Come sviluppare un pacchetto di certificazione

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Prima che’ll possiate cominciare unire un pacchetto di certificazione,’necessità del ll di acquisire tante informazioni come possibile circa i sistemi o le applicazioni voi’ll siete necessità di certifying.You di essere un buon detectivo e non perdere la fede quando i particolari sembrano unclear.The le più informazioni che riunite il pulitore i particolari voglia become.You stanno circa per unire un puzzle jigsaw di tecnologia dell'informazione.

Inizio Del Vostro Progetto di C&A

Quando cominciate il vostro progetto di C&A, indossi’la t prevedono che tutto che abbia svolto un ruolo nello sviluppo ed amministrare l'applicazione o i sistemi state certificando per iniziare a offrirsi volontariamente le informazioni per voi a use.You dovrà prendere l'iniziativa per uscire e raccogliere tanta documentazione come potete e comportamento intervisti con il personale adatto. Se siete un consulente, in primo luogo dovrete calcolare verso l'esterno chi il personale adatto è che dovete comunicare con che. State andando dovere chiedere al responsabile di patrocinio molto di questions.The che li ha firmati in su per completare il C&A è la persona migliore per iniziare il responsabile di patrocinio di this.The può essere il proprietario del sistema, i ISSO, l'ufficiale contraentesi, o un responsabile di sviluppo di applicazione.

Unito una lista del contatto

In primo luogo dovete calcolare verso l'esterno chi avrà conoscenza di tutte le particolarità di sicurezza delle informazioni system.You dovrebbe cominciare identificando la gente responsabile di patrocinio che di involved.The dovrebbe potere rispondere molto al vostro ritrovamento di questions.To la gente adatta che capisce la sicurezza del sistema d'informazione o dei sistemi che richiedono l'accreditamento, voi’necessità del ll di fare le seguenti domande:

 Proveniva l'applicazione sviluppata in-house o comprata da un fornitore?

 Se l'applicazione fosse comprata da un fornitore fosse dell'adattamento fatto ad esso?

 Chi ha fatto l'adattamento?

 Se l'applicazione fosse sviluppata in-house, che lo ha progettato?

 Sono ci specifiche e documenti di disegno? Chi li ha?

 È l'applicazione ospitata sul posto o ad un luogo a distanza?

 Se l'applicazione è ospitata a distanza, che è responsabile dei relativi funzionamenti?

Queste domande sono “che?” domande. Dalle risposte alle vostre domande, dovreste potere cominciare unire una lista del contatto della gente che è stata una parte del disegno ed esecuzione del sistema d'informazione. Includa i loro numeri di telefono ed indirizzi di E-mail perché voi’necessità del ll di metterseli in contatto con spesso.

Alcuni enti federali sono abbastanza grandi e dovuto il formato dei funzionamenti, a volte impersonale. Quando vi mettete in contatto con la varia gente sul vostro contatto elencate, voi’necessità del ll di spiegare a loro che siete ed a perchèsiete mettendosele in contatto con iete mettendosele in contatto con. Indossi’la t lo invitare a sapere che un progetto di C&A è in corso o persino conoscere che C&A è circa. Se se li mettete in contatto con e dite che dovete venirli a contatto di per discutere un progetto di C&A, sia preparato per dire loro che C&A significa poiché ci è una buona probabilità che non possono avere un indizio di che cosa state parlando.

Trovando verso l'esterno tutte le informazioni che dovrete generare un pacchetto di certificazione è tanto come andare su un tesoro cerca. Se siete un consulente esterno, all'inizio del progetto, esso è complessivamente possibile che nessuno a meno che il responsabile di patrocinio sappia perchè siete sul posto all'agenzia. Esso’s molto improbabile che qualcuno venga fino voi e dica, “mi sento che siete onsite per unire un pacchetto di certificazione per il nostro sistema d'informazione. Qui sono tutte le politiche di sicurezza, i documenti di disegno e la configurazione di sicurezza del sistema di che avrete bisogno.” Nei grandi enti federali, la mia esperienza è stata che nessuno prontamente e rapidamente si offre volontariamente le informazioni su sicurezza del sistema.

