense.Their devono determinare se il pacchetto è conformemente all'agenzia’s hanno documentato il manuale di C&A, il processo, le politiche di sicurezza ed i requisiti di sicurezza’del sistema d'informazione s. In alcune agenzie, ci sono tanti pacchetti da valutare che l'agente di certificazione è contenuto una squadra di valutazione team.The può avere un nome dipartimentale quale assicurazione di missione, assicurazione delle informazioni, o nome organizzativo di Compliance.The è per la maggior parte per quanto potrebbe essere irrilevante differente dall'agenzia all'agenzia. Dopo la riesaminazione dei pacchetti di C&A, l'agente di certificazione, o squadra di valutazione, raccomandazioni di marche alle autorità d'accreditamento interne—il SAISO e l'autorizzazione del funzionario—sopra se o non un pacchetto dovrebbe essere accreditato oppure no. Nella maggior parte dei casi, il SAISO ed il funzionario di autorizzazione accetta la raccomandazione dell'agente di certificazione e firma la lettera di accreditamento basata solamente su una raccomandazione dell'agente di certificazione. Con la raccomandazione, l'agente di certificazione inoltre produce ed include il rapporto di valutazione di sicurezzadel The rapporto di valutazione di sicurezza dovrebbe giustificare la raccomandazione. Quando l'agente di certificazione è una squadra di gente, scindono solitamente le mansioni differenti che devono essere compiute per accellerare il processo. Per esempio, una persona potrebbe valutare i pacchetti per i sistemi di supporto generali, un'altra persona potrebbe valutare i pacchetti per le applicazioni importanti, un'altra persona potrebbe generare e mascherine dell'aggiornamento e un'altra persona potrebbe aggiornare il manuale. L'agente di certificazione è inoltre responsabile dello sviluppare il processo interno di C&A e tutta la documentazione che descrive questo processo—il manuale e la documentazione di templates.The che l'agente di certificazione sviluppa per la valutazione dei pacchetti è liste di controllo e schede del segno. Le liste di controllo e le schede del segno dovrebbero essere costanti con le mascherine e l'aiuto delle liste di controllo di handbook.The l'agente di certificazione scrive il rapporto di valutazione di sicurezza. È possibile che l'agente di certificazione e l'ufficiale di sicurezza maggiore delle informazioni dell'agenzia possono essere la stessa persona poiché alcune piccole agenzie non possono disporre dei mezzi interni avere due membri differenti del personale assegnati a questi ruoli. Se l'agente di certificazione e SAISO è uno nella stessa persona, quindi l'agente di certificazione fa la raccomandazione di accreditamento all'agente d'autorizzazione di certificazione di official.The non prende la decisione finale sopra se un pacchetto di C&A dovrebbe essere accreditato—lui o fa le raccomandazioni soltanto sopra se o non il pacchetto dovrebbe essere accreditato. Per dimostrare l'obiettività, è spesso il caso che la squadra di valutazione consiste dei consulenti esterni. FISMA, § 3454 dichiara: Ogni anno ogni agenzia avrà effettuato una valutazione indipendente del programma di sicurezza delle informazioni e delle pratiche di quell'agenzia determinare l'efficacia di tali programma e pratiche. Se un'agenzia decide utilizzare il relativo proprio personale, dovrebbe essere sicuro che ci è una netta separazione delle funzioni fra gli esperti e le organizzazioni che stanno presentando i pacchetti di C&A per la valutazione. Proprietario Di AffariIl proprietario di affari è un riferimento generico al proprietario del sistema d'informazione ed è probabile che non ci sono impiegati dell'agenzia con il proprietario “del sistema d'informazione di titolo,” che è perchè non sto capitalizzando la terminologia qui. Il proprietario del sistema d'informazione potrebbe essere un program manager, un responsabile di applicazione, ESSO direttore, o un direttore di ingegneria per esempio. In breve, è la persona che è responsabile dello sviluppo e dei funzionamenti del sistema d'informazione. Il proprietario del sistema d'informazione è quello chi ottiene tipicamente il rolling della sfera per un nuovo progetto di C&A. I proprietari del sistema d'informazione devono accertarsi che il loro sistema d'informazione completamente sia accreditato prima di essere messo nella produzione. Una volta che un sistema d'informazione è nella produzione, deve essere recertified ed accreditato ogni tre anni. È la responsabilità