Wie man ein Bescheinigung-Paket entwickelt

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Bevor Sie’ll in der LageSIND ein, Bescheinigung-Paket zusammenzufügen zu beginnen, sind’Sie ll Notwendigkeit, so viele Informationen zu erwerben, wie möglich über die Systeme oder die Anwendungen’Sie ll certifying.You Notwendigkeit, ein guter Detektiv zu sein, und Glauben nicht zu verlieren, wenn die Details unclear.The mehr Informationen aussehen, die Sie den Reiniger die Details erfassen, willen Sie become.You im.Begriff.$$$SIND, ein Puzzlen der Informationstechnologie zusammenzufügen.

Einleiten Ihres C&A Projektes

Wenn Sie Ihr C&A Projekt anfangen, ziehen Sie’t erwarten an, daß jeder, das eine Rolle beim sich Entwickeln gespielt hat und das Ausüben der Anwendung oder der Systeme, die Sie bestätigen, um Informationen, für Sie zu use.You freiwillig zu erbieten zu beginnen, die Initiative nehmen muß, um zu erlöschen und so viele Unterlagen zu sammeln, wie Sie können und Führung mit dem passenden Personal interviewt. Wenn Sie ein Berater sind, zuerst müssen Sie darstellen aus, wem der passende Stab ist, daß Sie mit sprechen müssen. Sie werden fragen müssen eine Menge questions.The fördernder Manager, die Sie oben für das Durchführen des C&A ist die beste Person unterzeichnete, zum this.The des fördernden Managers zu beginnen kann der System Inhaber, die ISSO, der Vertrag abschließendes Offizier oder ein Anwendung Entwicklung Manager sein.

Zusammengefügt einer Kontakt-Liste

Sie müssen zuerst darstellen aus, wem Wissen aller Sicherheit Besonderheiten der Informationen system.You sollte beginnen hat, indem es die Leute kennzeichnet, involved.The fördernder, den Manager in der LageSEIN sollte, eine Menge Ihre questions.To Entdeckung zu beantworten die passenden Leute, die die Sicherheit des Informationssystems oder der Systeme, die Beglaubigung erfordern, Sie ll’Notwendigkeit, die folgenden Fragen zu stellen verstehen:

 War die Anwendung, die in-house entwickelt wurde oder von einem Verkäufer gekauft war?

 Wenn die Anwendung von einem Verkäufer war irgendeine Kundenbezogenheit gekauft wurde, die zu ihr erfolgt war?

 Wer tat die Kundenbezogenheit?

 Wenn die Anwendung in-house entwickelt wurde, die es entwarf?

 Gibt es Designspezifikationen und -dokumente? Wer hat sie?

 Ist die Anwendung am Ort oder an, die einem Remoteaufstellungsort bewirtet wird?

 Wenn die Anwendung entfernt bewirtet wird, die für seine Betriebe verantwortlich ist?

Diese Fragen sind, “die?” Fragen. Von den Antworten zu Ihren Fragen, sollten Sie in der LageSEIN eine, Kontaktliste der Leute zusammenzufügen zu beginnen, die ein Teil des Designs und Implementierung des Informationssystems gewesen sind. Schließen Sie ihre Telefonnummern und E-mail Adressen weil Sie’ll Notwendigkeit, mit ihnen häufig in Verbindung zu treten ein.

Einige Bundesämter liegen ziemlich groß, und an der Größe der Betriebe, manchmal unpersönlich. Wenn Sie mit den verschiedenen Völkern auf Ihrem Kontakt verzeichnen, Sie ll’Notwendigkeit, zu erklären ihnen in Verbindung treten, die Sie sind und warum Sie mit ihnen in Verbindung treten. Ziehen Sie’t erwarten sie, zu wissen an, daß ein C&A Projekt unterwegs oder sogar zu wissen ist welches C&A ungefähr ist. Wenn Sie mit ihnen in Verbindung treten und sagen, daß Sie sie treffen müssen, um ein C&A Projekt zu besprechen, seien vorbereitet Sie, ihnen zu erklären, welches C&A bedeutet, da es eine gute Wahrscheinlichkeit gibt, die sie möglicherweise nicht einen Anhaltspunkt haben können, über was Sie sprechen.

