Comment développer un paquet de certification
Avant que vous’ll puissiez commencer à remonter un paquet de certification, vous’le besoin de ll d'acquérir autant l'information comme possible au sujet des systèmes ou des applications vous’ll soyez le besoin de certifying.You d'être un bon détective, et ne pas perdre la foi quand les détails semblent unclear.The plus d'information que vous recueillez le clairifiant les détails voulez become.You sont sur le point de remonter un puzzle denteux de technologie de l'information. Lancement De Votre Projet de C&AQuand vous commencez votre projet de C&A, mettez’t prévoient que chacun qui a joué un rôle en se développant et l'administration de l'application ou des systèmes que vous certifiez pour commencer offrir l'information pour vous à use.You devra prendre l'initiative pour sortir et pour rassembler autant documentation que vous pouvez, et conduite interviewe avec le personnel approprié. Si vous êtes un conseiller, d'abord vous devrez figurer hors de qui le personnel approprié sont que vous devez parler à. Vous allez devoir demander à beaucoup de directeur de commanditaire de questions.The qui vous a signé en hausse pour accomplir le C&A est la meilleure personne pour commencer le directeur de commanditaire de this.The peut être le propriétaire de système, les ISSO, l'officier se contractant, ou un directeur de développement d'application. Remonté une liste de contact Vous devez d'abord figurer hors de qui aura la connaissance de toutes les particularités de sécurité d'information system.You devrait commencer par identifier le peuple que directeur de commanditaire d'involved.The devrait pouvoir répondre à beaucoup de votre trouvaille de questions.To les personnes appropriées qui comprennent la sécurité du système d'information ou des systèmes qui exigent l'accréditation, vous’le besoin de ll de poser les questions suivantes : L'application développée intérieurement ou achetée était-elle d'un fournisseur ? Si l'application était achetée d'un fournisseur était n'importe quelle personnalisation faite à elle ? Qui a fait la personnalisation ? Si l'application était développée intérieurement, qui l'a conçu ? Y a-t-il des caractéristiques et des documents de conception ? Qui les a ? L'application accueillie sur place ou est-elle à un emplacement à distance ? Si l'application est accueillie à distance, qui est responsable de ses opérations ? Ces questions sont “qui ?” questions. Des réponses à vos questions, vous devriez pouvoir commencer à remonter une liste de contact du peuple qui ont été une partie de la conception et exécution du système d'information. Incluez leurs numéros de téléphone et adresses de E-mail parce que vous’le besoin de ll d'entrer en contact avec eux souvent. Quelques agences fédérales sont tout à fait grandes, et dues à la taille des opérations, parfois impersonnelle. Quand vous contactez les diverses personnes sur votre contact énumérez, vous’le besoin de ll d'expliquer à elles qui vous êtes et à pourquoi vous les contactez. Mettez’t s'attendent à ce qu'elles sachent qu'un projet de C&A est en cours ou même pour savoir quel C&A est environ. Si vous entrez en contact avec eux et dites que vous devez les rencontrer pour discuter un projet de C&A, soyez préparé pour leur dire quel C&A signifie puisqu'il y a de fortes chances qu'ils peuvent ne pas avoir un indice de ce que vous parlez. La conclusion hors de toute l'information que vous devrez créer un paquet de certification est tout comme aller sur une chasse à trésor. Si vous êtes un conseiller extérieur, au début du projet, lui n'est tout à fait possible que personne à moins que le directeur de commanditaire sache pourquoi vous êtes sur place à l'agence. Il’s très peu probable que quelqu'un montera à vous et dira, “j'entends que vous êtes onsite pour remonter un paquet de certification pour notre système d'information. Voici toutes les politiques de sécurité, les documents de conception, et la configuration de sécurité du système du lequel vous aurez besoin.” À de grandes agences fédérales, mon expérience a été que personne offre aisément et rapidement des informations sur la sécurité de système. Tenez une réunion de début Une fois que vous avez découvert qui les joueurs de clef sont (le peuple qui ont fait partie de concevoir, de développer, de coder, et de mettre en application le système d'information), vous devriez prévoir une réunion éjectrice et les inviter toutes. Faites votre meilleur pour former de bons rapports avec ces gens parce que vous deviendrez dépendant sur eux pour information. Au cours de la réunion éjectrice présentez-les à l'équipe de C&A, et expliquez à eux brièvement quel C&A est tout environ. Au cours de cette première réunion, vous devriez leur dire que vous aurez besoin autant de documentation que vous pouvez obtenir sur le système d'information particulier qui est prévu pour l'accréditation. Demandez-les s'ils E-mail de