Cómo desarrollar un paquete de la certificación

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Antes de que usted’ll pueda comenzar a juntar un paquete de la certificación, usted’necesidad del ll de adquirir tanta información como sea posible sobre los sistemas o los usos usted’ll sea necesidad de certifying.You de ser buen detective, y no perder la fe cuando los detalles aparecen unclear.The más información que usted recolecta el clarificante los detalles quiera become.You están a punto de juntar un rompecabezas del rompecabezas de la tecnología de información.

Iniciar Su Proyecto de C&A

Cuando usted comienza su proyecto de C&A, ponga’t esperan que cada uno que ha desempeñado un papel en convertirse y administrar el uso o los sistemas que usted está certificando para comenzar a ofrecer voluntariamente la información para usted a use.You necesitará tomar la iniciativa para salir y para recoger tanta documentación como usted puede, y conducta se entrevista con con el personal apropiado. Si usted es un consultor, primero usted necesitará calcular fuera de quién es el personal apropiado que usted necesita hablar con. Usted va a tener que preguntar a los muchos del encargado que patrocina de questions.The que le firmaron para arriba para terminar el C&A son la mejor persona para comenzar a encargado que patrocinaba de this.The pueden ser el dueño del sistema, los ISSO, el oficial que contraía, o encargado del desarrollo del uso.

Juntado una lista del contacto

Usted primero necesita calcular fuera de quién tendrá conocimiento de todas las particularidades de la seguridad de la información system.You debe comenzar identificando a la gente que encargado que patrocina de involved.The debe poder contestar a muchos de su hallazgo de questions.To la gente apropiada que entiende la seguridad del sistema de información o de los sistemas que requieren la acreditación, usted’necesidad del ll de hacer las preguntas siguientes:

 ¿Era el uso desarrollado en el local o comprado de un vendedor?

 ¿Si el uso fue comprado de un vendedor era algún arreglo para requisitos particulares hecho a él?

 ¿Quién hizo el arreglo para requisitos particulares?

 ¿Si el uso fue desarrollado en el local, que lo diseñó?

 ¿Hay especificaciones y documentos del diseño? ¿Quién los tiene?

 ¿Es el uso recibido en sitio o en un sitio alejado?

 ¿Si el uso se recibe remotamente, que es responsable de sus operaciones?

¿Estas preguntas son “que?” preguntas. De las respuestas a sus preguntas, usted debe poder comenzar a juntar una lista del contacto de la gente que ha sido una parte del diseño y puesta en práctica del sistema de información. Incluya sus números de teléfono y direcciones del E-mail porque usted’necesidad del ll de entrarlas en contacto con a menudo.

Algunas agencias federales son absolutamente grandes, y debido al tamaño de las operaciones, a veces impersonal. Cuando usted entra en contacto con a varia gente en su contacto enumera, usted’necesidad del ll de explicar a ella que usted sea y a porqué usted la está entrando en contacto con. Ponga’t esperan que ella sepa que un proyecto de C&A esté en curso o aún saber qué C&A está alrededor. Si usted los entra en contacto con y dice que usted necesita resolverlos con para discutir un proyecto de C&A, esté preparado para decirles qué C&A significa puesto que hay una buena ocasión que él puede no tener una pista qué usted está hablando.

El descubrir toda la información que usted necesitará crear un paquete de la certificación está como ir en una caza del tesoro. Si usted es un consultor exterior, en el comienzo del proyecto, él es en conjunto posible que nadie a menos que el encargado que patrocina sepa porqué usted está en sitio en la agencia. Él’s muy inverosímil que alguien vendrá hasta usted y dirá, “oigo que usted es onsite para juntar un paquete de la certificación para nuestro sistema de información. Aquí están todas las políticas de la seguridad, los documentos del diseño, y la configuración de la seguridad del sistema que usted necesitará.” En agencias federales grandes, mi experiencia ha sido que nadie ofrece voluntariamente fácilmente y rápidamente la información sobre seguridad del sistema.

Celebre una reunión del kick-Off

Una vez que usted haya descubierto quién son los jugadores de la llave (la gente que ha sido parte de diseñar, de desarrollar, de cifrar, y de poner el sistema de información en ejecucio'n), usted debe programar una reunión de partida e invitarlos todos. Haga su mejor para formar buenas relaciones con esta gente porque usted hará confiado en ella para la información. Durante la reunión de partida introdúzcalo al equipo de C&A, y explique a ella brevemente qué C&A está todo alrededor. Durante esta primera reunión, usted debe decirles que usted necesite tanta documentación como usted puede conseguir en el sistema de información particular que es empizarrado para la acreditación. Pídalos si ellos E-mail de la lata usted documentación cuanto antes; si no pueden tomar semanas para conseguirla a you.You necesitarán la información sobre el diseño, desarrollo, puesta en práctica, configuración, topología de la red, y la prueba de la información system.You necesitará repasar toda esta documentación para encontrar los pedacitos de la información derechos para poner en el paquete de la certificación.