Das Finden aus allen Informationen, die Sie ein Bescheinigung-Paket verursachen müssen, ist ganz wie das Gehen auf eine Schatzjagd. Wenn Sie ein äußerer Berater, beim Anfang des Projektes sind, es daß ist niemand zusammen möglich, ausgenommen der fördernde Manager weiß, warum Sie an der Agentur örtlich sind. Es’unwahrscheinliches s sehr, daß jemand bis zu Ihnen kommt und sagt, “höre ich, daß Sie das onsite sind, zum eines Bescheinigung-Pakets für unser Informationssystem zusammenzufügen. Sind hier alle Sicherheit politischen Richtlinien, Designdokumente und die Sicherheit Konfiguration des Systems, das Sie benötigen.” In den großen Bundesämtern ist meine Erfahrung daß keine bereitwillig und freiwillig erbietet schnell Informationen über System Sicherheit gewesen.

Halten Sie eine Start-Sitzung ab

Sobald Sie herausgefunden haben wem die Schlüsselspieler sind (die Leute, die ein Teil des Entwerfens, des Entwickelns, der Kodierung und des Einführens des Informationssystems gewesen sind), sollten Sie eine Auswurfsitzung festlegen und sie alle einladen. Tun Sie Ihr bestes, um gute Verhältnisse zu diesen Völkern zu bilden, weil Sie auf ihnen zu Information vertrauensvoll werden. Während der Auswurfsitzung stellen Sie sie zur C&A Mannschaft, vor und erklären Sie ihnen kurz, welches C&A ganz ungefähr ist. Während dieser ersten Sitzung sollten Sie ihnen erklären, daß Sie so viele Unterlagen benötigen, wie Sie auf dem bestimmten Informationssystem erhalten können, das für Beglaubigung schiefergedeckt ist. Bitten Sie um um sie wenn sie Dose E-mail Sie Unterlagen so bald wie möglich; andernfalls können sie Wochen dauern, um es an you.You zu gelangen benötigen Informationen über das Design, Entwicklung, Implementierung, Konfiguration, Netztopologie, und die Prüfung der Informationen system.You muß alle diese Unterlagen wiederholen, um die rechten Spitzen der Informationen zu finden, um sich in das Bescheinigung-Paket zu setzen.

Beschaffen Sie Alle Vorhandenen Agentur-Richtlinien

Sie ist Schlüssel, herauszufinden, wenn die Agentur, die Sie für bearbeiten, ein C&A Handbuch hat. Agenturen, die in der Vergangenheit haben, die gut auf ihren Bundescomputer-Sicherheit Report-Karten gezählt wird, haben vermutlich ein. Agenturen, die schlecht auf ihrer Reportkarte gezählt haben, können möglicherweise nicht ein haben. Wenn ein Handbuch besteht, müssen Sie allen Richtlinien folgen, die in es geschrieben werden, wenn Sie Ihr Bescheinigung-Paket vorbereiten,—selbst wenn sie schlechte Richtlinien sind. Wenn die Auswertung Mannschaft seine Arbeit richtig erledigt, werden sie das Bescheinigung-Paket auswerten für, wie gut es dem Handbuch und den Anforderungen der Agentur C&A folgt.

Wenn ein Handbuch besteht und Sie denken, daß die Teile von ihm so falsch sind, daß Sie shouldn’t ihm folgen, müssen Sie dieses mit dem ISSO und der Paketauswertung Mannschaft oben nehmen, bevor Sie irgendwelche Entscheidungen treffen. Wenn Sie sich vorbereiten, ist ein Bescheinigung-Paket nicht notwendigerweise die beste Zeit zu versuchen, die Agentur zu erhalten, ihre Regelungen und politischen Richtlinien zu ändern. Wenn Sie denken, daß einige Teile von ihm falsch sind, bevor Sie voran gehen und entscheiden, zu gehen Ihre eigene Weise und ein korrekteres “Bescheinigung-” Paket zu verursachen, holen Sie die Ausgaben zur Aufmerksamkeit des ISSO und bieten Sie Rechtfertigung hinsichtlich an, warum Sie anders als fortfahren möchten. Einige Agenturen verlassen Ihr Bescheinigung-Paket, wenn Sie t’folgen ihrem Handbuch anziehen,—selbst wenn das Handbuch falsch ist.