del proprietario s’del sistema d'informazione di nominare qualcuno per essere l'ufficiale di sicurezza del sistema d'informazione per il sistema che richiede C&A. Proprietario Del SistemaIl proprietario del sistema è la persona responsabile dell'amministrazione dei sistemi che l'applicazione di C&A opera sopra. Un proprietario del sistema può essere un coordinatore di sistemi solo, o un reparto dei sistemi. In una grande applicazione distribuita, è possibile che i sistemi differenti che sono una parte dell'infrastruttura di applicazione hanno proprietari differenti del sistema. Quando una grande applicazione distribuita ha proprietari differenti del sistema, a volte i proprietari differenti del sistema possono essere posizioni geografiche differenti o costruzioni differenti. Tutti i pacchetti di C&A, se è un pacchetto per un'applicazione importante, o l'infrastruttura generale di servizi di sostegno che l'applicazione fa funzionare sopra, dovrebbero specificare chi i proprietari del sistema del proprietario is.The del sistema sono la gente che fornisce al proprietario del sistema dei sistemi support.The dovrebbero essere indicati nelle informazioni del contattodel The di inventario del bene per i proprietari del sistema dovrebbero essere indicati nel piano di emergenza e nella valutazione di effetto di affari. Proprietario Delle InformazioniIl proprietario delle informazioni è la persona che possiede il proprietario delle informazioni di data.The è interessata circa l'integrità dei dati e comunica con il proprietario del sistema circa le edizioni relative ai comandi di sicurezza del sistema o le basi di dati che i dati risiedono persona di on.The, o il reparto, che possiede i dati non è sempre gli stessi del proprietario del sistema, benchè potrebbero essere. In molti casi, il proprietario del sistema effettua i dati per il proprietario delle informazioni delle informazioni owner.The è spesso qualcuno che segnali al proprietario di affari e potrebbe essere un responsabile di base di dati, o un responsabile di applicazione. È possibile che in alcune organizzazioni il proprietario delle informazioni ed il proprietario di affari sono la stessa persona. È possibile che i dati sul sistema previsto per C&A rientrano in una giurisdizione differente che quello del proprietario del sistema. È inoltre possibile che il proprietario delle informazioni ed il proprietario del sistema sono uno nella stessa persona. A volte le basi di dati possono essere amministrate e controllate da qualcuno che abbia credenziali esperte nella zona. Se il proprietario del sistema ed i proprietari delle informazioni non sono uno nella stessa gente, questo dovrebbe essere notato nel pacchetto di certificazione nell'inventario del bene. Ufficiale Di Sicurezza Del Sistema d'informazioneL'ufficiale di sicurezza del sistema d'informazione (ISSO) è responsabile del controllo della sicurezza del sistema d'informazione che è previsto per C&A.The ISSO assicura che la configurazione dei sistemi d'informazione è conformemente alla politica’di sicurezza delle informazioni dell'agenzia s. Tutti i documenti del pacchetto di certificazione sono redatti dal ISSO, o per il ISSO, dal personale o dagli appaltatori. ISSOs ha tipicamente una grande piastra delle responsabilità e probabilmente dovranno aumentare il loro personale con gli appaltatori per preparare rapidamente un pacchetto di certificazione. Per un ISSO non è raro essere responsabile della preparazione di mezza dozzina dei pacchetti di C&A. Poiché un pacchetto di C&A potrebbe occorrere facilmente un anno affinchè un esperto bene-esperto di sicurezza si prepari, è considerato standard ed accettabile affinchè ISSOs assuma i consulenti dall'esterno dell'agenzia per preparare il pacchetto di certificazione. Inoltre migliora l'obiettività del pacchetto di certificazione per farlo prepararsi dagli individui di terzi che non fanno parte dell'agenzia’s possiedono il personale. Una volta che un pacchetto di certificazione è completo, il ISSO lo presenta ad una squadra di valutazione che allora continua convalidare la squadra di valutazione di findings.The è un'estensione dell'agente certificante. Se l'agente certificante non nomina o non monta una squadra di valutazione, l'agente certificante dovrebbe essere preparato per valutare il pacchetto di certificazione e per fare una raccomandazione sopra se pubblicare un accreditamento positivo. Preparatori di C&AI preparatori di C&A, a volte citati come la squadra di