Путем активизации процесса сертификации

Share

|

Есть четыре уровня этапов С и А process.To получить от одного этапа к другому, многие вещи происходит на этом пути. Позвольте мне помочь вам понять, как получить от одного этапа к другому.

Начало этапа

В Начало этапа, как правило, неформально под управлением информационной системы владельцем и ISSO. Хотя все владельцы информационных систем должны осознавать тот факт, что FISMA требует новых информационных систем, чтобы быть аккредитованным позитивно, это не может быть на передовых рубежах в своих minds.Therefore, это вообще возможно, что ISSO может принести необходимость C и A до сведения информационной системы владельцем. Ли необходимость C и A инициирован информационной системы владельца, или ISSO, своего рода признание между этими двумя лицами, что A и C должна происходить должно произойти. В признание не должна быть формальной, или даже написано. Простая коридоре разговор может достаточно тех пор, пока обе стороны прийти к согласны, что пришло время получить C и проект начался.

В Начало этапа функционирования информационной системы владельцем и ISSO должны договориться о том, что ресурсы для использования в C и A подготовки команды. Решения должны быть о том, нанимать подрядчиков, или использовать inhouse сотрудников. Поскольку С и А, если сделать правильно, как правило, намного больше, чем работа большинства людей понять, я не могу не подчеркнуть, стоимость использования внешних консультантов. Составление Сертификация Пакет является полноправным временную работу и, как правило, результаты будут недостаточными, если правительство отделение пытается doubleup имеющихся сотрудников для выполнения С и А пошлин в сочетании с существующей повседневной жизни.

В внешнего подготовку к сертификации Пакет для внешних консультантов, важно для ISSO чтобы он или она найме способных людей с соответствующим expertise.The ISSO следует задать множество вопросов к потенциальным договора компании и ее сотрудников до привлечения Подрядчик сотрудник (COTR) закрыть соглашения. Вопросы, которые могут помочь ISSO в определении экспертов C и A возможностей потенциальных консультантов может быть:

Для того, что другие агентства Вы выполняться С и А?

У вас есть опыт в получении положительных аккредитация?

Можете ли вы назвать С и А документы, которые вы есть опыт в подготовке?

Вы сможете сделать многочисленные поездки на месте встретиться с нашими сотрудниками?

Можете ли вы представить резюме по имеющимся консультантов?

У вас есть описание и C о подготовке услуг?

Можете ли вы предоставить ссылки из других учреждений?

Не все С и А консалтинговых услуг тот же. Ярким свидетельством о том, что от компании не полностью понимаем С и А, если они перечислены лишь некоторые типы документов в их C и A эксплуатационными характеристиками. Некоторые компании заявляют понять, C и A, однако например, что их список и C Услуга состоит из самопомощи оценке и оценке уязвимости (которая, конечно, лишь часть картины). Вы действительно хотите нанять консультантов, понять весь шар из воска и может развивать все документы, необходимые для C и A.

Он будет только замедляют и усложняют процесс, если нанять, скажем, одна компания по разработке части материалов и другой компании развивать с другой стороны. Когда речь заходит о С и А тоже контрактов компании, которая предоставляет одной остановки - магазины действительно самый эффективный путь. Один хороший способ узнать, насколько хорошо кандидат контрактов компания понимает, С и А задать их на проектное предложение с вехами встроены в него. Сравнивая различные проектные предложения бок о бок, оно должно стать ясно, кто из кандидатов контрактов компании предлагают наилучший опыт.

Последнее, но не менее, перед приготовлением Сертификационный пакет, в ISSO должны иметь некоторое представление о том, следует ли предлагаемый пакет сертификации приведет к позитивным аккредитации. Если ISSO известно сразу о том, что надлежащего контроля безопасности не были введены в действие, что безопасность - это неправильно настроен, и что политика безопасности не были соблюдены, что лучше решить эти проблемы до начала С и А process.This делает не означает, что A и C не является обязательным. Я предложив, что, если вы знаете недостатков, которые требуют исправления, начать их исправление немедленно. Не ждать С и А время вдоль прежде чем сделать необходимые исправления.

НИСТ сообщает, что информация Системы Безопасности Плана быть проанализированы в начале этапа. Хотя нет ничего плохого в теоретически такой подход, как часто бывает, что в новой информационной системе, системе безопасности план существует. В воедино сертификации упаковки, это более вероятным сценарием, что система безопасности план будет написана либо в первый раз, или пересматривается и обновляется в течение этапа сертификации. На предмет из пакета, который был ранее аккредитацию, старая система безопасности План, конечно, уже существуют.

Начало этапа вехи

В начале этапа, вы должны быть Задавая эти вопросы:

Имеющими С и А составители определены?

Были известные недостатки безопасности рассматривался?

Разве в FIPS 199 безопасности классификация была завершена?

Сертификационный этапа

Сертификационный этап - это период времени, в котором Сертификация Пакет готов. Именно на этом этапе, что С и А составители (или группой по рассмотрению) собрать все подтверждающие документы и документации, и разработка новых документов, необходимых для сертификации пакет.