Alle Agenturen sollen ein Handbuch und die Schablonen haben, zum des C&A Prozesses zu standardisieren. Jedoch werden einige Agenturen weniger als andere und vorbereitet wenn Sie auf einem C&A Projekt sich einschiffen, und, daß kein Handbuch oder Schablonen bestehen, das Sie herausfinden,’müssen ll without.You tun kann ruhiges zusammengefügt einem festen Bescheinigung-Paket ohne ein Handbuch oder Schablonen und wenn Sie eine gute Arbeit erledigen, möglicherweise Sie wird eingetragen werden als zukünftiges Mitwirkendes, um das dringend benötigte Handbuch und die Schablonen zu entwickeln. Wenn ein C&A Handbuch nicht anwesend ist, sehen Sie dann, wenn die Elternteilagentur ein hat. Z.B. kann eine Büro- oder Agenturabteilung nicht ihr eigenes Handbuch haben, aber die Elternteilagentur konnte. Wenn kein C&A Handbuch an allen, Abbildung besteht aus, welcher Methodenlehre Ihre Agentur zu der für Anleitung verwenden sollte (NIST, DITSCAP, NIACAP, DCID 6/3) und Blick.

Analysieren Sie Ihre Forschung

Sobald Sie die verschiedenen Dokumente von den Informationssystementwicklern und -verwaltern empfangen haben, Sie’ll Notwendigkeit, diese Dokumente zu analysieren, um zu sehen, wenn sie die Art der Informationen einschließen, die Sie’ll Notwendigkeit, im Bescheinigung-Paket einzuschließen. Es ist wahrscheinlich, daß viel der Informationen, die Sie für das Bescheinigung-Paket benötigen, nicht in den verschiedenen Dokumenten eingeschlossen ist Sie empfangen. Wenn das Informationen system(s), die oben für C&A sind, vorher beglaubigt worden sind, dann sollte ein vorheriges Bescheinigung-Paket exist.You, es einen Punkt das vorherige Bescheinigung-Paket wiederholen lassen und verwendet alle mögliche Informationen von ihm, das noch relevant ist. Wenn alles im vorherigen Bescheinigung-Paket falsch aussieht, sollten Sie es beheben, selbst wenn es nicht für defi- ciencies in der vorherigen Beglaubigung zitiert wurde.

Eine Liste der Fragen betreffend sind die Arten von Sachen zusammengefügt müssen Sie noch von den Informationssystementwicklern und -verwaltern herausfinden, und Zeitplansitzungen mit den Völkern, die Sie denken, können Ihre Fragen gut beantworten. Halten Sie, die Mannschaft zu treffen und mit ihnen am Telefon und durch E-mail in Verbindung zu treten, bis alle Ihre Fragen beantwortet sind. Sie nimmt häufig einige Umläufe von Anfragen, bevor Sie alle passenden Informationen erhalten.

Vorbereiten der Dokumente

Obgleich es keine Regelungen, die Sie erfordern, zusammenzufügen, das Bescheinigung-Paket dokumentiert in jedem bestimmten Auftrag wahrscheinlich gibt, geschehe ich, zu denken, daß der Auftrag, in den Sie die Dokumente zusammen sind einsetzen, wichtig ist. Z.B. wenn Sie den Kleinteil- und Software-Warenbestand herauf Frontseite zusammenfügen, hilft er Ihnen, wenn er den beschreibenden Text über die Beglaubigung Grenzen schreibt, die im System Sicherheit Plan angefordert werden. In einigen Fällen kann er sinnvoll sein, damit Sie den Auftrag dieser Dokumente ändern, wenn er Ihr Bescheinigung-Paket zusammenfügt. Die Hauptsache zum wegzunehmen ist, daß, wenn ein Dokument Informationen enthält, die von einem vorherigen Dokument abhängig ist, das vorherige Dokument zuerst entwickeln Sie. Es ist hart, zu können die Störung Auswirkung der Werte veranschlagen, die in der Geschäft Auswirkung Einschätzung verzeichnet werden , wenn Sie t’anziehen, dennoch weiß, was die Werte sind,—wenn der Kleinteil-und Software-Warenbestand nicht noch durchgeführt worden ist.