Obtenga Cualquier Pauta Existente De la Agencia

Es dominante descubrir si la agencia que usted está trabajando para tiene un manual de C&A. Las agencias que tienen en el pasado anotada bien en sus tarjetas federales del informe de la seguridad de la computadora tienen probablemente uno. Las agencias que han anotado mal en su tarjeta del informe pueden no tener uno. Si existe un manual, usted debe seguir todas las pautas escritas en él al preparar su paquete de la certificación—incluso si son pautas pobres. Si el equipo de la evaluación hace su trabajo correctamente, él evaluará el paquete de la certificación para cómo esta' bien sigue el manual y los requisitos de la agencia C&A.

Si existe un manual, y usted piensa que las partes de él son tan incorrectas que usted el shouldn’t lo sigue, usted necesita tomar esto para arriba con el ISSO y el equipo de la evaluación del paquete antes de tomar cualesquiera decisiones. Cuando usted se está preparando un paquete de la certificación no es necesariamente la mejor época de intentar conseguir la agencia cambiar sus regulaciones y políticas. Si usted piensa que algunas partes de él son incorrectas, antes de que usted vaya a continuación y decida ir su propia manera y crear un paquete “” más correcto de la certificación, traiga las ediciones a la atención del ISSO y ofrezca la justificación en cuanto a porqué usted quisiera proceder diferentemente. Algunas agencias fallarán su paquete de la certificación si usted pone’t sigue su manual—incluso si el manual es incorrecto.

Todas las agencias se suponen tener un manual y plantillas para estandardizar el proceso de C&A. Sin embargo, algunas agencias están preparadas menos que otras, y si usted emprende un proyecto de C&A, y que descubren que existe ningún manual o plantillas, que usted’el ll tiene que hacer without.You puede inmóvil puesto junto un paquete sólido de la certificación sin un manual o plantillas, y si usted hace un buen trabajo, quizás usted será alistado como contribuidor futuro para desarrollar el manual y las plantillas muy necesarios. Si un manual de C&A no está presente, entonces vea si la agencia del padre tiene uno. Un departamento por ejemplo de la oficina o de la agencia no puede tener su propio manual, pero la agencia del padre pudo. Si existe ningún manual de C&A en todo, figura fuera de qué metodología debe utilizar su agencia (NIST, DITSCAP, NIACAP, DCID 6/3) y mirada a ésa para la dirección.

Analice Su Investigación

Una vez que usted haya recibido los varios documentos de los reveladores y de los administradores del sistema de información, usted’necesidad del ll de analizar estos documentos para ver si incluyen la clase de información que usted’necesidad del ll de incluir en el paquete de la certificación. Es probable que mucha de la información que usted necesita para el paquete de la certificación no sea incluida en los varios documentos usted recibe. Si el system(s) de la información que están para arriba para C&A se ha acreditado previamente, entonces un paquete anterior de la certificación exist.You debe hacerle un punto para repasar el paquete anterior de la certificación, y utiliza cualquier información de él que siga siendo relevante. Si cualquier cosa aparece incorrecto en el paquete anterior de la certificación, usted debe corregirlo, incluso si no fue citado para los ciencies del defi- en la acreditación anterior.

Juntado una lista de preguntas con respecto a las clases de cosas usted todavía necesita descubrir de los reveladores y de los administradores del sistema de información, y las reuniones del horario con la gente a que usted piensa pueden contestar lo más mejor posible a sus preguntas. Guarde el satisfacer con del equipo y el entrar en contacto con de ellas en el teléfono y por E-mail hasta que se contestan todas sus preguntas. Toma a menudo varios redondos de investigaciones antes de que usted reciba toda la información apropiada.

Elaborar los documentos

Aunque hay probable ningunas regulaciones que le requieran juntar el paquete de la certificación documenta en cualquier orden particular, sucedo pensar que la orden en la cual usted pone los documentos juntos es importante. Por ejemplo, si usted junta el inventario del hardware y del software encima del frente, le ayudará en escribir el texto descriptivo sobre los límites de la acreditación que se requieren en el plan de la seguridad del sistema. En algunos casos, puede tener sentido para que usted cambie la pedido de estos documentos al juntar su paquete de la certificación. El punto principal a quitar es que si un documento contiene la información que es dependiente en un documento anterior, desarrolle el documento anterior primero. Será duro saber clasificar el impacto de la interrupción de los activos enumerados en el gravamen del impacto del negocio si usted pone’t con todo sabe cuál son los activos—si el inventario del hardware y del software todavía no se ha terminado.

