Hay cuatro fases de alto nivel al C&A process.To consigue a partir de una fase a otra, muchos de materia sucede a lo largo de la manera. Déjeme ayudarle a entender cómo conseguir a partir de una fase al siguiente.
La fase de la iniciación generalmente es manejada informal por el dueño del sistema de información y el ISSO. Aunque todos los dueños del sistema de información deben estar enterados del hecho de que FISMA requiere nuevos sistemas de información ser acreditado positivamente, éste puede no estar en la vanguardia de su minds.Therefore, él es en conjunto probable que el ISSO pueda traer la necesidad de C&A a la atención del dueño del sistema de información. Si la necesidad de C&A es iniciada por el dueño del sistema de información, o el ISSO, una cierta clase de reconocimiento entre estos dos individuos a que un C&A necesite para ocurrir debe ocurrir. El reconocimiento no tiene que ser formal, o aún escrito. Una conversación simple del vestíbulo puede ser suficiente mientras ambas partes vienen convenir que’tiempo de s para conseguir un proyecto de C&A comenzó.
Durante la fase de la iniciación, el dueño del sistema de información y el ISSO deben convenir en qué recursos a utilizar para al C&A prepare a equipo. Las decisiones necesitan ser tomadas encendido si emplear contratistas exteriores, o utilizar a personal interno. Puesto que C&A, si está hecho correctamente, es generalmente un trabajo mucho más grande que la mayoría de la gente realiza, no puedo acentuar bastante el valor al usar a consultores exteriores. Juntar un paquete de la certificación es un trabajo a tiempo completo y los resultados serán generalmente escasos si la oficina gubernamental intenta al doubleup a su personal existente para realizar deberes de C&A conjuntamente con su rutina diaria existente.
En outsourcing la preparación de un paquete a los consultores exteriores, de la certificación es importante que el ISSO se asegure de que él o ella está empleando a individuos capaces con el expertise.The apropiado ISSO debe hacer preguntas numerosas a una compañía potencial del contrato y a su personal antes de alistar al oficial del contratista (COTR) para cerrar un acuerdo. Las preguntas que pueden asistir a un ISSO en la determinación de las capacidades del experto C&A de consultores potenciales pudieron ser:
|
|
¿Para qué otras agencias usted ha realizado C&A?
¿Usted tiene un expediente de pista en la obtención de acreditaciones positivas?
¿Puede usted nombrar los documentos de C&A que le experimentan en la preparación?
¿Usted podrá hacer viajes numerosos en sitio para satisfacer con a nuestro personal?
¿Puede usted proporcionar los curriculums vitae para los consultores disponibles?
¿Usted tiene una descripción de sus servicios de la preparación de C&A?
¿Puede usted proporcionar referencias de otras agencias?
No todos los servicios que consultan de C&A son iguales. Una indicación clara que una compañía que contrae no entiende completamente C&A es si él enumera solamente algunos documento mecanografía adentro su descripción del servicio de C&A. Algunas compañías demandan entender C&A, pero por ejemplo, enumerarán que su servicio de C&A consiste en una autovaloración y un gravamen de la vulnerabilidad (que del curso sea solamente parte del picture).You realmente desee emplear a los consultores que entienden la bola entera de la cera y pueden desarrollar todos los documentos requeridos para C&A.
Retrasará y complicará solamente el proceso si usted emplea,por ejemplo, a una compañía para desarrollar la parte de los deliverables y de otra compañía para desarrollar la otra parte. Cuando viene a C&A, encontrar a una compañía que contrae que ofrezca uno-parar-compras es realmente la manera más eficiente de ir. Una buena manera de descubrir cómo esta' bien una compañía que contrae del candidato entiende C&A es pedirlo una oferta de proyecto con los jalones construidos en ella. Comparando diversas ofertas de proyecto de lado a lado, debe llegar a estar clara que de las compañías que contraen del candidato ofrezcan la mejor maestría.
Dure pero no lo menos, antes de preparar un paquete de la certificación, el ISSO deben tener cierta comprensión de si o no el paquete propuesto de la certificación dará lugar a una acreditación positiva. Si el ISSO sabe encima de frente que los controles apropiados de la seguridad no se han puesto en lugar, que la seguridad está configurada incorrectamente, y que las políticas de la seguridad no se han adherido, es mejor fijar estos problemas antes de comenzar el C&A process.This no significa que C&A es opcional. Qué estoy sugiriendo soy que si usted sabe de las debilidades que requieren la corrección, comience a corregirlas inmediatamente. Ponga’la espera de t por tiempo de C&A para venir adelante antes de hacer las correcciones necesarias.
El NIST aconseja que el plan de la seguridad del sistema de información esté analizado durante la fase de la iniciación. Aunque no hay nada teóricamente mal con este acercamiento, es a menudo el caso que para un nuevo sistema de información, un plan de la seguridad del sistema existe. En juntar el paquete de la certificación, es un panorama más probable que el plan de la seguridad del sistema será cualquiera escrito para la primera vez, o revisó y se puso al día durante la fase de la certificación. Durante un recertification de un paquete que se ha acreditado previamente, un viejo plan de la seguridad del sistema por supuesto ya existiría.
Jalones De la Fase De la Iniciación
Durante la fase de la iniciación, usted debe hacer estas preguntas:
¿Han identificado a los preparadores de C&A?
¿Se han tratado las debilidades sabidas de la seguridad?
¿De la clasificación de la seguridad de los PAA 199 se ha terminado?
La fase de la certificación es el período en el cual el paquete de la certificación está preparado. Es durante esta fase que los preparadores de C&A (o el equipo de la revisión) recolecten toda la evidencia y documentación de soporte, y desarrolla los nuevos documentos requeridos para el paquete de la certificación.
