Progression par le processus de certification
Il y a quatre phases à niveau élevé au C&A process.To obtiennent d'une phase à l'autre, beaucoup de substance se produit le long de la manière. Laissez-moi vous aider à comprendre comment obtenir d'une phase au prochain. La Phase De DéclenchementLa phase de déclenchement habituellement est officieusement contrôlée par le propriétaire de système d'information et l'ISSO. Bien que tous les propriétaires de système d'information devraient se rendre compte du fait que FISMA exige de nouveaux systèmes d'information d'être franchement accrédités, ceci peut ne pas se produire au premier rang de leur minds.Therefore, il est tout à fait probable que l'ISSO puisse porter le besoin de C&A à la connaissance du propriétaire de système d'information. Si le besoin de C&A est lancé par le propriétaire de système d'information, ou l'ISSO, une certaine sorte de reconnaissance entre ces deux individus des lesquels un C&A a besoin pour avoir lieu devrait se produire. La reconnaissance ne doit pas être formelle, ou même écrit. Une conversation simple de vestibule peut suffire aussi longtemps que les deux parties viennent pour convenir qu'elle’temps de s d'obtenir un projet de C&A a commencé. Pendant la phase de déclenchement, le propriétaire de système d'information et l'ISSO devraient convenir sur quelles ressources à employer à pour le C&A préparez l'équipe. Des décisions doivent être prises dessus si louer les entrepreneurs extérieurs, ou utiliser le personnel interne. Puisque C&A, si fait correctement, est habituellement un travail beaucoup plus grand que la plupart des personnes réalisent, je ne peux pas souligner assez la valeur en employant les conseillers extérieurs. Le remontage d'un paquet de certification est un travail à temps plein et habituellement les résultats seront insuffisants si le bureau de gouvernement juge au doubleup son personnel existant pour effectuer des fonctions de C&A en même temps que leur routine quotidienne existante. En externalisant la préparation d'un paquet de certification aux conseillers extérieurs, il est important que l'ISSO s'assure que lui ou elle loue les individus capables avec l'expertise.The approprié ISSO devrait poser de nombreuses questions à une compagnie potentielle de contrat et à son personnel avant d'enrôler l'officier d'entrepreneur (COTR) pour clôturer un accord. Les questions qui peuvent aider un ISSO en déterminant les possibilités de l'expert C&A des conseillers potentiels pourraient être : Pour quoi d'autres agences avez-vous exécuté C&A ? Avez-vous une expérience professionnelle en obtenant des accréditations positives ? Pouvez-vous appeler les documents de C&A que vous êtes expérimenté dans la préparation ? Pourrez-vous faire de nombreux voyages sur l'emplacement pour rencontrer notre personnel ? Pouvez-vous fournir des résumés pour les conseillers disponibles ? Avez-vous une description de vos services de préparation de C&A ? Pouvez-vous fournir des références d'autres agences ? Non tous les services de conseil de C&A sont identiques. Une indication claire qu'une compagnie se contractante ne comprend pas entièrement C&A est s'ils énumèrent seulement quelques uns document saisit leur description de service de C&A. Quelques compagnies prétendent comprendre C&A, mais par l'exemple, énuméreront que leur service de C&A consiste en un art de l'auto-portrait-assessment et une évaluation de vulnérabilité (qui de cours est seulement une partie du picture).You veut vraiment louer les conseillers qui comprennent la boule entière de la cire et peuvent développer tous les documents priés pour C&A. Il seulement ralentira et compliquera le processus si vous louez par exemple une compagnie pour développer une partie des deliverables et d'une compagnie différente pour développer l'autre partie. Quand il vient à C&A, la conclusion d'une compagnie se contractante qui offre des un-arrêter-achats est vraiment la manière la plus efficace d'aller. Une bonne manière de découvrir à quel point une compagnie se contractante de candidat comprend C&A est de les demander une proposition de projet avec des étapes importantes établies dans elle. En comparant les différentes propositions de projet côte à côte, elle devrait devenir claire qui des compagnies se contractantes de candidat offrent la meilleure expertise. Enfin, avant de préparer un paquet de certification, l'ISSO devraient avoir un certain arrangement de si le paquet proposé de certification aura comme conséquence une accréditation positive. Si l'ISSO sait vers le haut de l'avant que le démuni approprié de commandes de sécurité installé, que la sécurité est incorrectement configurée, et que démuni de politiques de sécurité respecté, il vaut mieux de fixer ces problèmes avant de commencer le C&A process.This ne veut pas dire que C&A est facultatif. Ce que je suggère est que si vous savez des faiblesses qui exigent la correction, commencez à les corriger immédiatement. Mettez’l'attente de t le temps de C&A de venir le long avant de faire les corrections nécessaires. Le NIST conseille que le plan de sécurité de système d'information soit analysé pendant la phase de déclenchement. Bien qu'il n'y ait rien théoriquement mal avec cette approche, c'est souvent le cas qui pour un nouveau système d'information, un plan de sécurité de système existe. En remontant le paquet de certification, c'est un scénario plus probable que le plan de sécurité de système sera écrit pour la première fois, ou révisé et mis à jour pendant la phase de certification. Pendant un recertification d'un paquet qui a été précédemment accrédité, un vieux plan de sécurité de système naturellement déjà existerait. Étapes importantes De Phase De Déclenchement Pendant la phase de déclenchement, vous devriez poser ces questions : Est-ce que des préparateurs de C&A ont été identifiés ? Est-ce que des faiblesses connues de sécurité ont été adressées ? De la catégorisation de sécurité de PAP 199 a été accompli ? La Phase De CertificationLa phase de certification est la période de temps l'où le paquet de certification est préparé. Elle a lieu pendant cette phase que les préparateurs de C&A (ou l'équipe de revue) recueillent toutes les évidence et documentation de support, et développe les nouveaux documents exigés pour le paquet de certification. Si le C&A proposé est pour un système d'information