Роли и обязанности в Creditation и аккредитации CA
С и А влечет за собой много разных людей, все работают вместе на различных задач. Есть на ребят, которые разрабатывают С и А программа, в подготовке ребят, которые Сертификация пакеты, то ребят, которые несли ответственность по сертификации упаковки, агентство аудиторов, которые будут проводить оценку сертификации пакеты до аккредитации, и федеральных инспекторов, которые ревизии агентства чтобы убедиться, что они делают и С А правильный путь. Главный сотрудник по вопросам информацииАгентство главного сотрудника по информации (ГСИ) является наиболее очевидным лица нести ответственность за успешное информационной безопасности программы и С и программу. Именно ДП обязан убедиться в том, что информационная безопасность программы, в том числе и С - программа, существует и реализуется. Однако большинство учреждений CIOs не играют непосредственного участия в разработке этих программ. Обычно ДП назначит разработке этих программ для старших Агентство информационной безопасности. Однако, делегируя программы развития не означает, что ГИС не нужно понимать этот процесс. Если ДП не понимает всех элементов успешного C и Программа существует мало шансов на то, что ДП сможет провести старший Агентство информационной безопасности отвечает за разработку полной программе. Без понимания того, что данные программы должны включать, ДП не будет знать, если старший Агентство информационной безопасности оставил ничего из. А часть С и А, что нельзя недооценивать - это необходимость для ГИС для разработки бюджета на C и A. С и А время очень интенсивной, и типичным С и А принимает в среднем шесть месяцев, чтобы выполнить тщательную работу, изобилует все необходимые information.The ГИС работает вместе с санкционирования официальных чтобы обеспечить достаточным бюджетом для сотрудников необходимыми ресурсами для воедино программы сертификации. Если CIOs не бюджет на С и А, С и А могут не получить done.The ГИС позволяет C и A провести в полном понимании федерального бюджетного процесса, которая содержится в публикации, потушить в Белом доме известного как циркуляр № A - 11 часть 7 планирования, бюджета, приобретение, и управлению капитала. Эта публикация в настоящее время доступна на www.whitehouse.gov/omb/circulars/a11/2002/part7.pdf. A - 11 часть 7 ссылок других бюджетных руководящих что ДП следует также ознакомиться с, в том числе один известный как АБУ Выставка 300. АБУ Выставка 300 в настоящее время доступна на www.cio.gov/archive/S300_05_ draft_0430.pdf. В конечном счете, ДП, что, вероятно, будет нести ответственность и подотчетность, если учреждение получает бедных классов на ежегодный Федеральный Computer Security Report Card. Одна из обязанностей ДП заключается в том, чтобы заботиться о ежегодный Федеральный Computer Security Report Card класс. Если агентство получает при отсутствии класса, то явно есть что-то неправильно ни с С и А сама программа, и как программа выполнена. Если агентство получает сверху показатель по годовой Федерального Computer Security Report Card, а затем по мере C и А выходит, этот процесс в настоящее время работает правильный путь. Как Федерального Computer Security Доклад карты получают все больше и больше внимания общественности ежегодно, бедный баллов в табеле можно карьеры ограничения опыта для любого учреждения ГСИ. Разрешение ОфициальныеВ официальной разрешение - общий термин для старшее должностное лицо в учреждении, которое разрешает функционирование информационной системы, заявив, что риски, связанные с ним являются приемлемыми. Вряд ли, что любое лицо, будет проводить название "санкционирования официальных", поэтому я не punctuating здесь с капиталом letters.There может быть несколько должностных лиц разрешать в каждом учреждении, всех ответственность за собственные отведенных местах. Во многих учреждений, разрешение официальных называют Аккредитинг уполномоченный орган (DAA). В санкционирования официальных обычно бюджетных ответственность за обеспечение того, чтобы определенное количество ресурсов, отведенных для наблюдения за A и C процесса. Обычно агентства ДП доклады разрешение официальных. Однако в крупных учреждений, где некоторые бюро CIOs докладе агентства ГИС, она может оказаться, что ГИС является официальным разрешать. В других случаях разрешение может быть официальной комиссара или помощника комиссара. Если разрешение официальных и ГИС являются двумя разными людьми, они должны работать вместе, чтобы убедиться в том, что адекватного бюджета было выделено на C и A. В санкционировании должностное лицо, в соответствии с Национальным институтом стандартов, специальной публикации 800-37 (май 2004 года), будет работник из правительства США и не может быть подрядчиком или консультантом. Однако разрешение должностное лицо может назначить своего представителя для выполнения различных задач, связанных с С и