Él’autorización de s a ser redundante

Muchos de los documentos en el paquete de la certificación incluyen la información que es redundante a partir de un documento a la razón de next.The de esto es porque cada documento necesita poder estar parado en sus el propios. Algo de la información que usted encuentra para algunos de los documentos anteriores conserva y se debe utilizar en documents.You subsecuente desea dar la impresión que todos los documentos son constantes con uno a y apoyar cada other.Though en muchas formas de escritura que es redundante no es deseable, en la certificación que hace a mano empaqueta, él es necesaria. Una de las cosas que los evaluadores buscan es inconsistencias entre los varios documentos del paquete de la certificación. Cualquier inconsistencia levanta una bandera y llama generalmente para una inspección más cercana.

Diversas Agencias Tienen Diversos Requisitos

No todas las agencias requieren el exacto los mismos documentos para C&A. FISMA permite flexibilidad, y una agencia puede requerir ciertos documentos que otras agencias pongan’t require.Though que podría ser discutido que esto es no equitativo, FISMA fuera diseñado permitir que cada agencia determine sus propias necesidades dentro de los límites de la estipulación.

Incluyendo usos múltiples y sistemas en un paquete

Usted puede incluir usos múltiples y los sistemas de información en una certificación Package.To sean seguros, él no tienen ningún sentido en todos de crear un paquete de la certificación para cada sistema que exista en su agencia. Usted debe definir los límites de la acreditación de su paquete de C&A tan ampliamente como usted posiblemente lata. La determinación de los límites de la acreditación es a veces la parte más difícil de poner junta una necesidad de la certificación Package.You de entender donde la acreditación comienza y para. En general, usted debe escoger una determinación del límite que sea grande y lógica. Por ejemplo, si usted está acreditando sistemas de ayuda generales, usted puede desear definir su límite por dominios de la red. Si usted está acreditando usos importantes, usted necesitará incluir todos los pedazos de la infraestructura que el uso toca.

La infraestructura del uso es manejada generalmente por una diversa organización que los sistemas de ayuda generales subyacentes. Los sistemas operativos y la red tienen típicamente diversos dueños del sistema de información que los usos. C&A está sobre sostener a dueños del sistema de información responsables, y por lo tanto, los límites necesitan mentir dentro del excedente de la jurisdicción que el dueño del sistema de información tiene control. Si usted está certificando un uso que esté dependiendo de los sistemas de ayuda generales encima de los cuales el uso consigue instalado, después esto se debe indicar claramente en la certificación Package.An que el sistema de ayuda general subyacente tiene generalmente un diverso paquete de la certificación que los usos que están instalados encima de ella. Cuando su paquete de la certificación y la seguridad de sus sistemas está en dependiente de la parte en otros sistemas, esos necesita ser específicamente stated.You puede referirse a otros paquetes de la certificación y a otros sistemas que no estén dentro de sus límites de la acreditación en su documentación. Sería perfectamente plausible insertar una declaración por ejemplo:

Los usos principales descritos en este paquete de la certificación son dependientes en los sistemas de ayuda generales subyacentes que se han acreditado previamente en el nivel 4.

Usted debe enumerar el nombre formal del paquete de la certificación de cualquier otro paquete a que usted se refiera. Si usted pone’t sepa el nombre del paquete, intento para descubrirlo. Él’s incluso mejor obtener una copia de ella si usted puede. En algunos casos, puede estar contra las políticas de la seguridad de la agencia para compartir tal información entre un dueño de la información a otro. Al menos por lo menos, un dueño exterior de la información debe poder compartir con usted la fecha del nombre y de la publicación del documento oficial del paquete relacionado de la certificación.

Verifique Su Información

Una vez que usted haya terminado un documento, antes de someterlo al ISSO, envíelo hacia fuera primero a los reveladores y a los administradores del sistema de información que son los más familiares con los sistemas de información que usted está intentando acreditar. Pida que la repasen y que le informen cualquier error efectivo. Los diagramas de la red se deben también repasar para la exactitud. Si algo el doesn’t tiene sentido, él’s probablemente mal no bien documentado o llano. La certificación y la acreditación es una época de asegurarse de que toda es exacta.

