Há quatro fases high-level ao C&A process.To começa de uma fase a outra, muitos do material acontece ao longo da maneira. Deixe-me ajudar-lhe compreender como começar de uma fase ao seguinte.
A fase da iniciação geralmente é controlada informal pelo proprietário do sistema de informação e pelo ISSO. Embora todos os proprietários do sistema de informação devam estar cientes do fato que FISMA requer sistemas de informação novos ser acreditado positivamente, este não pode estar no forefront de seu minds.Therefore, ele é completamente provável que o ISSO pode trazer a necessidade para C&A à atenção do proprietário do sistema de informação. Se a necessidade para C&A está iniciada pelo proprietário do sistema de informação, ou pelo ISSO, alguma sorte do reconhecimento entre estes dois indivíduos que um C&A necessita ocorrer deve ocorrer. O reconhecimento não tem que ser formal, ou escrito mesmo. Uma conversação simples do hallway pode bastar tão por muito tempo como ambos os partidos vêm concordar que’tempo de s começar um projeto de C&A começou.
Durante a fase da iniciação, o proprietário do sistema de informação e o ISSO devem concordar com que recursos a se usar para ao C&A prepare a equipe. As decisões necessitam ser feitas sobre se empregar contratantes exteriores, ou usar a equipe de funcionários inhouse. Desde que C&A, se feito corretamente, é geralmente um trabalho muito mais grande do que a maioria de povos realizam, eu não posso emfatizar bastante o valor em usar consultantes exteriores. Unir um pacote da certificação é um trabalho a tempo completo e geralmente os resultados serão insuficientes se o escritório de governo tentar ao doubleup sua equipe de funcionários existente para executar deveres de C&A conjuntamente com sua rotina diária existente.
No outsourcing a preparação de um pacote aos consultantes exteriores, da certificação é importante para o ISSO assegurar-se de que ou estejam empregando indivíduos capazes com o expertise.The apropriado ISSO devam fazer perguntas numerosas a uma companhia potencial do contrato e a sua equipe de funcionários antes de alistar o oficial do contratante (COTR) para fechar um acordo. As perguntas que podem ajudar a um ISSO em determinar as potencialidades do perito C&A de consultantes potenciais puderam ser:
|
|
Para que outras agências você executou C&A?
Você tem um registro de trilha em obter accreditations positivos?
Pode você nomear os originais de C&A que você está experimentado em se preparar?
Você poderá fazer desengates numerosos no local para encontrar-se com nossa equipe de funcionários?
Pode você fornecer resumos para os consultantes disponíveis?
Você tem uma descrição de seus serviços da preparação de C&A?
Pode você fornecer referências de outras agências?
Não todos os serviços consultando de C&A são os mesmos. Uma indicação desobstruída que uma companhia se contraindo não compreende inteiramente C&A é se alistar somente alguns original datilografa dentro sua descrição do serviço de C&A. Algumas companhias reivindicam compreender C&A, mas para o exemplo, alistarão que seu serviço de C&A consiste em um self-Assessment e em uma avaliação do vulnerability (que do curso é somente parte do picture).You quer realmente empregar os consultantes que compreendem a esfera inteira da cera e podem desenvolver todos os originais requeridos para C&A.
Retardará somente para baixo e complicará o processo se você empregar por exemplo uma companhia para desenvolver a parte dos deliverables e de uma outra companhia para desenvolver a outra parte. Quando vem a C&A, encontrar uma companhia contraindo-se que ofereça o um-par-one-stop-shopping é realmente a maneira a mais eficiente ir. Uma maneira boa encontrar para fora como bom uma companhia se contraindo do candidato compreende C&A deve pedi-lo para uma proposta de projeto com os marcos miliários construídos nela. Comparando as propostas de projeto diferentes de lado a lado, deve tornar-se desobstruída que das companhias se contraindo do candidato oferecem a mais melhor perícia.
Dure mas não menos, antes de preparar um pacote da certificação, o ISSO devem ter alguma compreensão de se ou não o pacote proposto da certificação resultará em um accreditation positivo. Se o ISSO souber acima da parte dianteira que os controles apropriados da segurança não estiveram postos no lugar, que a segurança está configurarada impropriamente, e que as políticas da segurança não estiveram aderidas a, é melhor reparar estes problemas antes de começar o C&A process.This não significa que C&A é opcional. O que eu estou sugerindo sou que se você souber das fraquezas que requerem a correção, comece corrigi-las imediatamente. Don’a espera de t por o tempo de C&A vir longitudinalmente antes de fazer as correções necessárias.
O NIST recomenda que a planta da segurança do sistema de informação esteja analisada durante a fase da iniciação. Embora não haja nada teòrica erradamente com esta aproximação, é frequentemente o caso que para um sistema de informação novo, uma planta da segurança do sistema existe. Em unir o pacote da certificação, é um scenario mais provável que a planta da segurança do sistema será qualquer uma escrita para a primeira vez, ou revisou e atualizou durante a fase da certificação. Durante um recertification de um pacote que fosse acreditado previamente, uma planta velha da segurança do sistema naturalmente já existiria.
Marcos miliários Da Fase Da Iniciação
Durante a fase da iniciação, você deve fazer estas perguntas:
Os preparers de C&A foram identificados?
As fraquezas sabidas da segurança foram dirigidas?
Do categorization da segurança dos PLF 199 foi terminado?
A fase da certificação é o período de tempo em que o pacote da certificação é preparado. Realiza-se durante esta fase que os preparers de C&A (ou a equipe da revisão) recolhem toda a evidência e documentação suportando, e desenvolve-se os originais novos requeridos para o pacote da certificação.