А, и назначенный представитель может быть подрядчика или консультанта. Однако окончательное решение безопасности аккредитации и сопровождающая ее аккредитации решение письмо должно быть подписано владельцем и в США работник правительства, что является официальной разрешать. Старший Агентство информационной безопасностиСтарший Агентство информационной безопасности (SAISO) - это человек, что ГИС проводит подотчетны за все агентства информационной безопасности initiatives.The SAISO сродни начальник информационной безопасности в частном секторе. Может быть, CIOs может выполнять эту роль на себя, и в этом случае не будет отдельный лицом этих обязанностей. В SAISO работает с учреждением разрешение чиновников обеспечить, чтобы они согласны с требованиями безопасности информационной системы, а также основные документы, содержащиеся в сертификации Пакет таких, как оценки рисков и плана охраны. Работая вместе, SAISO и разрешение чиновников следует обязательно учитывать задачи и деловые требования ведомства. В SAISO обеспечивает управление надзора к сертификации агент и работает с его или ее обеспечить, чтобы A и C процесса является хорошо продуманной и включает в себя всю необходимую документацию и guidance.The SAISO назначает агента сертификации и проводит их к ответственности за выполнение своих обязанностей. Это очень важно для SAISO выбирать их сертификации агент (ы) тщательно, поскольку они должны будут полагаться на их аккредитации рекомендации. В SAISO возможно, пожелает рассмотреть все Сертификация пакеты, которые обрабатываются в рамках учреждения; Однако, на практике, это практически невозможно это сделать. В большинстве учреждений есть слишком много Сертификация пакеты для одного человека для рассмотрения и утверждения. Из-за этой самой причине, SAISO нанимает Сертификация агент (или агенты) следующего содержания пакетов, проведения оценок, написать рекомендации, и подготовить документ называется Безопасности доклад об оценке. Совет Безопасности доклад об оценке сути является резюме оценки и обоснования и поддержки рекомендации о том, следует ли аккредитовать package.The Безопасности доклад об оценке должны иметь всю информацию о том, что SAISO необходимо оправдать подписание аккредитации письмо, и эскалацию рекомендации вверх на разрешение официальной социальной о том, стоит ли они должны подписать аккредитации письмо. Старший агентство Конфиденциальность официальнойКаждое учреждение должно иметь старший агентство Официальные конфиденциальности. Для большого учреждения, старший агентство Конфиденциальность Официальные может быть полное время работы. Однако, для небольшого учреждения, то, возможно, что обязанности этого должностного лица может осуществляться ДП, ДП сотрудников, или SAISO.The лицом в этой роли может провести название главного Конфиденциальность сотрудник он или она не обязательно должна быть назван старший агентство Официальные конфиденциальности. Что наиболее важно, что кто-то поручено выполнять функции защиты конфиденциальной и частной информации. Сертификация агент / Группа по оценкеСертификационный Агент обзоры сертификации пакетов, что делает рекомендаций относительно того, они требуют аккредитации положительное или нет. По сути, сертификация агентов действовать в качестве auditor.They гребень через громоздкий Сертификация Пакеты ищет недостающую информацию и информацию о том, что не делает sense.Their цель - определить, если пакет в соответствии с учреждением документально C и Справочник , процесс, политика безопасности, и информационной системы требованиям безопасности. В некоторых учреждениях есть так много пакетов для оценки, что сертификация агентов состоит из оценки team.The группа может иметь название департаментов, таких, как Миссия Assurance, информационного обеспечения, или Compliance.The организационной зовут по большей части значения, как он может быть различных учреждениях. Проанализировав C и A упаковки, сертификации, агент или группа по оценке, готовит рекомендации для внутренней аккредитации власти - SAISO и разрешений на официальных или нет пакет должен быть аккредитованы или нет. В большинстве случаев, SAISO и санкционирования официальных принимает рекомендации по сертификации агент, и признаки аккредитации письма исключительно на основе рекомендации по сертификации агент. Наряду с рекомендацией, сертификации Агент также производит и включает Безопасности доклад об оценке. Совет Безопасности доклад об оценке следует оправдать эту рекомендацию. При сертификации агент - это группа людей, они, как правило, разделена на различные задачи, которые необходимо выполнить для ускорения процесса. Например, один человек может оценивать пакеты для общей поддержки Systems, другое лицо может оценивать пакеты Крупная техники, другое лицо может создавать и обновлять шаблоны, и другое лицо может обновить руководство. Сертификационный Агент также