Tenga una riunione di kick-Off

Una volta che avete scoperto chi i giocatori di chiave sono (la gente che ha fatta parte di progettazione, di sviluppare, di codifica e di effettuare del sistema d'informazione), dovreste fissare una riunione di espulsione ed invitarli tutti. Faccia il vostro la cosa migliore per formare i buoni rapporti con questa gente perché diventerete fiduciosi in loro per informazione. Nel corso della riunione di espulsione introducalo alla squadra di C&A e spieghi a loro brevemente che C&A è tutto il circa. Nel corso di questa prima riunione, dovreste dire loro che abbiate bisogno di tanta documentazione come potete ottenere sul sistema d'informazione particolare che è previsto per l'accreditamento. Chiedali se E-mail della latta voi documentazione appena possibile; altrimenti possono occorrere le settimane per ottenerla a you.You avranno bisogno delle informazioni sul disegno, lo sviluppo, l'esecuzione, la configurazione, topologia della rete e la prova delle informazioni system.You dovrà rivedere tutta questa documentazione per trovare le giuste punte delle informazioni per mettere nel pacchetto di certificazione.

Ottenga Tutta la Guida di riferimento Attuale Dell'Agenzia

È chiave scoprire se l'agenzia che state lavorando per ha un manuale di C&A. Le agenzie che hanno nel passato notato bene sulle loro schede federali rapporto di sicurezza del calcolatore probabilmente hanno uno. Le agenzie che hanno notato male sulla loro scheda di rapporto non possono avere uno. Se un manuale esiste, dovete seguire tutta la guida di riferimento scritta in esso quando prepara il vostro pacchetto di certificazione—anche se sono povera guida di riferimento. Se la squadra di valutazione fa correttamente il relativo lavoro, valuteranno il pacchetto di certificazione per come segue il manuale ed i requisiti dell'agenzia C&A.

Se un manuale esiste e pensate che le parti di esso siano così errate che shouldn’t lo seguite, dovete prendere questo in su con il ISSO e la squadra di valutazione del pacchetto prima di prendere qualsiasi decisioni. Quandosiete preparandosi iete preparandosi un pacchetto di certificazione non è necessariamente il momento migliore di provare a convincere l'agenzia a cambiare le loro regolazioni e politiche. Se pensate che alcune parti di esso siano errate, prima che andiate avanti e decidiate andare il vostro proprio senso e generare un pacchetto “” più corretto di certificazione, porti le edizioni all'attenzione del ISSO ed offra la giustificazione quanto a perchè vorreste continuare diversamente. Alcune agenzie verranno a mancare il vostro pacchetto di certificazione se indossate’la t seguite il loro manuale—anche se il manuale è errato.

Tutte le agenzie sono supposte di avere un manuale e mascherine per standardizzare il processo di C&A. Tuttavia, alcune agenzie più di meno sono preparate che altre e se intraprendete un progetto di C&A e che scoprono che nessun manuale o mascherina esiste, che voi’il ll deve fare without.You può tranquillo unito un pacchetto solido di certificazione senza manuale o mascherine e se fate un buon lavoro, forse voi sarà arruolato come contributore futuro per sviluppare il manuale e le mascherine tanto necessari. Se un manuale di C&A non è assente, allora veda se l'agenzia del genitore ha uno. Un reparto dell'agenzia o per esempio dell'ufficio non può avere loro proprio manuale, ma l'agenzia del genitore potrebbe. Se nessun manuale di C&A affatto esiste, figura verso l'esterno la quale metodologia la vostra agenzia dovrebbe usare (NIST, DITSCAP, NIACAP, DCID 6/3) e sguardo a quella per consiglio.

