Rôles et responsabilités dans Creditation et accréditation CA
C&A fait participer un bon nombre de gens différents que tout le fonctionnement ensemble sur différent charge. Il y a les gens qui développent le programme de C&A, les gens qui préparent des paquets de certification, les gens qui sont jugés responsables des paquets de certification, des auditeurs d'agence qui évaluent les paquets de certification avant l'accréditation, et des inspecteurs fédéraux qui apurent l'agence pour s'assurer qu'ils font C&A la bonne manière. Chef de service de l'informationLe chef de service de l'information d'agence (CIO) est la personne la plus évidente jugée responsable d'un programme réussi de sécurité de l'information et du programme de C&A. Il est de la responsabilité’de CIO s de s'assurer qu'un programme de sécurité de l'information, y compris un programme de C&A, existe et est mis en application. Cependant, la plupart d'agence CIOs met’le jeu de t un rôle à commande manuelle en développant ces programmes. Habituellement le CIO indiquera le développement de ces programmes à l'officier de sécurité aîné de l'information d'agence. Cependant, déléguer l'élaboration de programme ne signifie pas que le CIO n'a pas besoin de comprendre le processus. Si le CIO ne comprend pas tous les éléments d'un programme réussi de C&A il y a peu de chance que le CIO pourra juger l'officier de sécurité aîné de l'information d'agence responsable de développer un programme complet. Sans arrangement les conditions particulières quel programme devrait inclure, le CIO ne sauront pas si l'officier de sécurité aîné de l'information d'agence a omis n'importe quoi. Un morceau de C&A qui ne peut pas être donné sur est le besoin du CIO de développer un budget pour C&A. C&A est très temps intensif, et prendre typiques d'un C&A la moyenne six mois pour faire un travail complet, rempli de tous les travaux exigés d'information.The CIO ainsi que le fonctionnaire d'autorisation de s'assurer qu'il y a assez d'un budget pour fournir les ressources nécessaires pour remonter le programme de certification. Si CIOs pas budget pour C&A, C&A peut ne pas obtenir done.The CIO permet à C&A d'avoir lieu par entièrement arrangement le processus budgétaire fédéral comme documenté dans une publication eteinte par la Maison Blanche connue sous le nom de No.A-11 planification de la partie 7, économiser, acquisition , et gestion circulaires de publication de Thisde biens capitaux est actuellement disponible à www.whitehouse.gov/omb/circulars/a11/2002/part7.pdf. A-11 la partie 7 met en référence d'autres directives budgétaires que le CIO devrait également se familiariser avec, y compris un connu sous le nom de l'objet exposé 300 d'OMB. L'objet exposé 300 d'OMB est actuellement disponible à www.cio.gov/archive/S300_05 _ draft_0430.pdf. C'est finalement le CIO qui est susceptible d'être jugé responsable et responsable si l'agence reçoit une catégorie faible sur la carte fédérale annuelle de rapport de degré de sécurité d'ordinateur. Une des responsabilités du CIO doit s'inquiéter de la catégorie fédérale annuelle de carte de rapport de degré de sécurité d'ordinateur. Si une agence reçoit une catégorie échouante, alors clairement il y a quelque chose mal avec ou le programme de C&A lui-même, ou comment le programme est mis en application. Si une agence reçoit des points supérieurs sur la carte fédérale annuelle de rapport de degré de sécurité d'ordinateur, puis dans la mesure où C&A disparaît, le processus est travaillé la bonne manière. Pendant que les cartes fédérales de rapport de degré de sécurité d'ordinateur obtiennent une attention de plus en plus plus publique tous les ans, des points pauvres sur la carte de rapport peuvent être une expérience carrière-limiteuse pour n'importe quelle agence CIO. Autorisation Du FonctionnaireLe fonctionnaire d'autorisation est une limite générique pour un fonctionnaire de haute direction au sein d'une agence qui autorise des opérations d'un système d'information, déclarant que les risques liés à lui sont acceptables. Il est peu probable que toute personne tiendrait le titre “d'autoriser le fonctionnaire,” par conséquent je ne le ponctue pas ici avec letters.There capital peux être multiple autorisant des fonctionnaires au sein de chaque agence, tout responsable de leurs propres secteurs indiqués. À beaucoup d'agences, le fonctionnaire d'autorisation désigné sous le nom de l'autorité accréditante indiquée (DAA). Le fonctionnaire d'autorisation a habituellement des responsabilités budgétaires de s'assurer qu'une