отвечает за разработку внутренней C и процесс, и вся документация, который описывает этот процесс - руководство и templates.The документации, сертификации агент разрабатывает для оценки контрольные пакеты и карточки балла. В контрольных карточек и баллов должны соответствовать шаблоны и handbook.The контрольные помочь Сертификация Агент написать доклад по оценке безопасности. Вполне возможно, что сертификация агентов и старший Агентство информационной безопасности может быть то же лицо, поскольку некоторые малые организации могут не иметь внутренних ресурсов, чтобы иметь два разных сотрудника возложенных на эти роли. Если агент сертификации и SAISO являются, в одно и то же лицо, то сертификации агент делает аккредитации рекомендации для санкционирования official.The Сертификация агент не имеет окончательного решения о С и А пакет должен быть аккредитованы - он или она делает только по рекомендации или нет пакет должен быть аккредитованы. Для того чтобы продемонстрировать объективность, как часто бывает, что оценка команда состоит из внешних консультантов. FISMA, § 3454 говорится: Каждый год каждое учреждение имеет осуществляется независимая оценка информационной безопасности программы и практики этого учреждения с целью определения эффективности такой программы и практики. Если учреждение принимает решение использовать своих собственных сотрудников, он должен быть уверен, что есть четкое разделение обязанностей между оценке и организаций, представляющих С и А пакеты для оценки. Владелец бизнесаВладелец бизнеса является общим ссылкой на владельца информационной системы, и вполне вероятно, что нет сотрудников агентства с названием "информационная система собственник", поэтому я не используя терминологию здесь. Информационная система владелец может быть Руководитель программы, заявки менеджер, ИТ директор, или директор Техника например. Короче, это лицо, которое отвечает за разработку и функционирование информационной системы. Информационная система владельцем является тот, кто обычно получает переходящий мяч на C и новый проект. Информационная система владельцы должны обеспечить, чтобы их информационная система является полностью аккредитованным до их ввода в производство. Когда информационная система в области производства, она должна быть recertified и аккредитованных каждые три года. Это информационная система владелец обязан назначить кого-то быть информационная система службы безопасности для системы, требующие C и A. Система ВладелецСистема владельцем является лицо, ответственное за управление системами, С и А проходит по применению. А владелец системы может быть одним подарки системным администратором, или системы управления. В целом распространено заявление, возможно, что различные системы, кусок применения инфраструктуры имеют различные системы владельцев. Когда большое распространяется применение системы различных владельцев, иногда различные системы владельцы могут быть различные географические регионы или разных зданиях. собственника должны быть указаны в инвентаризации активов. Контактная информация для системы владельцы должны быть указаны в план и деловой оценке воздействия. Информация ВладелецИнформация владельцем является лицо, которое владеет в data.The владельца информации обеспокоен целостности данных, и общается с системой владельца о проблемах, связанных с безопасностью контроля системы или базы данных, что данные on.The лицо, или ведомства, которому принадлежит данных не всегда совпадает с системой владельца, хотя он может быть. Во многих случаях, система владелец сохраняет данные за информацию owner.The владельца информации часто кто-то который отчитывается перед владельцем бизнеса и могут быть базы данных, или заявку менеджеру. Вполне возможно, что в некоторых организациях владельца информации и деловых владелец те же лица. Вполне возможно, что данные о системе назначено на C и A подпадает под юрисдикцию иной, чем у владельца системы. Возможно также, что информация, владельцем и владельцем системы являются в одно и то же лицо. Иногда базы данных могут управлять и управляться, что кто-то имеет полномочия экспертов в этой области. Если владелец системы и информации владельцев не один в те же люди, то это должно быть отмечено в сертификации Пакет в инвентаризации активов. Информационная система сотрудник службы безопасностиИнформационная система безопасности (ISSO) отвечает за управление безопасности информационной системы, что является намеченное на С и А. ISSO гарантирует, что информационные системы конфигурация в соответствии с агентства информации политики безопасности. Все сертификации пакет документов, подготовленный либо путем ISSO, или по ISSO, сотрудниками или подрядчиками. Обычно ISSOs имеют большое знака обязанностей, и они, вероятно, необходимость увеличения их сотрудников с подрядчиками подготовить пакет Сертификация оперативно. Это не редкость