Si el C&A propuesto está para un sistema de información brandnew, ningún paquete anterior de la certificación existirá. Si el C&A está para un más viejo sistema de información, un paquete anterior de la certificación debe existir y estar disponible para la revisión. C&As nuevo se requiere cada tres años. La certificación para un sistema de información que se ha acreditado previamente se refiere como “recertification.” Recertifications requiere la misma habitación de los documentos que los nuevos paquetes de la certificación requieren. Al trabajar en un recertification, el paquete anterior de la certificación se debe repasar a fondo para asegurarse de que todos los riesgos citados previamente en el viejo paquete de la certificación se han atenuado.
El equipo de la revisión de C&A necesitará venir en sitio a la oficina’de la agencia s estar disponible para entrevistarse con al equipo del desarrollo’y de la gerencia del sistema de información s. Es crítico para que el equipo de la revisión de C&A aprenda tanto sobre el sistema de información como sea posible y haga tantas preguntas como el dueño del sistema de información de necessary.The debe aconsejar a su o su personal del desarrollo para acomodar al equipo de la revisión de C&A y para proveer de ellas tanta información como sea posible sobre el diseño y la configuración del sistema empizarrado para C&A.
Los equipos de la revisión de C&A pueden consistir en dondequiera de algunos personas, hasta una docena o más dependiendo de la complejidad del sistema de información empizarrado para C&A. Qué debe determinarse el número de individuos en el equipo de C&A es el alcance del proyecto, y timeframe del proyecto. Pues usted aumenta el alcance, y disminuye el timeframe, la necesidad de un equipo más grande de la revisión de C&A aumenta. La mayoría de los equipos de la revisión de C&A requieren por lo menos tres meses de mínimo para montar un paquete adecuado de la certificación. No sería inadmisible, sin embargo, para que un equipo de la revisión de C&A tome seis meses para preparar un paquete de la certificación para una infraestructura grande y compleja. Las Mejores Prácticas de C&A…
Jalones De la Fase De la Certificación
Se repasan los documentos del diseño y de la arquitectura.
Se identifican las vulnerabilidades.
La evidencia de la mitigación del riesgo se identifica.
Se escriben los documentos de la certificación.
El análisis del riesgo aceptable a la agencia se termina.
La Fase De la Acreditación
La fase de la acreditación comienza cuando el paquete de la certificación ha sido equipo de la evaluación de completed.The lee a través del paquete de la certificación en su totalidad, y valida si los resultados son exactos, y si toda la información requerida está presente. Un paquete de la certificación puede fácilmente estar en el exceso de 500 páginas. Por lo menos dos a cuatro semanas se deben asignar para la fase de la acreditación.
La mayoría de los equipos de la evaluación habrán preparado ya las listas de comprobación de criterios particulares que esperan encontrar en el paquete de la certificación antes de que comiencen realmente la evaluación.
Si los pasos de un paquete de la certificación reúnen con los evaluadores, una recomendación será hecha que el paquete sea agente que certifica de accredited.The repasará positivamente la recomendación, y mientras aparece justificada, firmará una carta oficial de la letra de la acreditación de Accreditation.The también necesitará ser firmado por el ISSO, el dueño de la información, el funcionario que autoriza, y después será enviado al CIO.The CIO es supuesto para reconocer el recibo de la letra firmándola. Las Mejores Prácticas de C&A…
Jalones De la Acreditación
Sumisión del paquete a los evaluadores
Resolución de la revisión y del comentario
Recomendación de acreditar (o no)
Una vez que se haya acreditado un sistema de información, debe ser supervisado continuamente. Los cambios de la gerencia de la configuración deben ser un proceso en curso y bien-manejado con los mecanismos de la aprobación construidos adentro. Fechas de cambios y versiones de los cambios del código si se documentan todos. Los controles de la seguridad deben también ser supervisados y cualquier cambio realizado a ellos debe ser documentado. Si se cambian las políticas del cortafuego, los cambios y las razones de los cambios deben ser documentados. Si se realizan los cambios de configuración de la detección de la intrusión, deben ser descritos completamente y las razones de los cambios si documentado.
Es a menudo el caso que no casi bastante tiempo está puesto en la fase del control continuo, desde entonces una vez que se haya hecho una acreditación positiva, la mayoría del ISSOs y los dueños del sistema de información tienden para respirar un suspiro de la relevación y para parecerse a como poner el proceso entero de C&A detrás de ellos. Juntar un paquete de la certificación y la obtención de una acreditación es una tarea desalentadora y hacer más de él, después de que se haga el trabajo, no es generalmente alto en cualquier persona’agenda de s después del hecho. Sin embargo, guardando la voluntad actualizada de los documentos haga cualquier recertifications futuro mucho más fácil. A menos que se desarme el sistema de información, en hecho necesitará ser recertified en tres años. Los documentos que son una parte del paquete de la certificación se consideran los documentos vivos, y se pueden poner al día en cualquier momento. Es el mejor poner al día los documentos tan pronto como los cambios se realicen a los sistemas de información desde entonces que es cuando la nueva información está la más fresca de cada uno’mente de s. La puesta al día de la documentación nunca se parece ser alta en la lista de tareas importantes de terminar, y por esa razón, recomiendo eso que pone al día documentos del paquete de la certificación me construya en el proceso de la gerencia del cambio. Cada vez que un documento es actualizado, debe ser repasado y ser aprobado con el proceso del control del cambio y después ser archivado localmente y en una localización del offsite. Las Mejores Prácticas de C&A
Jalones Del Control Continuo
Reconciliación de las citaciones de POA&M
Documentación de cambios al sistema
Supervisión en curso de los controles de la seguridad
Online: 977 users browsing the articles directory
|
|