revisione di C&A, prepara i pacchetti di certificazione da presentare alla squadra di valutazione. In molti casi, i preparatori di C&A sono preparatori esterni di consultants.The C&A possono anche essere una squadra mixed di consulenti esterni e di personale interno dell'agenzia. I preparatori di C&A lavorano per il proprietario del sistema d'informazione, ma solitamente sotto il senso dell'ufficiale di sicurezza del sistema d'informazione. Quando viene ad unire il pacchetto di certificazione, è i preparatori di C&A che effettuano la massa dei preparatori di work.The C&A devono avere una priorità bassa esperta nella sicurezza delle informazioni con una larghezza di capire le varie sfaccettature di architettura di sicurezza, di riservatezza delle informazioni, di integrità delle informazioni, di disponibilità delle informazioni, delle politiche di sicurezza e delle regolazioni di FISMA. Ispettori Dell'AgenziaPer prepararsi per le chiamate dal GAO, tutte le agenzie ed alcuni uffici, hanno loro propri ispettori che vengono sul luogo agli uffici di agenzia valutare periodicamente se la conformità adeguata di FISMA sta avvenendo. Nella maggior parte dei casi, gli ispettori dell'agenzia non sono tenuti a dare la notifica molto avanzata e le loro chiamate possono avvenire senza agenzia che di warning.The gli ispettori interni vengono dall'ufficio di agenzia del General di ispettore (OIG). Molti uffici dell'agenzia OIG hanno loro propri luoghi di fotoricettore e potete leggere più circa le responsabilità differenti del OIG là. Ente per la salvaguardia dell'ambiente www.epa.gov/oigearth/ Commissione federale www.fcc.gov/oig/ di comunicazioni Servizio di agricoltura www.usda.gov/oig/ Servizio dei servizi http://oig.hhs.gov/ dell'essere umano e di salute Gestione di previdenza sociale www.ssa.gov/oig/ Unito Dichiara il servizio postale www.uspsoig.gov/ L'obiettivo dell'agenzia OIG è di interferire tutti i problemi e di risolverli in modo che non rivelino poichè le mancanze sugli uffici di GAO reports.The OIG hanno loro propria ricerca e processo di revisione ed uffici differenti di OIG può effettuare le loro verifiche nei sensi differenti. Gli uffici di OIG che sono più vigilanti nella loro verifica e processo di revisione sono più probabili impedire l'agenzia la citazione come carenti dagli ispettori del GAO. Ispettori di GAOI revisori dei conti di svista dal GAO visitano gli enti federali su una base annuale e rivedono i pacchetti accreditati di certificazione per assicurarsi che sono stati properly.The accreditati GAO inoltre rivedono il processo’dell'agenzia la s C&A per determinare se è accettabile. Se il GAO scopre che i pacchetti di certificazione sono stati accreditati inadeguato, o se il processo’dell'agenzia la s C&A è carente in qualunque senso, funzionari dell'agenzia documenterà i risultati e l'agenzia riceverà i poveri gradi sulla scheda federale annuale rapporto di sicurezza del calcolatore. La scheda federale rapporto di sicurezza del calcolatore è pubblicata ogni anno dal comitato degli STATI UNITI della riforma di governo. Livelli della verificaPrendendo in considerazione la squadra di valutazione, gli ispettori di OIG e gli ispettori di GAO, potete vedere che il processo di FISMA subisce i livelli rigorosi della verifica (si veda figura 3.1). Solitamente ci sono non meno di tre livelli della verifica. Alcune agenzie possono persino avere un livello supplementare della verifica. Dopo le revisioni della squadra di valutazione il pacchetto di certificazione, è possibile che un'altra organizzazione interna di conformità può rivedere ancora il pacchetto di certificazione per vedere se la squadra di valutazione facesse correttamente il loro lavoro. La squadra originale di valutazione e una squadra dipendente di conformità non possono in effetti accosentire sopra se un pacchetto di certificazione dovrebbe essere accreditato e le due organizzazioni di verifica interna dovranno spesso avere loro discussioni numerose da venire ad un accordo sulla raccomandazione finale di accreditamento. Avere tanti livelli della verifica può in effetti sembrare come overkill; tuttavia, le agenzie che sembrano dedicarsi in queste sovrabbondanze di verifica e separazione delle funzioni, spesso prezzo il la cosa migliore sulla scheda federale rapporto di sicurezza del calcolatore. Livelli di FISMA della verifica per la riesaminazione del pacchetto di certificazione Ispettori di GAO ciò è un articolo aggiunto da Hemant Baidwan
|
|||
|