Если предлагаемая С и А для совершенно новой информационной системы, которые ранее не Сертификация Пакет будет существовать. Если С и А для пожилых информационной системы, ранее Сертификация Пакет должен существовать и быть доступны для просмотра. Новые С и В необходимо каждые три года. Сертификация по информационной системы, которые ранее были аккредитованы называют "предмет." Recertifications требуют такого же набор документов, что новые пакеты требуют сертификации. При работе на предмет, ранее Сертификация пакет должен быть рассмотрен всесторонне обеспечить, чтобы все риски, ранее упомянутые в старых Сертификация Пакет были смягчены.

С и Группа экспертов по рассмотрению должна поступить на сайте агентства, бюро, будут представлены интервью информационной системы развития и управления группой. Очень важно для C и Группа экспертов по рассмотрению, чтобы узнать больше информации о системе можно и спросить, как много вопросов как necessary.The информационной системы владелец должен консультировать его развития персонала с учетом C и Группа по рассмотрению и предоставить им с как можно более полную информацию об устройстве, конфигурации этой системы планируется C и A.

C и обзор группы могут состоять из любой - от нескольких человек до десятка и более в зависимости от сложности информационной системы планируется C и A. Что следует определить количество людей на С и группы В рамки проекта, и сроки проекта. Как вы увеличить сферу, а также сократить сроки, необходимость более C и Группа по рассмотрению возрастает. Большинство C и обзор групп требуют по меньшей мере трех месяцев минимального собрать достаточный Сертификация пакет. Не было бы и речи, однако для C и Группа по рассмотрению занять шесть месяцев подготовить Сертификация Пакет для большой и сложной инфраструктуры. С и А передовая практика…

Сертификация этапа вехи

Дизайн и архитектура документы рассматриваются.

Уязвимости определены.

Доказательства уменьшения риска выявлено.

Сертификация документы пишутся.

Анализ риска, приемлемого для агентства будет завершена.

Аккредитация этапа

В Аккредитация этап начинается с момента сертификации Пакет был completed.The оценки группы гласит через Сертификация Пакет в целом, и если подтверждает выводы верны, и если все необходимая информация присутствует. Сертификационный пакет может быть легко превышает 500 страниц. По меньшей мере двух до четырех недель должно быть выделено на этапе аккредитации.

Большинство групп по оценке уже подготовлены перечни конкретных критериев, они рассчитывают найти в сертификации пакета, прежде чем они реально приступить к оценке.

Если Сертификационный пакет проходит при себе оценку, рекомендации будут, что пакет будет позитивно accredited.The Удостоверяющий агент пересмотреть рекомендацию, и в той мере, как это оправдано, подпишет официальное письмо Accreditation.The аккредитации письмо также должны быть подписаны на ISSO, владельца информации, разрешение официальных, а затем будет направлен в CIO.The ГИС предполагается подтвердить получение письма его подписания. С и А передовая практика…

Этапы аккредитации

Представление пакета по оценке

Обзор и комментарий резолюции

Рекомендация аккредитует (или нет)

Постоянный мониторинг этапа

После информационной системы был аккредитован, то следует постоянно контролировать. Конфигурация управления изменениями должен быть на постоянной и хорошо управляемого процесса утверждения механизмов встроенного типа Даты изменений и версий кода, все изменения должны быть документально. Контроля безопасности необходимо отслеживать и любые изменения к ним должны быть документально. Если брандмауэр политика изменилась, изменения и причины изменения должны документироваться. В случае обнаружения конфигурации внесены изменения, они должны быть полностью описаны и причины такого изменения должны документально.

Она часто бывает, почти не хватило времени ввести в постоянную этапа мониторинга, так как только позитивный аккредитации был достигнут, большинство ISSOs и информационной системы владельцы, как правило, дышать один чувством облегчения и, по-видимому, хотел поставить весь C и Процесс за ними. Составление Сертификация Тара и получения аккредитации является сложной задачей и делает его более после работы это делается, как правило, не высокого о чьей-либо дня после свершившегося факта. Однако, принимая документы до даты сделает любой будущей recertifications гораздо проще. Если информационная система вывода, что фактически нужно будет recertified в три года. Документы, которые являются частью сертификации Пакет считается жить документов, и могут обновляться в любой момент. Лучше обновить документы, как только внесении изменений в информационные системы, поскольку это, когда новая информация является наиболее свежей на всех на уме. Обновление документации никогда, по-видимому, видное место в списке важных задач для завершения, и по этой причине я рекомендую обновления сертификации Пакет документов быть встроены в процесс управления изменениями. Каждый раз, когда документ обновляется, он должен быть рассмотрен и утвержден на основе изменения процесса, а затем архивных так и на offsite месте. С и А наилучшей практики

Непрерывный мониторинг вех

Сверка и ПД М цитирования

Документация об изменениях в системе

Продолжается мониторинг контроля безопасности