Facendo un passo con il processo di certificazione
Ci sono quattro fasi ad alto livello al C&A process.To ottengono da una fase ad un altro, roba molto accadono lungo il senso. Lascilo aiutarlo a capire come ottenere da una fase al seguente. La Fase Di InizioLa fase di inizio solitamente è controllata senza formalità dal proprietario del sistema d'informazione e dal ISSO. Anche se tutti i proprietari del sistema d'informazione dovrebbero essere informati del fatto che FISMA richiede i nuovi sistemi d'informazione essere accreditato positivamente, questo non può essere alla prima linea del loro minds.Therefore, esso è complessivamente probabile che il ISSO può portare l'esigenza di C&A all'attenzione del proprietario del sistema d'informazione. Se l'esigenza di C&A è iniziata dal proprietario del sistema d'informazione, o dal ISSO, una certa specie di riconoscimento fra questi due individui di che un C&A ha bisogno per avvenire dovrebbe accadere. Il riconoscimento non deve essere convenzionale, o persino scritto. Una conversazione semplice di hallway può bastare finchè entrambi i partiti vengono accosentire che’tempo di s di ottenere un progetto di C&A ha cominciato. Durante la fase di inizio, il proprietario del sistema d'informazione ed il ISSO dovrebbero accosentire su che risorse da usare per al C&A prepari la squadra. Le decisioni devono essere prese sopra se assumere gli appaltatori esterni, o utilizzare il personale interno. Poiché C&A, se fatto correttamente, è solitamente un lavoro molto più grande che la maggior parte della gente realizza, non posso dare risalto abbastanza al valore nel usando i consulenti esterni. Unire un pacchetto di certificazione è un lavoro a tempo pieno ed i risultati saranno solitamente insufficienti se il servizio governativo prova a doubleup il relativo personale attuale per realizzare le funzioni di C&A insieme con la loro procedura quotidiana esistente. Nel outsourcing la preparazione di un pacchetto ai consulenti esterni, per il ISSO di certificazione è importante accertarsi che lui o lei stia assumendo gli individui capaci con il expertise.The adatto ISSO dovrebbe fare le domande numerose ad un'azienda potenziale del contratto ed al relativo personale prima di arruolare l'ufficiale dell'appaltatore (COTR) per chiudere un accordo. Le domande che possono aiutare un ISSO nella determinazione delle possibilità dell'esperto C&A dei consulenti potenziali potrebbero essere: Per che cosa altre agenzie avete effettuato C&A? Avete un'annotazione di pista nell'ottenere gli accreditamenti positivi? Potete chiamare i documenti di C&A che siete sperimentati nella preparazione? Potrete fare i viaggi numerosi sul luogo per venire a contatto del nostro personale? Potete fornire i resumes per i consulenti disponibili? Avete una descrizione dei vostri servizi della preparazione di C&A? Potete fornire i riferimenti da altre agenzie? Non tutti i servizi consultivi di C&A sono gli stessi. Un'indicazione libera che un'azienda contraentesi completamente non capisce C&A è se elencano soltanto alcuni documento scrive dentro la loro descrizione di servizio di C&A. Alcune aziende sostengono capire C&A, ma per l'esempio, elencheranno che il loro servizio di C&A è costituito da una valutazione di se stesso e da una valutazione di vulnerabilità (che del corso fa parte soltanto del picture).You realmente desidera assumere i consulenti che capiscono l'intera sfera della cera e possono elaborare tutti i documenti richiesti per C&A. Soltanto rallenterà e complicherà il processo se assumete per esempio un'azienda per sviluppare la parte dei deliverables e di un'altra azienda per sviluppare l'altra parte. Quando viene a C&A, trovare un'azienda contraentesi che offre il un-arrest-one-stop-shopping è realmente il senso più efficiente andare. Un buon senso scoprire come un'azienda contraentesi del candidato capisce C&A deve chiederlo una proposta di progetto con le pietre sviluppate in esso. Confrontando le proposte di progetto differenti parallelamente, dovrebbe diventare chiaro che delle aziende contraentesi del candidato offrono la perizia migliore. Infine, prima della preparazione del pacchetto di certificazione, il