bidon vous documentation aussitôt que possible ; autrement ils peuvent prendre des semaines pour l'obtenir à you.You auront besoin de l'information sur la conception, développement, exécution, configuration, topologie de réseau, et l'essai d'information system.You devra passer en revue toute cette documentation pour trouver les bons bits de données pour mettre dans le paquet de certification. Obtenez Toutes les Directives Existantes D'Agence Elle est principale pour découvrir si l'agence que vous travaillez pour a un manuel de C&A. Les agences qui ont dans le passé marqué bien sur leurs cartes fédérales de rapport de degré de sécurité d'ordinateur ont probablement un. Les agences qui ont marqué mal sur leur carte de rapport peuvent ne pas avoir un. Si un manuel existe, vous devez suivre toutes les directives écrites dans lui en préparant votre paquet de certification—même si elles sont les directives pauvres. Si l'équipe d'évaluation fait son travail correctement, elles évalueront le paquet de certification pour à quel point il suit le manuel et les conditions de l'agence C&A. Si un manuel existe, et vous pensez que les parties de lui sont si erronées que vous le shouldn’t le suivez, vous devez prendre ceci vers le haut avec l'ISSO et l'équipe d'évaluation de paquet avant de prendre toutes les décisions. Quand vous préparez un paquet de certification n'est pas nécessairement la meilleure heure d'essayer d'obtenir l'agence de changer leurs règlements et politiques. Si vous pensez que quelques parties de lui sont incorrectes, avant que vous avanciez et décidiez de faire à votre guise et de créer un paquet “” plus correct de certification, portez les issues à la connaissance de l'ISSO et offrez la justification quant à pourquoi vous voudriez procéder différemment. Quelques agences échoueront votre paquet de certification si vous mettez’t suivez leur manuel—même si le manuel est erroné. Toutes les agences sont censées avoir un manuel et des calibres pour normaliser le processus de C&A. Cependant, quelques agences moins sont préparées que d'autres, et si vous vous embarquez sur un projet de C&A, et découvrent qu'aucun manuel ou calibre n'existent, que vous’le ll doivent faire without.You peut immobile remonté un paquet plein de certification sans manuel ou calibres, et si vous faites un bon travail, peut-être vous sera enrôlé en tant que futur contribuant pour développer le manuel et les calibres si nécessaires. Si un manuel de C&A n'est pas présent, voyez alors si l'agence de parent a un. Un département par exemple de bureau ou d'agence ne peut pas avoir leur propre manuel, mais l'agence de parent pourrait. Si aucun manuel de C&A du tout n'existe, figure hors de quelle méthodologie votre agence devrait employer (NIST, DITSCAP, NIACAP, DCID 6/3) et regard à celle pour des conseils. Analysez Votre RechercheUne fois que vous avez reçu les divers documents des lotisseurs et des administrateurs de système d'information, vous’le besoin de ll d'analyser ces documents pour voir s'ils incluent le genre d'information qui vous’le besoin de ll d'inclure dans le paquet de certification. Il est probable qu'une grande partie de l'information que vous avez besoin pour le paquet de certification ne soit pas incluse dans les divers documents vous recevez. Si le system(s) de l'information qui sont vers le haut pour C&A ont été précédemment accrédités, alors un paquet antérieur de certification exist.You devrait lui faire une remarque pour passer en revue le paquet antérieur de certification, et emploie n'importe quelle information de lui qui est encore approprié. Si quelque chose semble incorrect dans le paquet antérieur de certification, vous devriez le corriger, même si il n'était pas cité pour des ciencies de defi- dans l'accréditation antérieure. Remonté une liste de questions concernant les genres de choses vous devez toujours découvrir des lotisseurs et des administrateurs de système d'information, et les réunions de programme avec les gens que vous pensez peuvent mieux répondre à vos questions. Continuez à rencontrer l'équipe et à entrer en contact avec elles au téléphone et par E-mail jusqu'à ce que toutes vos questions soient répondues. Il prend souvent plusieurs ronds des enquêtes avant que vous receviez toute l'information appropriée. Préparation des documentsBien qu'il y ait probable aucuns règlements qui exigent de vous de remonter le paquet de certification documente dans n'importe quel ordre particulier, je m'avère justement penser que l'ordre dans lequel vous remontez les documents soit important. Par exemple, si vous remontez le inventaire de matériel et de logiciel vers le haut de l'avant, il vous aidera en écrivant le texte descriptif au sujet des frontières d'accréditation qui sont exigées dans le plan de sécurité de système. Dans certains cas, il peut se comprendre pour que vous changiez l'ordre de ces documents en remontant votre paquet de certification. Le