certaine quantité de ressources sont mises de côté pour surveiller le processus de C&A. Habituellement l'agence CIO fait rapport au fonctionnaire d'autorisation. Cependant, à de grandes agences, où un certain rapport du bureau CIOs à l'agence CIO, il peut être le cas qu'un CIO est le fonctionnaire d'autorisation. Dans d'autres cas le fonctionnaire d'autorisation peut être le commissaire ou un commissaire auxiliaire. Si le fonctionnaire et les CIO d'autorisation sont deux personnes différentes, ils doivent travailler ensemble pour s'assurer qu'à budget proportionné a été mis de côté pour C&A. Le fonctionnaire d'autorisation, selon l'institut national des normes, la publication spéciale 800-37 (mai 2004), être un employé du gouvernement des ETATS-UNIS et ne peut pas être un entrepreneur ou un conseiller. Cependant, le fonctionnaire d'autorisation peut indiquer un représentant pour effectuer le divers charge connexe à C&A, et le représentant indiqué peut être un entrepreneur ou un conseiller. Cependant, la décision finale d'accréditation de sécurité et son lettre d'accompagnement de décision d'accréditation doivent être possédées et signées par l'employé de gouvernement des ETATS-UNIS qui est le fonctionnaire d'autorisation. Officier De Sécurité Aîné De l'Information D'AgenceL'officier de sécurité aîné de l'information d'agence (SAISO) est la personne que ce CIO juge responsable pour surveiller toute la sécurité’initiatives.The SAISO de l'information de l'agence s est apparenté à un officier de sécurité en chef de l'information dans l'industrie privée. Il’s possible que CIOs peut exécuter ce rôle eux-mêmes, dans ce cas là le wouldn’t soit un individu séparé tenant ces responsabilités. Le SAISO fonctionne avec l'agence autorisant des fonctionnaires à s'assurer qu'ils sont d'accord sur les conditions de sécurité du système d'information aussi bien que les documents principaux contenus dans le paquet de certification tel que les évaluations des risques et le plan de sécurité. En travaillant ensemble, le SAISO et les fonctionnaires d'autorisation devraient être sûrs de prendre dans la considération les conditions de mission et d'affaires de l'agence. Le SAISO fournit l'inadvertance de gestion à l'agent de certification et travaille avec lui pour s'assurer que le processus de C&A est pensée bonne dehors, et inclut toute la documentation nécessaire et guidance.The SAISO nomme l'agent de certification et les juge responsables d'effectuer leurs fonctions. Il est très important que le SAISO choisisse soigneusement leur certification Agent(s) parce qu'elles devront se fonder sur leurs recommandations d'accréditation. Le SAISO peut souhaiter passer en revue tous les paquets de certification qui sont traités au sein de l'agence ; cependant, comme question pratique, il est à côté d'impossible de faire ceci. À la plupart des agences, il y a lointain trop de paquets de certification pour qu'un individu passe en revue et à valide. En raison de cette raison même, le SAISO emploie un agent de certification (ou des agents) pour lire des paquets, exécuter des évaluations, écrire des recommandations, et produire un document a appelé un rapport d'évaluation de sécuritéde The de rapport d'évaluation de sécurité est fondamentalement un sommaire d'évaluation et devrait justifier et soutenir la recommandation dessus si ne pas accréditer le rapport d'évaluation de sécurité de package.The devrait avoir toute l'information que le SAISO doit justifier signer la lettre d'accréditation, et escalade la recommandation vers le haut à l'offi- d'autorisation cial si ou pas ils devraient signer la lettre d'accréditation. Fonctionnaire Aîné D'Intimité D'AgenceChaque agence est censée avoir un fonctionnaire aîné d'intimité d'agence. Pour une grande agence, un fonctionnaire aîné d'intimité d'agence pourrait être un travail à temps plein. Cependant, une petite agence, que ce’s possible que les responsabilités de ce fonctionnaire peuvent être exécutées par le CIO, le personnel’de CIO s, ou la personne de SAISO.The dans ce rôle pourrait tenir le titre de l'officier en chef d'intimité—lui ou elle ne doit pas nécessairement être réclamé le fonctionnaire aîné d'intimité d'agence. Quel’s le plus important est que quelqu'un est indiqué pour effectuer les fonctions de sauvegarder l'information confidentielle et privée. Équipe De la Certification Agent/EvaluationL'agent de certification passe en revue les paquets de certification, faisant des recommandations de savoir si elles justifient une accréditation positive ou pas. Essentiellement, les