ISSO dovrebbero avere certa comprensione di se o non il pacchetto proposto di certificazione provocherà un accreditamento positivo. Se il ISSO sa sulla parte anteriore che i comandi adeguati di sicurezza non sono stati installati, che la sicurezza è configurata impropriamente e che le politiche di sicurezza non si sono aderite a, è migliore riparare questi problemi prima di cominciare il C&A process.This non significa che C&A è facoltativo. Che cosa sto suggerendo sono che se sapete delle debolezze che richiedono la correzione, inizi a correggerlo immediatamente. Indossi’l'aspett di t tempo di C&A di venire avanti prima di fare le correzioni necessarie. Il NIST raccomanda che il programma di sicurezza del sistema d'informazione è analizzato durante la fase di inizio. Anche se ci è teoricamente male niente con questo metodo, è spesso il caso che per un nuovo sistema d'informazione, un programma di sicurezza del sistema esiste. Nell'unire il pacchetto di certificazione, è un piano d'azione più probabile che il programma di sicurezza del sistema sarà scritto per la prima volta, o sarà modificato ed aggiornato durante la fase di certificazione. Durante il recertification di un pacchetto che precedentemente è stato accreditato, un vecchio programma di sicurezza del sistema naturalmente già esisterebbe. Pietre Di Fase Di Inizio Durante la fase di inizio, dovreste fare queste domande: I preparatori di C&A sono stati identificati? Le debolezze conosciute di sicurezza sono state indirizzate? Della categorizzazione di sicurezza di FIP 199 è stato completato? La Fase Di CertificazioneLa fase di certificazione è il periodo di tempo in où il pacchetto di certificazione è preparato. Ha luogo durante questa fase che i preparatori di C&A (o squadra di rassegna) riuniscono tutte le prova e documentazione di sostegno ed elabora i nuovi documenti richiesti per il pacchetto di certificazione. Se il C&A proposto è per un sistema d'informazione brandnew, nessun pacchetto anteriore di certificazione esisterà. Se il C&A è per un più vecchio sistema d'informazione, un pacchetto anteriore di certificazione dovrebbe esistere ed essere disponibile per la revisione. Nuovo C&As è richiesto ogni tre anni. La certificazione per un sistema d'informazione che precedentemente è stato accreditato si riferisce a come “recertification.” Recertifications richiede lo stesso suite dei documenti che i nuovi pacchetti di certificazione richiedono. Nel lavorare ad un recertification, il pacchetto anteriore di certificazione dovrebbe essere rivisto completamente per accertarsi che tutti i rischi precedentemente citati nel vecchio pacchetto di certificazione si siano attenuati. La squadra di revisione di C&A dovrà venire sul luogo all'ufficio’dell'agenzia s essere a disposizione per intervistare la squadra di sviluppo’e dell'amministrazione del sistema d'informazione s. È critica affinchè la squadra di revisione di C&A impari tanto circa il sistema d'informazione come possibile e fare altretante domande come il proprietario del sistema d'informazione di necessary.The dovrebbe raccomandare il suo personale di sviluppo di accomodare la squadra di revisione di C&A e di fornire loro tante informazioni come possibile circa il disegno e la configurazione del sistema previsto per C&A. Le squadre di revisione di C&A possono consistere di dovunque da alcuna gente, fino ad un dozzina o a più secondo la complessità del sistema d'informazione previsto per C&A. Che cosa dovrebbe determinare il numero di individui sulla squadra di C&A è la portata del progetto e timeframe del progetto. Poichè aumentate la portata e fate diminuire il timeframe, l'esigenza di una squadra più grande di revisione di C&A aumenta. La maggior parte delle squadre di revisione di C&A richiedono almeno minimo tre mesi per montare un pacchetto sufficiente di certificazione. Non sarebbe inammissibile, tuttavia, affinchè una squadra di revisione di C&A occorra sei mesi per preparare un pacchetto di certificazione per una grande ed infrastruttura complessa. Pratiche Migliori di C&A… Pietre Di Fase Di Certificazione I documenti di architettura e di disegno sono rivisti. Le vulnerabilità sono