point principal à emporter est que si un document contient l'information qui dépend d'un document antérieur, développez le document antérieur d'abord. Il sera difficile de savoir évaluer l'impact de panne des capitaux énumérés dans l'évaluation d'impact d'affaires si vous mettez’t pourtant sait ce que les capitaux sont—si le inventaire de matériel et de logiciel n'a pas été encore accompli. Il’ok de s à être superflu Plusieurs des documents dans le paquet de certification incluent l'information qui est superflue d'un document à la raison de next.The de ceci est parce que chaque document doit pouvoir se tenir seule. Une partie d'information que vous trouvez pour certains des documents plus tôt peut et devrait être employée dans documents.You suivant veut il n'est pas souhaitable de donner l'impression que tous les documents sont conformés à l'un l'autre et soutenir chaque other.Though sous beaucoup de formes d'écriture étant superflue, dans la certification d'ouvrage empaquette, il est nécessaire. Une des choses que les experts recherchent sont des contradictions entre les divers documents de paquet de certification. Toutes les contradictions habituellement soulèvent un drapeau et réclament une inspection plus minutieuse. Les Différentes Agences Ont Différentes Conditions Non toutes les agences exigent l'exact les mêmes documents pour C&A. FISMA tient compte de la flexibilité, et une agence peut exiger certains documents que d'autres agences mettent’t require.Though qu'il pourrait discuter que c'est injuste, FISMA a été conçu pour permettre à chaque agence de déterminer ses propres besoins dans les limites de la condition. Y compris des applications multiples et des systèmes en un paquet Vous pouvez inclure des applications multiples et les systèmes d'information dans une certification Package.To soient sûrs, il ne semble aucun raisonnable du tout de créer un paquet de certification pour chaque système qui existe à votre agence. Vous devriez définir les frontières d'accréditation de votre paquet de C&A aussi largement que vous probablement bidon. La détermination des frontières d'accréditation est parfois la partie la plus rusée de remonter un besoin de la certification Package.You de comprendre où l'accréditation commence et s'arrête. En général, vous devriez sélectionner une détermination de frontière qui est grande et logique. Par exemple, si vous accréditez les systèmes généraux de soutien, vous pouvez vouloir définir votre frontière par des domaines de réseau. Si vous accréditez des applications principales, vous devrez inclure tous les morceaux de l'infrastructure que l'application touche. Habituellement l'infrastructure d'application est contrôlée par une organisation différente que les systèmes généraux fondamentaux de soutien. Les logiciels d'exploitation et le réseau ont typiquement différents propriétaires de système d'information que les applications. C&A est au sujet de juger des propriétaires de système d'information responsables, et donc, les frontières doivent se trouver en dessous de l'excédent de juridiction que le propriétaire de système d'information a la commande. Si vous certifiez une application qui est selon les systèmes généraux de soutien sur lesquels l'application obtient installée, alors ceci devrait être clairement énoncé dans la certification Package.An le système général que fondamental de soutien a habituellement un paquet différent de certification que les applications qui sont installées sur elle. Quand votre paquet de certification et la sécurité de vos systèmes est dans la personne à charge de partie sur d'autres systèmes, ces doit être spécifiquement stated.You peut mettre en référence d'autres paquets de certification et d'autres systèmes qui ne sont pas dans vos limites d'accréditation dans votre documentation. Il serait parfaitement plausible d'insérer un rapport comme : Les applications principales décrites en ce paquet de certification dépendent des systèmes généraux fondamentaux de soutien qui ont été précédemment accrédités au niveau 4. Vous devriez énumérer le nom formel de paquet de certification de tous les autres paquets que vous mettez en référence. Si vous mettez’t savez le nom de paquet, essai pour le découvrir. Il’s encore meilleur d'obtenir une copie d'elle si vous pouvez. Dans certains cas, elle peut être contre les politiques de sécurité de l'agence pour partager une telle information entre un propriétaire de l'information à l'autre. De quelque manière que pour le moins, un propriétaire extérieur de l'information devrait pouvoir partager avec vous la date de nom et de publication de document officiel du paquet relatif de certification. Vérifiez Votre InformationUne fois que vous avez rempli un document, avant de le soumettre à l'ISSO, envoyez-le dehors d'abord aux lotisseurs et aux administrateurs de système d'information qui sont les plus au courant des systèmes d'information que vous cherchez à