agents de certification agissent en tant qu'un peigne d'auditor.They par la certification difficile à manier empaquette rechercher l'information absente et l'information que le doesn’t font le but de sense.Their doit déterminer si le paquet est conformément à l'agence’s documentait le manuel de C&A, le processus, les politiques de sécurité, et les conditions de sécurité’du système d'information s. À quelques agences, il y a tant de paquets à évaluer que l'agent de certification est composé d'une équipe de l'évaluation team.The peut avoir un nom départemental tel que l'assurance de mission, assurance de l'information, ou nom d'organisation de Compliance.The est pour la plupart tout non pertinent qu'il pourrait être différent de l'agence à l'agence. Après avoir passé en revue les paquets de C&A, l'agent de certification, ou équipe d'évaluation, recommandations de marques aux autorités accréditantes internes—le SAISO et avoir autorisé le fonctionnaire—dessus si un paquet devrait être accrédité ou pas. Dans la plupart des cas, le SAISO et le fonctionnaire d'autorisation accepte la recommandation de l'agent de certification, et signe la lettre d'accréditation basée seulement sur une recommandation de l'agent de certification. Avec la recommandation, l'agent de certification également produit et inclut le rapport d'évaluation de sécuritéde The de rapport d'évaluation de sécurité devrait justifier la recommandation. Quand l'agent de certification est une équipe de personnes, elles fractionnent habituellement le différent charge ce besoin d'être accompli afin d'expédier le processus. Par exemple, une personne pourrait évaluer des paquets pour les systèmes généraux de soutien, une autre personne pourrait évaluer des paquets pour des applications principales, une autre personne pourrait créer et des calibres de mise à jour, et une autre personne pourrait mettre à jour le manuel. L'agent de certification est également responsable de développer le processus interne de C&A, et toute la documentation qui décrit ce processus—le manuel et la documentation de templates.The que l'agent de certification développe pour évaluer les paquets sont des listes de contrôle et des cartes de points. Les listes de contrôle et les cartes de points devraient être conformées aux calibres et l'aide de listes de contrôle de handbook.The l'agent de certification écrivent le rapport d'évaluation de sécurité. Il est possible que l'agent de certification et l'officier de sécurité aîné de l'information d'agence puissent être la même personne puisque quelques petites agences peuvent ne pas avoir les ressources internes pour avoir deux membres différents de personnel affectés à ces rôles. Si l'agent de certification et SAISO sont un chez la même personne, alors l'agent de certification fait la recommandation d'accréditation à l'agent d'autorisation de certification d'official.The ne prend pas la décision finale dessus si un paquet de C&A devrait être accrédité—lui ou elle fait des recommandations seulement dessus si le paquet devrait être accrédité. Afin de démontrer l'objectivité, c'est souvent le cas que l'équipe d'évaluation se compose des conseillers extérieurs. FISMA, états du § 3454 : Chaque agence aura exécuté tous les ans une évaluation indépendante du programme de sécurité de l'information et des pratiques de cette agence de déterminer l'efficacité de tels programme et pratiques. Si une agence décide d'utiliser son propre personnel, il devrait être sûr qu'il y a une séparation claire des fonctions entre les experts et les organismes qui présentent les paquets de C&A pour l'évaluation. Propriétaire D'AffairesLe propriétaire d'affaires est une référence générique au propriétaire de système d'information, et il est probable qu'il n'y ait aucun employé de l'agence avec le propriétaire “de système d'information de titre,” qui est pourquoi je ne profite pas la terminologie ici. Le propriétaire de système d'information pourrait être un directeur de programme, un directeur d'application, LUI directeur, ou un directeur de technologie par exemple. En bref, c'est la personne qui est responsable du développement et des opérations du système d'information. Le propriétaire de système d'information est celui qui obtient typiquement le roulement de boule pour un nouveau projet de C&A. Les propriétaires de système d'information doivent s'assurer que leur système d'information est entièrement accrédité avant d'être mise dans la production. Une fois qu'un système d'information est dans la production, il doit être recertified et