Es’s O.K., zum überflüssig zu sein

Viele der Dokumente im Bescheinigung-Paket schließen Informationen ein, die von einem Dokument zum next.The Grund für dieses ist überflüssig ist, weil jedes Dokument sein muß, eigenständig zu stehen. Etwas von den Informationen, die Sie für einige der früheren Dokumente finden, machen ein und sollten in folgendem documents.You verwendet werden möchten den Eindruck, daß alle Dokumente mit einander und gleichbleibend sind jedes other.Though in vielen Formen des Schreibens zu stützen, das überflüssig ist, nicht wünschenswert ist, in in Handarbeit machender Bescheinigung geben verpackt, es ist notwendig. Eine nach der Sachen, denen die Experten suchen, sind Unbeständigkeiten zwischen den verschiedenen Bescheinigung-Paketdokumenten. Alle mögliche Unbeständigkeiten normalerweise heben eine Markierungsfahne an und verlangen sorgfältigere Kontrolle.

Unterschiedliche Agenturen Haben Unterschiedliche Anforderungen

Nicht alle Agenturen erfordern das genaue die gleichen Dokumente für C&A. FISMA läßt Flexibilität zu und eine Agentur kann bestimmte Dokumente erfordern, daß andere Agenturen anziehen’t require.Though, das es argumentiert werden könnte, daß dieses unangemessen ist, FISMA war entworfen, jede Agentur seine eigenen Notwendigkeiten innerhalb der Grenzen der Bedingung feststellen zu lassen.

Einschließlich mehrfache Anwendungen und Systeme in einem Paket

Sie können mehrfache Anwendungen einschließen und Informationssysteme in einer Bescheinigung Package.To sind sicher, es ist kein sinnvoll an allen, ein Bescheinigung-Paket für jedes System zu verursachen, das an Ihrer Agentur besteht. Sie sollten die Beglaubigung Grenzen Ihres C&A Pakets so breit definieren wie Sie vielleicht Dose. Die Beglaubigung Grenzen festzustellen ist manchmal das trickiest Teil von zusammenfügen eine Notwendigkeit der Bescheinigung Package.You, zu verstehen, wo die Beglaubigung beginnt und stoppt. Im allgemeinen sollten Sie eine Grenzermittlung auswählen, die groß und logisch ist-. Z.B. wenn Sie allgemeine Unterstützungssysteme beglaubigen, können Sie Ihre Grenze durch Netzgebiete definieren wünschen. Wenn Sie Hauptanwendungen beglaubigen, müssen Sie alle Stücke der Infrastrukturs einschließen, die die Anwendung berührt.

Normalerweise wird Anwendung Infrastruktur durch eine andere Organisation als die zugrundeliegenden allgemeinen Unterstützungssysteme gehandhabt. Betriebssysteme und Netz haben gewöhnlich unterschiedliche Informationssysteminhaber als die Anwendungen. C&A ist über das Halten der Informationssysteminhaber verantwortlich, und folglich, müssen die Grenzen innerhalb des Jurisdiktionüberschusses liegen, dem der Informationssysteminhaber Steuerung hat. Wenn Sie eine Anwendung bestätigen, die abhängig von allgemeinen Unterstützungssystemen ist, die die Anwendung auf angebracht erhält, dann sollte dieses in der Bescheinigung Package.An offenbar angegeben werden, das zugrundeliegendes allgemeines Unterstützungssystem normalerweise ein anderes Bescheinigung-Paket als die Anwendungen hat, die auf sie angebracht werden. Wenn Ihr Bescheinigung-Paket und die Sicherheit Ihrer Systeme im Teilabhängigen auf anderen Systemen ist, diesen muß stated.You spezifisch sein kann andere Bescheinigung-Pakete und andere Systeme beziehen, die nicht innerhalb Ihrer Beglaubigung Grenzen in Ihren Unterlagen sind. Es würde tadellos plausibel sein, eine Aussage wie einzusetzen:

Die Hauptanwendungen, die in diesem Bescheinigung-Paket beschrieben werden, sind von den zugrundeliegenden allgemeinen Unterstützungssystemen abhängig, die vorher auf Niveau 4 beglaubigt worden sind.