accréditer. Demandez-les de la passer en revue et de vous informer de toutes les erreurs effectives. Des diagrammes de réseau devraient également être passés en revue pour l'exactitude. Si quelque chose le doesn’t se comprennent, il’s probablement mal non bien documenté ou plat. La certification et l'accréditation est un moment de s'assurer que tout est précise. En passant en revue les documents de conception que vous recevez, ne supposez pas simplement que l'information qui s'y trouve est comment les systèmes d'application ou d'information ont été développés réellement. Les conceptions vont de travers et la gestion change d'avis au sujet des conditions à mi-chemin en projet. Juste parce qu'un système d'information a été censé s'avérer l'one-way, moyen’du doesn t il alerte’du didn t un besoin différent de way.You de prendre tout que vous lisez avec un grain de sel, et posent des questions sur les choses qui mettent’t se comprennent. Maintenez Votre ÉthiqueÀ la plupart des agences, tout le propriétaire de système d'information veut que l'équipe de revue de certification fasse doit obtenir les systèmes d'information certified.They met’t veulent nécessairement savoir vous aborderez faire ceci aussi longtemps que vous l'obtenez fait. Quoique vous devriez faire tout possible de faire qui se produisent, certainement ne compromettez pas votre éthique. Les Meilleures Pratiques en matière de C&A… Tenez sur votre éthiqueNe compromettez jamais votre éthique. Dans aucunes circonstances vous inventez les commandes de sécurité qui n'existent pas, ou documentez que des risques ont été atténués s'ils l'asile’t. Si le propriétaire de l'information ou l'ISSO vous pressurise pour documenter les articles qui ne sont évidemment pas vrais, vous devriez vous abstenir à faire ainsi et signaler le problème à votre gestion. Si au cours de préparer les documents de certification vous constatez que certaines commandes de sécurité qui devraient avoir été mises en application n'étaient pas, rapportez qu'à l'ISSO et recommandez qu'elles obtiennent mises en application aussitôt que possible. Aussi longtemps qu'elles sont mises en application avant que le paquet de certification soit soumis, votre documentation ne sera pas incorrecte. Si vous estimez qu'il n'y a absolument aucune manière les systèmes d'information obtiendront une accréditation positive, discutent ceci avec l'ISSO. Il n'est pas votre travail en tant que préparateur de document de certification de résoudre les problèmes de sécurité qui devraient avoir été mis en place précédemment. Le propriétaire de système d'information et les ISSO sont probables les deux conscients du fait que des commandes de sécurité soient exigées par loi, et doivent être en place. S'ils sont les individus responsables avec l'éthique de leurs propres, ils ne s'attendront pas à ce que vous résolviez des problèmes de sécurité d'agence que vous n'avez aucun contrôle de. La plupart des systèmes d'information d'agence peuvent probablement obtenir une accréditation du niveau 1 avec un paquet correctement documenté de certification. Cependant, si des commandes de sécurité sur des systèmes d'information semblent être tellement mal mises en application quant à la garantie non égale une accréditation du niveau 1 vous devriez rencontrer le propriétaire de système d'information et l'ISSO et les conseiller de ceci. Soyez sûr d'inclure la justification quant à ce que vous sentez vous a tellement terriblement tort. Si un niveau 1 ne peut pas être d'une manière justifiable obtenu, il y a vraiment deux choix : Arrêtez le processus de C&A et mettez en place les commandes nécessaires de sécurité Continuez le processus de C&A, documentant l'information existante précise de sécurité, et espérez que l'expert accordera au propriétaire d'affaires une autorité d'intérim pour opérer. Une autorité d'intérim à fonctionner (IATO) est fondamentalement comme une accréditation de consolation, et dans la plupart des cas IATOs expirent après six mois. Un IATO signifie que vous avez convaincu les experts que le propriétaire de l'information met au moins en avant un bon effort dans l'essai de mettre en application des commandes appropriées de sécurité. Et pour cette raison, l'agent de certification vous donne six mois pour hériter la conformité. Un IATO habituellement inclura une liste de commandes de sécurité qui devront être en place quand l'IATO expire. À ce moment-là, si les besoins de l'IATO ont été répondus, le système habituellement recevra une autorité à l'opération (ATO), mais si pas, les systèmes peuvent être arrêtés. Sans accréditation à disposition, GAO ou l'agence OIG peut entrer et fermer vos systèmes. Cependant, bien que GAO ou l'OIG pourrait exiger des systèmes d'être arrêté, pour des buts pratiques, dans la vraie vie ceci se produit rarement. Certainement un IATO est meilleur qu'aucune accréditation du tout. c'est un article supplémentaire par Hemant Baidwan
|
|||||
|