Problèmes de ne pas avoir un programme de certification/accréditation

Share

|

Si votre agence n'a pas un programme normalisé de C&A, vous pouvez vous attendre à ce que le processus de C&A devienne extrêmement embrouillant et excessivement compliqué. Les préparateurs de C&A ne sauront pas ce qui devrait être inclus en chaque paquet, et les experts ne sauront pas si quelque chose est absent.

L'Information Absente

Sans programme de C&A, les différents paquets de certification incluront différents types d'information. Par exemple, sans programme prescrit et normalisé de C&A, un paquet de certification pourrait avoir un plan d'urgence de technologie de l'information (ITCP) et d'autres ne pourraient pas. Un paquet de certification pourrait inclure une carte de topologie de réseau, et d'autres ne pourraient pas. Quand elle vient heure d'évaluer le paquet entier de certification, il est difficile d'échouer un paquet pour ne pas avoir un plan d'urgence de technologie de l'information si aucune politique ou processus d'organisation n'exigeait jamais d'on d'exister en premier lieu. Il est très difficile de juger les propriétaires de système d'information et l'ISSOs responsables de remonter à paquets proportionnés de certification si votre agence n'a pas encore défini ce qui constitue exactement à paquet proportionné de certification.

Manque d'organisation

Bien que l'indication de la bonne information pour inclure dans un paquet de certification soit d'importance primaire, le format du paquet ne devrait pas être négligé. Un paquet de certification peut être 500 pages longtemps. À moins que chacun soit organisé la même manière, il sera très encombrant pour que les experts pataugent par l'information et le contrôle volumineux pour voir si tout le bon matériel a été inclus. Il’s mieux pour rendre des choses plus faciles pour les experts. Les experts qui peuvent’t faire des têtes ou les queues hors de l'information leur ont présentées, et les informations’de clef de trouvaille du bidon t, vont être peu disposés à recommander qu'un paquet soit accrédité.

Contradictions dans le processus d'évaluation

Vous voulez que chaque paquet de certification soit évalué la même manière. Une agence peut avoir beaucoup d'evaluators.Without différents n'importe quelle sorte de norme pour le contenu de paquet de certification ou format, vous laissez l'évaluation entière jusqu'à l'opinion subjective d'une une (ou à un petit groupe) de personnes. Les différents experts peuvent mettre l'emphase sur différents secteurs. Si chaque paquet a le même format d'organisation, il améliore les chances que les différents experts évalueront les paquets de la même manière parce qu'ils rechercheront, et s'attendent au même type d'information.

Architecture et configuration inconnues de sécurité

Sans paquet de certification, ce peut être le cas que l'architecture de sécurité et la configuration de votre infrastructure de l'information n'est pas connu. En travaillant par le processus de C&A, vous vous rendrez compte de, que ce soit le cas ou pas. Si l'architecture de sécurité est bien documentée, C&A sert une occasion de s'assurer les diagrammes d'architecture et les cartes de réseau sont correcte. S'il’documentation non bonne de s, ou non documenté du tout, ceci est quelque chose que vous’le ll veulent rechercher et diagram.The mêmes juge vrai pour la configuration de sécurité. Tout le logiciel exige des configurations. Quand les logiciels d'exploitation et les applications, même si ils sont installés solidement, les arrangements de sécurité sont-ils installés sont-ils documentés ? Si les arrangements de sécurité ne sont pas documentés, ils sont fondamentalement inconnus. Même les interfaces gestionnaire experts et chevronnés ne peuvent pas habituellement se rappeler que chaque petite chose qu'ils ont faite à un système quand la configuration d'elle parce qu'aujourd'hui’les logiciels d'exploitation et les applications de s sont ainsi du dispositif rich.That est pourquoi la documentation d'architecture et de configuration de sécurité est processus de critical.The C&A est conçue pour trouver les inconnus des arrangements d'architecture et de configuration de sécurité et puis pour résoudre les inconnus en créant la documentation nécessaire le long de la manière.

Risques Inconnus

Les lois fédérales de côté, la raison primaire de l'arrangement le maintien de sécurité de vos systèmes d'information doit identifier des risques, les comprendre, et prendre l'atténuation actions.With C&A à gauche éliminée, vous laissez les risques que vous voulez que votre agence recherche ouvert de spéculation. Peut-être l'agence ISSOs identifiera tous les risques principaux, mais peut-être ils ont gagné’t. Un ISSO peut mettre l'emphase sur la planification de rétablissement de désastre, et des autres pourraient mettre l'emphase sur des risques de système. Il est peu probable qu'ils tous mettront la même emphase sur tous les aspects de sécurité de l'information. Quand il vient à identifier des risques, il y a de nombreux articles à prendre dans consideration.There sont des risques d'affaires, risques de système, risques s'exerçants, risques de politique, risques de inventaire, et ainsi le programme bien défini d'on.A C&A s'assure que tous les types appropriés de risques sont pris en compte.

Lois et cartes de rapport

Vous pouvez être étonnée de découvrir que la certification “et” l'accréditation “de mots” ne sont pas employées dans la Loi fédérale de sécurité de l'information de 2002. Cependant, la loi énonce très clair la condition d'un programme de sécurité de l'information, et appelle également les éléments exigés de ce programme. Plusieurs des éléments exigés du programme exigé de sécurité de l'information sont ceux qui ont évolué pour être maintenant connus comme “certification et accréditation.” Même si le programme agence-large s'appelaient l'autre chose—dites “le programme de validation de sécurité que”—tous les mêmes éléments du programme seraient required.You ne devrait pas obtenir raccroché sur le fait que vous mettez’t voyez que la certification “ou” l'accréditation “de limites” dans les éléments appelés par law.The écrits du programme sont exigées par loi n'importe comment vous les avez droit. Sans ces éléments, et sans programme de sécurité de l'information, les agences violent la loi. Quel’s davantage, les agences qui mettent’t ont les bons éléments inclus dans leur programme de sécurité de l'information obtiendront les catégories fédérales faibles de carte de rapport de degré de sécurité d'ordinateur.