nouveau, aucun paquet antérieur de certification n'existera. Si le C&A est pour un système d'information plus ancien, un paquet antérieur de certification devrait exister et être disponible pour la revue. Nouveau C&As sont exigés tous les trois ans. La certification pour un système d'information qui précédemment a été accrédité désigné sous le nom “d'un recertification.” Recertifications exigent la même suite des documents que les nouveaux paquets de certification exigent. En travaillant à un recertification, le paquet antérieur de certification devrait être passé en revue complètement pour s'assurer que tous les risques précédemment cités dans le vieux paquet de certification ont été atténués. L'équipe de revue de C&A devra venir sur l'emplacement au bureau’de l'agence s pour être disponible pour interviewer l'équipe de développement’et de gestion du système d'information s. Il est critique pour que l'équipe de revue de C&A apprenne autant au sujet du système d'information comme possible et pour pose autant de questions comme le propriétaire de système d'information de necessary.The devrait conseiller son personnel de développement d'adapter à l'équipe de revue de C&A et de leur fournir autant l'information comme possible au sujet de la conception et de la configuration du système prévu pour C&A. Les équipes de revue de C&A peuvent se composer n'importe où de peu de gens, jusqu'à une douzaine ou à plus selon la complexité du système d'information prévu pour C&A. Ce qui devrait déterminer le nombre d'individus sur l'équipe de C&A est la portée du projet, et calendrier du projet. À mesure que vous augmentez la portée, et diminuez le calendrier, le besoin de plus grande équipe de revue de C&A augmente. La plupart des équipes de revue de C&A ont besoin au moins de trois mois de minimum pour assembler à paquet proportionné de certification. Il ne serait pas inadmissible, cependant, pour qu'une équipe de revue de C&A prenne six mois pour préparer un paquet de certification pour une grande et complexe infrastructure. Les Meilleures Pratiques en matière de C&A… Étapes importantes De Phase De Certification Des documents de conception et d'architecture sont passés en revue. Des vulnérabilités sont identifiées. L'évidence de la réduction de risque est identifiée. Des documents de certification sont écrits. L'analyse du risque acceptable à l'agence est accomplie. La Phase D'Accréditation La phase d'accréditation commence quand le paquet de certification a été équipe d'évaluation de completed.The lit par le paquet de certification en sa totalité, et valide si les résultats sont précis, et si toute l'information exigée est présente. Un paquet de certification peut facilement être au-dessus de 500 pages. Au moins deux à quatre semaines devraient être réparties pour la phase d'accréditation. La plupart des équipes d'évaluation auront déjà préparé des listes de contrôle des critères particuliers qu'elles comptent trouver dans le paquet de certification avant qu'elles commencent réellement l'évaluation. Si les passages d'un paquet de certification se rassemblent avec les experts, une recommandation sera faite que le paquet soit franchement agent de certification d'accredited.The passera en revue la recommandation, et aussi longtemps qu'elle semble justifiée, signera une lettre officielle de lettre d'accréditation d'Accreditation.The devra également être signé par l'ISSO, le propriétaire de l'information, le fonctionnaire d'autorisation, et alors sera envoyé au CIO.The CIO est censé accuser réception de la lettre en la signant. Les Meilleures Pratiques en matière de C&A… Étapes importantes D'Accréditation Soumission de paquet aux experts Résolution de revue et de commentaire Recommandation d'accréditer (ou pas) La Phase De Contrôle continuUne fois qu'un système d'information a été accrédité, il devrait être sans interruption surveillé. Les changements de gestion de configuration devraient être un processus en cours et bien-contrôlé avec des mécanismes d'approbation incorporés. Des dates des changements et les versions des changements de code devraient tout être documentées. Des commandes de sécurité devraient également être surveillées et tous les changements faits à elles devraient être documentés. Si des politiques de mur à l'épreuve du feu sont changées, les changements et les raisons des changements devraient être documentés. Si des changements de configuration de détection d'intrusion sont faits, ils devraient être amplement décrits et les raisons des changements si documenté. C'est souvent le cas que pas presque assez de temps est mis dans la phase de contrôle continu, depuis une fois qu'une accréditation positive a été faite, la plupart d'ISSOs et les propriétaires de système d'information tendent à respirer un soupir de soulagement et à sembler à comme mettre le processus entier de C&A derrière eux. Le remontage d'un paquet de certification et l'obtention d'une accréditation est intimider chargent et faire plus de lui, après que le travail soit fait, n'est pas habituellement haut sur n'importe qui’ordre du jour de s après le fait. Cependant, en gardant la volonté à jour de documents facilitez tous les futurs recertifications beaucoup. À moins que le système d'information soit désarmé, il en fait devra être recertified en trois ans. Les documents qui sont une partie du paquet de certification sont considérés les documents de phase, et peuvent être mis à jour à tout moment. Il est le meilleur pour mettre à jour les documents dès que des changements seront faits aux systèmes d'information depuis qui est quand la nouvelle information est la plus fraîche dans chacun’esprit de s. La mise à jour de la documentation ne semble jamais être haute sur la liste d'important charge d'accomplir, et pour cette raison, je recommande cela qui met à jour des documents de paquet de certification sois construit dans le processus de gestion de changement. Chaque fois que un document est mis à jour, il devrait être passé en revue et approuvé par le procédé de commande de changement et être puis archivé localement et à un endroit d'offsite. Les Meilleures Pratiques en matière de C&A Étapes importantes De Contrôle continu Réconciliation des citations de POA&M Documentation des changements au système Surveillance continue des commandes de sécurité c'est un article supplémentaire par Hemant
Baidwan
|
|||||
|