Sie sollten den formalen Bescheinigung-Paketnamen aller möglicher anderen Pakete verzeichnen, die Sie beziehen. Wenn Sie t’anziehen, kennen Sie den Paketnamen, Versuch, um ihn herauszufinden. Es’s sogar besser, eine Kopie von ihr zu erhalten, wenn Sie können. In einigen Fällen kann sie gegen die Sicherheit politischen Richtlinien der Agentur sein, zum solcher Informationen zwischen einem Informationen Inhaber zu anderen zu teilen. Jedoch wenigstens, sollte ein äußerer Informationen Inhaber in der LageSEIN, mit Sie dem Name und Publikation der amtlichen Urkunde Datum des in Verbindung stehenden Bescheinigung-Pakets zu teilen.

Überprüfen Sie Ihre Informationen

Sobald Sie ein Dokument durchgeführt haben, bevor Sie es beim ISSO einreichten, schicken Sie es heraus zuerst den Informationssystementwicklern und -verwaltern, die mit den Informationssystemen am vertrautesten sind, die, Sie suchen zu beglaubigen. Bitten Sie sie, es zu wiederholen und Sie über alle auf Tatsachen beruhenden Störungen zu informieren. Netzdiagramme sollten für Genauigkeit auch wiederholt werden. Wenn etwas doesn’t sinnvoll sind, es’s vermutlich entweder nicht gut dokumentiert oder normales Unrecht. Bescheinigung und Beglaubigung ist eine Zeit des Sicherstellens, daß alles genau ist.

Wenn Sie Designdokumente wiederholen, die Sie empfangen, nicht einfach nehmen Sie an, daß die Informationen, die in ihnen enthalten werden, sind, wie die Anwendung oder die Informationssysteme wirklich entwickelt wurden. Designs steigen schiefe und Managementänderungen ihr Verstand über Anforderungen in der Mitte in ein Projekt ein. Gerade weil ein Informationssystem sich aus One-way drehen sollte, doesn’t Mittel stellt es’didn t Umdrehung aus einer anderen way.You Notwendigkeit, alles zu nehmen, das Sie mit einem Korn des Salzes lesen und Fragen über Sachen, die t’sind sinnvoll anziehen.

Behalten Sie Ihre Ethik

In den meisten Agenturen wünscht der ganzer Informationssysteminhaber die Bescheinigungberichtmannschaft tun soll die Informationssysteme certified.They erhalten anzieht’t möchten notwendigerweise können, Sie über dies so lang tun gehen, wie Sie es getan erhalten. Obwohl Sie alles tun sollten, das möglich ist zu bilden, das geschehen, auf jeden Fall vergleichen Sie nicht sich Ihre Ethik. C&A Beste Praxis…