Se o C&A proposto for para um sistema de informação brandnew, nenhum pacote prévio da certificação existirá. Se o C&A for para um sistema de informação mais velho, um pacote prévio da certificação deve existir e estar disponível para a revisão. C&As novo é requerido cada três anos. A certificação para um sistema de informação que seja acreditado previamente é consultada como “a um recertification.” Recertifications requer o mesmo suite dos originais que os pacotes novos da certificação requerem. Ao trabalhar em um recertification, o pacote prévio da certificação deve ser revisto completamente para assegurar-se de que todos os riscos cited previamente no pacote velho da certificação mitigated.
A equipe da revisão de C&A necessitará vir no local ao escritório’da agência s estar disponível para entrevistar a equipe do desenvolvimento’e da gerência do sistema de informação s. É crítico para que a equipe da revisão de C&A aprenda tanto quanto sobre o sistema de informação como possível e faça tantas como perguntas como o proprietário do sistema de informação de necessary.The deve recomendar sua ou sua equipe de funcionários do desenvolvimento para acomodar a equipe da revisão de C&A e para as fornecer com tanta informação como possível sobre o projeto e a configuração do sistema slated para C&A.
As equipes da revisão de C&A podem consistir em qualquer lugar de alguns povos, até uma dúzia ou mais dependendo da complexidade do sistema de informação slated para C&A. O que deve determinar o número dos indivíduos na equipe de C&A é o espaço do projeto, e timeframe do projeto. Porque você aumenta o espaço, e diminui o timeframe, a necessidade para uma equipe mais grande da revisão de C&A aumenta. A maioria de equipes da revisão de C&A requerem ao menos três meses mínimo para montar um pacote adequado da certificação. Não seria fora da pergunta, entretanto, para que uma equipe da revisão de C&A faça exame de seis meses para preparar um pacote da certificação para um infrastructure grande e complexo. As Mais melhores Práticas de C&A…
Marcos miliários Da Fase Da Certificação
Os originais do projeto e da arquitetura são revistos.
Os vulnerabilities são identificados.
A evidência do mitigation do risco é identificada.
Os originais da certificação são escritos.
A análise do risco aceitável à agência é terminada.
A Fase Do Accreditation
A fase do accreditation começa quando o pacote da certificação foi equipe da avaliação de completed.The lê através do pacote da certificação em sua totalidade, e valida se os findings forem exatos, e se toda a informação requerida estiver atual. Um pacote da certificação pode fàcilmente estar em um excesso de 500 páginas. Ao menos duas a quatro semanas devem ser distribídas para a fase do accreditation.
A maioria de equipes da avaliação terão preparado já listas de verificação de critérios que particulares esperam encontrar no pacote da certificação antes que comecem realmente a avaliação.
Se as passagens de um pacote da certificação agruparem com os avaliadores, uma recomendação estará feita que o pacote seja positivamente agente certificando de accredited.The reverá a recomendação, e tão por muito tempo como parece justificada, assinará uma letra formal da letra do accreditation de Accreditation.The necessitará também ser assinado pelo ISSO, proprietário da informação, oficial autorizando, e será emitido então ao CIO.The CIO é suposto para reconhecer o recibo da letra assinando a. As Mais melhores Práticas de C&A…
Marcos miliários Do Accreditation
Submissão do pacote aos avaliadores
Definição da revisão e do comentário
Recomendação acreditar (ou não)
Uma vez que um sistema de informação foi acreditado, deve continuamente ser monitorado. As mudanças da gerência da configuração devem ser um processo on-going e bem-controlado com os mecanismos da aprovaçã0 construídos dentro. Datas das mudanças e versões de mudanças do código se todos forem documentados. Os controles da segurança devem também ser monitorados e todas as mudanças feitas a eles devem ser documentadas. Se as políticas do guarda-fogo forem mudadas, as mudanças e as razões para as mudanças devem ser documentadas. Se as mudanças de configuração da deteção do intrusion forem feitas, devem inteiramente ser descritas e as razões para as mudanças se documentado.
É frequentemente o caso que não quase bastante hora está posta na fase de monitoração contínua, desde uma vez que um accreditation positivo foi feito, a maioria de ISSOs e os proprietários do sistema de informação tendem a respirar um sigh do relevo e a parecer a como pôr o processo inteiro de C&A atrás delas. Unir um pacote da certificação e obter um accreditation são uma tarefa daunting e fazer mais dele, depois que o trabalho é feito, não é geralmente elevado em qualquer um’agenda de s após o fato. Entretanto, mantendo a vontade moderna dos originais faça todos os recertifications futuros muito mais fáceis. A menos que o sistema de informação decommissioned, no fato necessitará ser recertified em três anos. Os originais que são uma parte do pacote da certificação são considerados originais vivos, e podem ser updated em em qualquer altura que. É o mais melhor atualizar os originais assim que as mudanças forem feitas aos sistemas de informação desde que é quando a informação nova é a mais fresca em todos’mente de s. Atualizar a documentação nunca parece ser elevado na lista de tarefas importantes terminar, e para essa razão, eu recomendo aquele que atualiza originais do pacote da certificação seja construído no processo da gerência da mudança. Cada vez que um original é updated, deve ser revisto e aprovado com o processo do controle da mudança e então archived localmente e em uma posição do offsite. As Mais melhores Práticas de C&A
Marcos miliários Da Monitoração Contínua
Reconciliation de citações de POA&M
Documentação das mudanças ao sistema
Monitoração ongoing de controles da segurança
Online: 704 users browsing the articles directory
|
|