a accrédité tous les trois ans. Il est de la responsabilité du propriétaire s’de système d'information de nommer quelqu'un pour être l'officier de sécurité de système d'information pour le système exigeant C&A. Propriétaire De SystèmeLe propriétaire de système est la personne chargée d'administrer les systèmes que l'application de C&A exploite dessus. Un propriétaire de système peut être un seul interface gestionnaire, ou un département de systèmes. Dans une grande application répartie, il est possible que les différents systèmes qui sont un morceau de l'infrastructure d'application aient différents propriétaires de système. Quand une grande application répartie a différents propriétaires de système, parfois les différents propriétaires de système peuvent être différents endroits géographiques ou différents bâtiments. Tous les paquets de C&A, si c'est un paquet pour une application importante, ou l'infrastructure générale de services de support que l'application court dessus, devraient indiquer qui les propriétaires de système du propriétaire is.The de système sont les gens qui fournissent le propriétaire de système des systèmes support.The devraient être indiqués dans l'information de contactde The de inventaire de capitaux pour les propriétaires de système devraient être indiqués dans le plan d'urgence et l'évaluation d'impact d'affaires. Propriétaire De l'InformationLe propriétaire de l'information est la personne qui possède le propriétaire de l'information de data.The est préoccupée par l'intégrité des données, et communique avec le propriétaire de système au sujet des issues liées aux commandes de sécurité du système ou les bases de données que les données résident personne d'on.The, ou le département, qui possède les données n'est pas toujours identiques que le propriétaire de système, bien qu'elles pourraient être. Dans beaucoup de cas, le propriétaire de système maintient les données pour le propriétaire de l'information de l'information owner.The est souvent quelqu'un qui fait rapport au propriétaire d'affaires et pourrait être un gestionnaire de base de données, ou un directeur d'application. Il est possible que dans quelques organismes le propriétaire de l'information et le propriétaire d'affaires soient la même personne. Il est possible que les données sur le système prévu pour C&A tombent sous une juridiction différente que cela du propriétaire de système. Il est également possible que le propriétaire de l'information et le propriétaire de système aient un ans chez la même personne. Parfois des bases de données peuvent être administrées et contrôlées par quelqu'un qui a les qualifications expertes dans le secteur. Si le propriétaire de système et les propriétaires de l'information n'ont pas un ans dans le même peuple, ceci devrait être noté dans le paquet de certification dans le inventaire de capitaux. Officier De Sécurité De Système D'InformationL'officier de sécurité de système d'information (ISSO) est responsable de contrôler la sécurité du système d'information qui est prévu pour C&A.The ISSO assure que la configuration de systèmes d'information est conformément à la politique’de sécurité de l'information de l'agence s. Tous les documents de paquet de certification sont préparés par l'ISSO, ou pour l'ISSO, par le personnel ou les entrepreneurs. Typiquement ISSOs ont un grand plat des responsabilités et ils probablement devront augmenter leur personnel avec des entrepreneurs pour préparer un paquet de certification expéditivement. Il n'est pas rare que un ISSO soit responsable de la préparation d'une demi-douzaine de paquets de C&A. Puisqu'un paquet de C&A pourrait facilement prendre une année pour qu'un expert en matière bien-versé de sécurité prépare, on le considère standard et acceptable pour qu'iSSOs loue des conseillers de l'extérieur de l'agence pour préparer le paquet de certification. Il améliore également l'objectivité du paquet de certification pour le faire préparer par les tiers individus qui ne sont pas une partie de l'agence’s possèdent le personnel. Une fois qu'un paquet de certification est complet, l'ISSO le présente à une équipe d'évaluation qui procède alors valider l'équipe d'évaluation de findings.The est une prolongation de l'agent de certification. Si l'agent de certification ne nomme pas ou ne rassemble pas une équipe d'évaluation, l'agent de certification devrait être préparé évaluer le paquet de certification et faire une recommandation dessus si publier une accréditation positive. Préparateurs de C&ALes préparateurs de C&A, parfois visés