Halten Sie schnell zu Ihrer Ethik

Vergleichen Sie nie sich Ihre Ethik. Unter keinen Umständen Sie Sicherheit Kontrollen erfinden, die nicht bestehen oder dokumentieren Sie, daß Gefahren wenn sie Hafen t abgeschwächt worden’sind. Wenn der Informationen Inhaber oder das ISSO Sie drueckt, um Einzelteile zu dokumentieren, die offensichtlich nicht zutreffend sind, sollten Sie so tun nehmen und dem Problem Ihr Management berichten. Wenn im Verlauf des Vorbereitens der Bescheinigungdokumente Sie finden, daß bestimmte Sicherheit Kontrollen, die eingeführt worden sein sollten, nicht waren, berichten Sie daß zum ISSO und empfehlen Sie, daß sie so bald wie möglich eingeführt erhalten. So lang, wie sie eingeführt werden, bevor das Bescheinigung-Paket eingereicht wird, sind Ihre Unterlagen nicht falsch. Wenn Sie glauben, daß es absolut keine Weise gibt, erreichen die Informationssysteme eine positive Beglaubigung, besprechen dieses mit dem ISSO. Es ist nicht Ihr Job als Bescheinigungdokumentvorbereiter, Sicherheit Probleme zu beheben, die in Platz vorher eingesetzt worden sein sollten. Der Informationssysteminhaber und die ISSO sind beide bewußten wahrscheinlich, daß Sicherheit Kontrollen durch Gesetz unterstellt werden und im Platz sein müssen. Wenn sie verantwortliche Einzelpersonen mit Ethik von ihren Selbst sind, erwarten sie Sie nicht, Agentursicherheit Probleme zu beheben, daß Sie keine Steuerung über haben.

Die meisten Agenturinformationssysteme können eine Beglaubigung des Niveau-1 mit einem richtig dokumentierten Bescheinigung-Paket wahrscheinlich erreichen. Jedoch wenn Sicherheit Kontrollen auf Informationssystemen scheinen, hinsichtlich der nicht gleichmäßigen Ermächtigung so schlecht eingeführt zu werden eine Beglaubigung des Niveau-1, sollten Sie den Informationssysteminhaber und das ISSO treffen und ihnen von diesem raten. Seien Sie sicher, einzuschließen Rechtfertigung hinsichtlich, was Sie sind so schrecklich falsch glauben. Wenn ein Niveau 1 nicht berechtigt erhalten werden kann, gibt es wirklich zwei Wahlen:

 Stoppen Sie den C&A Prozeß und setzen Sie sich in Platz, den die notwendige Sicherheit steuert

 Fahren Sie mit dem C&A Prozeß fort und die genauen vorhandenen Sicherheit Informationen dokumentieren, und hoffen Sie, daß der Experte dem Geschäft Inhaber eine Zwischenzeits berechtigung bewilligt, um zu funktionieren.

Eine Zwischenzeitsberechtigung zum zu funktionieren (IATO) ist im Allgemeinen wie eine Trost Beglaubigung und in den meisten Fällen IATOs ablaufen nach sechs Monaten. Ein IATO bedeutet, daß Sie die Experten überzeugt haben, daß der Informationen Inhaber mindestens weiter eine gute Bemühung in das Versuchen, korrekte Sicherheit Kontrollen einzuführen einsetzt. Und aus diesem Grund, gibt das bestätigende Mittel Ihnen sechs Monate, um in Befolgung zu kommen. Ein IATO normalerweise schließt eine Liste von Sicherheit Kontrollen ein, die im Platz sein müssen, wenn das IATO abläuft. Zu dieser Zeit wenn die Anforderungen des IATO entsprochen worden sind, empfängt das System normalerweise eine Berechtigung zum Betrieb (ATO), aber wenn nicht, können die Systeme geschlossen werden. Ohne eine Beglaubigung in der Hand, können das GAO oder die Agentur OIG hereinkommen und Ihre Systeme unten schließen. Jedoch obgleich das GAO oder das OIG die Systeme erfordern konnten, zu den praktischen Zwecken, im realen Leben geschlossen zu werden, geschieht dieses selten. Zweifellos ist ein IATO besser als keine Beglaubigung an allen.

dieses ist ein Artikel, der von Hemant Baidwan hinzugefügt wird


Verzicht: Unsere Web site ist nicht zu der Information verantwortlich, die durch diesen Artikel enthalten wird. Dieser Artikel reflektiert keineswegs die Ansichten, die Meinungen, die Gedanken oder den Glauben des Artikelverzeichnisstabes.

Übersetzung Nachricht: Der Artikel ", wie man ein Bescheinigung-Paket" wurde übersetzt mit einem automatisierten Übersetzungsdienst entwickelt. Wir entschuldigen herzlichst uns für alle mögliche Übersetzung Störungen, die auftraten. Danke für das Verstehen.


Online: 858 users browsing the articles directory