identificate. La prova di mitigation di rischio è identificata. I documenti di certificazione sono redatti. L'analisi del rischio accettabile per l'agenzia è completata. La Fase Di Accreditamento La fase di accreditamento comincia quando il pacchetto di certificazione è stato squadra di valutazione di completed.The legge attraverso il pacchetto di certificazione nella sua totalità e convalida se i risultati sono esatti e se tutte le informazioni richieste sono presenti. Un pacchetto di certificazione può facilmente essere al di sopra di 500 pagine. Almeno due - quattro settimane dovrebbero essere assegnate per la fase di accreditamento. La maggior parte delle squadre di valutazione già avranno preparato le liste di controllo dei test di verifica che particolari pensano trovare nel pacchetto di certificazione prima che realmente comincino la valutazione. Se i passaggi del pacchetto di certificazione radunano con gli esperti, una raccomandazione sarà fatta che il pacchetto è positivamente agente certificante di accredited.The rivedrà la raccomandazione e finchè sembra giustificata, firmerà una lettera convenzionale della lettera di accreditamento di Accreditation.The inoltre dovrà essere firmato dal ISSO, il proprietario delle informazioni, il funzionario d'autorizzazione ed allora sarà trasmesso al CIO.The CIO è supposto per accusare ricevuta della lettera firmandola. Pratiche Migliori di C&A… Pietre Di Accreditamento Presentazione del pacchetto agli esperti Risoluzione di commento e di rassegna Raccomandazione accreditare (o non) La Fase Continua Della Verifica e ControlloUna volta che un sistema d'informazione è stato accreditato, dovrebbe essere controllato continuamente. I cambiamenti dell'amministrazione di configurazione dovrebbero essere un processo on-going e bene-controllato con i meccanismi di approvazione integrati. Date dei cambiamenti e versioni dei cambiamenti di codice se tutti sono documentati. I comandi di sicurezza dovrebbero anche essere controllati e tutti i cambiamenti fatti a loro dovrebbero essere documentati. Se le politiche della parete refrattaria sono cambiate, i cambiamenti ed i motivi per i cambiamenti dovrebbero essere documentati. Se i cambiamenti di configurazione di rilevazione di intrusione sono fatti, dovrebbero ampiamente essere descritti ed i motivi per i cambiamenti se documentato. È spesso da allora il caso che non quasi abbastanza tempo è messo nella fase continua della Verifica e Controllo, una volta che un accreditamento positivo è stato fatto, la maggior parte del ISSOs ed i proprietari del sistema d'informazione tendono a respirare un sigh di rilievo ed a sembrare a come mettere l'intero processo di C&A dietro loro. Unire un pacchetto di certificazione ed ottenere un accreditamento sono un'operazione scoraggiante e fargli più, dopo che il lavoro sia fatto, non è solitamente alto su chiunque’ordine del giorno di s dopo il fatto. Tuttavia, mantenendo la volontà aggiornata dei documenti renda tutti i recertifications futuri molto più facili. A meno che il sistema d'informazione sia disarmato, in effetti dovrà essere recertified durante tre anni. I documenti che sono una parte del pacchetto di certificazione sono considerati documenti in tensione e possono essere aggiornati in qualunque momento. È meglio aggiornare i documenti non appena i cambiamenti sono fatti da allora ai sistemi d'informazione che è quando le nuove informazioni sono più fresche in tutto’mente di s. L'aggiornamento della documentazione non sembra mai essere alto sulla lista delle mansioni importanti completare e per quel motivo, suggerisco quello che aggiorna i documenti del pacchetto di certificazione sono costruito nel processo dell'amministrazione del cambiamento. Ogni volta un documento è aggiornato, dovrebbe essere rivisto ed approvato con il processo di controllo del cambiamento ed allora essere archiviato sia localmente che ad una posizione del offsite. Pratiche Migliori di C&A Pietre Continue Della Verifica e Controllo Riconciliazione delle citazioni di POA&M Documentazione dei cambiamenti al sistema Controllo continuo dei comandi di sicurezza ciò è un articolo aggiunto da Hemant Baidwan
|
|||||
|