En el repaso de los documentos del diseño que usted recibe, apenas no asuma que la información contenida en ellos es cómo los sistemas del uso o de información fueron desarrollados realmente. Los diseños van mal y la gerencia cambia sus mentes sobre requisitos a medio camino en un proyecto. Apenas porque un sistema de información fue supuesto resultar una forma, medio’del doesn t producción’del didn t una diversa necesidad de way.You de tomar todo que usted lee con un grano de la sal, y hace preguntas acerca de las cosas que ponen’t tienen sentido.

Conserve El Su Ética

En la mayoría de las agencias, todo el dueño del sistema de información quisiera que el equipo de la revisión de la certificación hiciera debe conseguir los sistemas de información certified.They pone’t desea necesariamente saber usted irá sobre hacer esto mientras usted lo consigue hecha. Aunque usted debe hacer todo posible hacer que sucede, sin falta no comprometa el su ética. Las Mejores Prácticas de C&A…

Sostenga rápidamente al su ética

Nunca comprometa el su ética. Bajo ningunas circunstancias usted inventa los controles de la seguridad que no existen, o documente que se han atenuado los riesgos si ellos el asilo’t. Si el dueño de la información o el ISSO le ejerce presión sobre para documentar los artículos que no son obviamente verdades, usted debe refrenarse de hacer tan y divulgar el problema a su gerencia. Si en el curso de elaborar los documentos de la certificación usted encuentra que no eran ciertos controles de la seguridad que deben haber sido puestos en ejecucio'n, divulgue que al ISSO y recomiende que consiguen puestos en ejecucio'n cuanto antes. Mientras se ponen en ejecucio'n antes de que se someta el paquete de la certificación, su documentación no será incorrecta. Si usted se siente que no hay absolutamente manera los sistemas de información obtendrán una acreditación positiva, discuten esto con el ISSO. No es su trabajo como preparador del documento de la certificación resolver los problemas de la seguridad que se deben haber puesto en lugar previamente. El dueño del sistema de información y los ISSO son probables ambos enterados que los controles de la seguridad son asignados por mandato por la ley, y necesitan estar en lugar. Si son individuos responsables con los éticas sus el propios, no esperarán que usted resuelva problemas de la seguridad de la agencia que usted no tiene ningún control sobre.

La mayoría de los sistemas de información de la agencia pueden obtener probablemente una acreditación del nivel 1 con un paquete correctamente documentado de la certificación. Sin embargo, si los controles de la seguridad en sistemas de información aparecen ser puestos en ejecucio'n tan mal en cuanto a la autorización no uniforme una acreditación del nivel 1 usted debe resolver con el dueño del sistema de información y el ISSO y aconsejarlos de esto. Sea seguro incluir la justificación en cuanto a lo que usted se siente es tan terrible incorrecto. Si un nivel 1 no puede ser obtenido justificable, hay realmente dos opciones:

 Pare el proceso de C&A y ponga en lugar que la seguridad necesaria controla

 Continúe con el proceso de C&A, documentando la información existente exacta de la seguridad, y espere que el evaluador concederá a dueño del negocio una autoridad del interino para funcionar.

Una autoridad del interino a funcionar (IATO) está básicamente como una acreditación de la consolación, y en la mayoría de los casos que IATOs expira después de seis meses. Un IATO significa que usted ha convencido a evaluadores de que el dueño de la información esté poniendo por lo menos adelante un buen esfuerzo en intentar poner controles apropiados de la seguridad en ejecucio'n. Y por esa razón, el agente que certifica le da seis meses para venir en conformidad. Un IATO incluirá generalmente una lista de los controles de la seguridad que necesitarán estar en lugar cuando expira el IATO. En aquella 'epoca, si los requisitos del IATO se han resuelto, el sistema recibirá generalmente una autoridad a la operación (ATO), pero si no, los sistemas pueden ser cerrados. Sin una acreditación a disposición, el GAO o la agencia OIG puede venir adentro y cerrar sus sistemas abajo. Sin embargo, aunque el GAO o el OIG podría requerir los sistemas ser cerrado, para los propósitos prácticos, en vida verdadera esto sucede raramente. Un IATO es ciertamente mejor que ninguna acreditación en todos.

esto es un artículo agregado por Hemant Baidwan


Negación: Nuestro Web site no es responsable de la información contenida por este artículo. Este artículo de ninguna manera refleja las vistas, las opiniones, los pensamientos o la creencia del personal del directorio de los artículos.

Aviso de la traducción: El artículo "cómo desarrollar un paquete de la certificación" fue traducido usando un servicio de traducción automatizado. Nos disculpamos sinceramente por cualquier error de la traducción que ocurriera. Gracias por entender.


Online: 1082 users browsing the articles directory