для одного ISSO, ответственных за подготовку полдюжины C и A пакетов. Поскольку одной С и целый пакет вполне может занять год хорошо разбирающегося эксперта безопасности подготовить, то он считается стандартом и приемлемой для ISSOs для найма консультантов из других учреждений для подготовки Сертификация пакет. Она также повышает объективность сертификации упаковки, чтобы он подготовил сторонними лицами, которые не являются частью агентства собственный персонал. После сертификации пакета завершится, ISSO представляет его на группы по оценке, который затем приступит к утверждению findings.The группы по оценке является продолжением удостоверяющих агента. Если удостоверяющих агент не назначает или собираться группы по оценке, удостоверяющий агента должны быть готовы оценить Сертификация пакет и вынести рекомендацию о том, чтобы выдать положительные аккредитации. С и А составителиС и А составители, иногда упоминается как C и Группа экспертов по рассмотрению, готовить пакеты сертификации для представления оценки команды. Во многих случаях, C и A составители, не consultants.The С и А составители также может быть смешанная команда внешних консультантов и внутренних сотрудников учреждений. С и А составители работы информационной системы владельца, но, как правило, под руководством информационной системы службы безопасности. Когда речь заходит о воедино сертификации упаковки, это C и A составители, которые выполняют основной объем work.The С и А составители необходимо иметь экспертов в справочной информационной безопасности с широту понимания различных аспектов архитектуры безопасности , конфиденциальности информации, целостности информации, наличие информации, политика безопасности, и FISMA правил. Инспекторы агентстваДля подготовки визитов с ГАО, все учреждения, а некоторые бюро имеют свои собственные инспекторы, которые приходят на сайт учрежденческих периодически оценивать, если для FISMA соблюдения проходит. В большинстве случаев агентство инспекторам не требуется уделять гораздо заблаговременного уведомления и их посещение может осуществляться без warning.The учреждения внутренних инспекторов из учреждения Управления генерального инспектора (OIG). Многие агентства OIG отделения имеют собственные сайты, и Вы можете получить более подробную информацию о различных обязанностей в OIG там. Агентство по охране окружающей среды www.epa.gov/oigearth/ Федеральная комиссия по связи www.fcc.gov/oig/ Кафедра сельскохозяйственной www.usda.gov/oig/ Кафедра здравоохранения и социальных служб http://oig.hhs.gov/ Социальное обеспечение управления www.ssa.gov/oig/ Почтовая служба Соединенных Штатов www.uspsoig.gov/ Цель агентства OIG заключается в том, чтобы отсеивать проблемы и решать их, чтобы они никогда не появлялись, как недостатки в ГАО reports.The OIG отделения имеют собственные расследования и рассмотрения процесса и различных OIG отделения могут выполнять свои проверок по-разному. OIG отделений, что более бдительными в их ревизии и обзора чаще предотвратить агентство из названа недостатки в ГАО инспекторов. Инспекторы ГАОНадзора, ревизоры из ГАО визита федеральных учреждений на ежегодной основе, и обзор сертификации аккредитованных пакеты, чтобы они были аккредитованы properly.The ГАО также обзор учреждений C и процесс для определения того, приемлемо. Если ГАО обнаруживает, что сертификация пакеты были неправильно аккредитованных, или если учреждением C и процесс недостаточен в любом виде, сотрудников учреждений будет документе выводы и агентства получат бедных классов на ежегодный Федеральный Computer Security Report Card. Федеральный Computer Security Report Card публикуется ежегодно Комитет США по правительственной реформе. Уровни АудитПринимая во внимание оценки команде, OIG инспекторов, и ГАО инспекторов, вы можете узнать, что FISMA процесс подвергается тщательной ревизии уровней (см. рисунок 3.1). Обычно имеется не менее трех уровней проверки. Некоторые учреждения могут даже дополнительный уровень проверки. После оценки группа рассматривает сертификации упаковки, возможно, что другого внутреннего соблюдения организация может пересмотреть Сертификация Пакет раз, чтобы просмотреть если оценка группы сделали свою работу правильно. Первоначальная оценка группы и в дополнительном выполнение команды не могут фактически договориться о том Сертификационный пакет должен быть аккредитованы, а нередко и два внутренних ревизий организациями будет иметь многочисленные беседы между собой прийти к согласию об окончательной аккредитации рекомендации. После стольких уровнях ревизии может действительно кажется overkill; Однако, учреждения, которые, по-видимому, впадать в этих ревизий увольнения, и разделение обязанностей, часто тарифа наилучшим Федерального Computer Security Report Card. FISMA Уровни аудита по анализу сертификации Пакет Инспекторы ГАО это статья добавлена Хемант Байдван
|
|||
|