comme l'équipe de revue de C&A, préparent les paquets de certification à soumettre à l'équipe d'évaluation. Dans beaucoup de cas, les préparateurs de C&A sont les préparateurs extérieurs de consultants.The C&A peuvent également être une équipe mélangée de conseillers extérieurs et de personnel interne d'agence. Les préparateurs de C&A travaillent pour le propriétaire de système d'information, mais habituellement sous la direction de l'officier de sécurité de système d'information. Quand elle vient à remonter le paquet de certification, c'est les préparateurs de C&A qui exécutent la majeure partie des préparateurs de work.The C&A doivent avoir un fond expert dans la sécurité de l'information avec une largeur d'arrangement les diverses facettes de l'architecture de sécurité, de la confidentialité de l'information, de l'intégrité de l'information, de la disponibilité de l'information, des politiques de sécurité, et des règlements de FISMA. Inspecteurs D'AgencePour se préparer aux visites de GAO, toutes les agences, et quelques bureaux, ont leurs propres inspecteurs qui viennent sur l'emplacement aux filiales pour évaluer périodiquement si la conformité appropriée de FISMA a lieu. Dans la plupart des cas, les inspecteurs d'agence ne sont pas requis de donner l'avis beaucoup avançé et leurs visites peuvent avoir lieu sans agence de warning.The les inspecteurs qu'internes viennent de la filiale du général d'inspecteur (OIG). Beaucoup de bureaux de l'agence OIG ont leurs propres emplacements de Web, et vous pouvez lire plus au sujet des différentes responsabilités de l'OIG là. Agence de protection de l'environnement www.epa.gov/oigearth/ La Commission fédérale www.fcc.gov/oig/ de communications Service de l'agriculture www.usda.gov/oig/ Service des services http://oig.hhs.gov/ de santé et d'humain Administration de sécurité sociale www.ssa.gov/oig/ Service postal www.uspsoig.gov/ des Etats-Unis Le but de l'agence OIG est d'attraper tous les problèmes et de les résoudre de sorte qu'ils n'apparaissent pas car les insuffisances sur des bureaux de GAO reports.The OIG ont leur propre recherche et processus de revue et différents bureaux d'OIG peut exécuter leurs audits dans différentes manières. Les bureaux d'OIG qui sont plus vigilants dans leur audit et processus de revue sont pour empêcher l'agence d'être citée comme déficients par des inspecteurs de GAO. Inspecteurs de GAOLes auditeurs d'inadvertance de GAO visitent les agences fédérales sur une base annuelle, et passent en revue les paquets accrédités de certification pour s'assurer qu'ils ont été properly.The accrédités GAO passe en revue également le processus’de l'agence s C&A pour déterminer s'il est acceptable. Si GAO découvre que des paquets de certification ont été accrédités peu convenablement, ou si le processus’de l'agence s C&A est déficient de quelque façon, des fonctionnaires d'agence documentera les résultats et l'agence recevra les catégories faibles sur la carte fédérale annuelle de rapport de degré de sécurité d'ordinateur. La carte fédérale de rapport de degré de sécurité d'ordinateur est éditée tous les ans par le comité des ETATS-UNIS de la réforme de gouvernement. Niveaux d'auditPrenant en compte l'équipe d'évaluation, les inspecteurs d'OIG, et les inspecteurs de GAO, vous pouvez voir que le processus de FISMA subit les niveaux rigoureux de l'audit (voir le schéma 3.1). Habituellement il n'y a aucun moins de trois niveaux d'audit. Quelques agences peuvent même avoir un niveau additionnel d'audit. Après les revues d'équipe d'évaluation le paquet de certification, il est possible qu'une autre organisation interne de conformité puisse passer en revue le paquet de certification encore pour voir si l'équipe d'évaluation faisait leur travail correctement. L'équipe originale d'évaluation et une équipe auxiliaire de conformité peuvent en fait ne pas convenir dessus si un paquet de certification devrait être accrédité, et souvent les deux organismes de vérification interne des comptes devront avoir de nombreuses discussions parmi eux-mêmes à parvenir à un accord suivant les recommandations finales d'accréditation. Avoir tant de niveaux d'audit peut en fait sembler comme la surpuissance ; cependant, les agences qui semblent se livrer à ces redondances d'audit, et séparation des fonctions, souvent prix le meilleur sur la carte fédérale de rapport de degré de sécurité d'ordinateur. Niveaux de FISMA d'audit pour passer en revue le paquet de certification Inspecteurs de GAO c'est un article supplémentaire par Hemant
Baidwan
|
|||
|