Analizzi La Vostra Ricerca

Una volta che avete ricevuto i vari documenti dagli sviluppatori e dai coordinatori del sistema d'informazione, voi’necessità del ll di analizzare questi documenti per vedere se includono il genere di informazioni che voi’necessità del ll di includere nel pacchetto di certificazione. È probabile che gran parte delle informazioni che avete bisogno di per il pacchetto di certificazione non sarà inclusa nei vari documenti ricevete. Se lo system(s) delle informazioni che sono in su per C&A precedentemente è stato accreditato, allora un pacchetto anteriore di certificazione exist.You dovrebbe rendergli un punto per rivedere il pacchetto anteriore di certificazione e gli usa tutte le informazioni che è ancora relativo. Se qualche cosa sembra errato nel pacchetto anteriore di certificazione, dovreste correggerli, anche se non si citasse per i ciencies del defi- nell'accreditamento anteriore.

Unito una lista delle domande per quanto riguarda i generi di cose ancora dovete scoprire dagli sviluppatori e dai coordinatori del sistema d'informazione e le riunioni di programma con la gente che pensate possono rispondere il più bene alle vostre domande. Continui a venire a contatto della squadra e metterselo in contatto con sul telefono e dal E-mail fino a rispondere tutte le vostre domande. Prende spesso parecchi tondi delle inchieste prima che riceviate tutte le informazioni adatte.

Redazione dei documenti

Anche se ci è probabile nessun regolazioni che vi richiedono di unire il pacchetto di certificazione documenta in tutto l'ordine particolare, sembro pensare che l'ordine in cui unite i documenti è importante. Per esempio, se unite l'inventario del software e dei fissaggi sulla parte anteriore, li aiuterà nella scrittura del testo descrittivo circa i contorni di accreditamento che sono richiesti nel programma di sicurezza del sistema. In alcuni casi, può avervi il significato affinchè cambi l'ordine di questi documenti quando unisce il vostro pacchetto di certificazione. Il punto principale da togliere è che se un documento contiene le informazioni che dipendono da un documento anteriore, elabori il documento anteriore in primo luogo. Sarà duro sapere valutare l'effetto del guasto dei beni elencati nella valutazione di effetto di affari se indossate’la t tuttavia conosce che cosa i beni sono—se l'inventario del software e dei fissaggi ancora non è stato completato.

Esso’approvazione di s da essere ridondante

Molti dei documenti nel pacchetto di certificazione includono le informazioni che sono ridondanti da un documento al motivo di next.The per questo sono perché ogni documento deve potere levarsi in piedi da sè. Alcune delle informazioni che trovate per alcuni dei documenti più in anticipo possono e dovrebbero essere usate in documents.You successivo desiderano dare l'impressione che tutti i documenti sono costanti con a vicenda e sostenere ogni other.Though in molte forme di scrittura che è ridondante non è desiderabile, nella certificazione di formazione impaccano, esso sono necessarie. Una delle cose che gli esperti cercano è contraddizioni fra i vari documenti del pacchetto di certificazione. Tutte le contraddizioni solitamente alzano una bandierina e richiedono controllo più ravvicinato.

Le Agenzie Differenti Hanno Requisiti Differenti

Non tutte le agenzie richiedono l'esatto gli stessi documenti per C&A. FISMA tiene conto flessibilità ed un'agenzia può richiedere determinati documenti che altre agenzie indossano’la t require.Though potrebbe essere discusso che questo è inequitable, FISMA è stato destinato a permettere che ogni agenzia determini i relativi propri bisogni nei limiti della stipulazione.

Compreso le applicazioni multiple ed i sistemi in un pacchetto

Potete includere le applicazioni multiple ed i sistemi d'informazione in una certificazione Package.To sono sicuri, esso non ha significato affatto generare un pacchetto di certificazione per ogni sistema che esiste alla vostra agenzia. Dovreste definire largamente i contorni di accreditamento del vostro pacchetto di C&A come voi possibilmente latta. La determinazione dei contorni di accreditamento è a volte la parte più ingannevole di unire una necessità di certificazione Package.You di capire dove l'accreditamento comincia e si arresta. In generale, dovreste selezionare una determinazione di contorno che è grande e logica. Per esempio, se state accreditando i sistemi di supporto generali, potete desiderare definire il vostro contorno dai dominii della rete. Se state accreditando le applicazioni importanti, dovrete includere tutte le parti dell'infrastruttura che l'applicazione tocca.

L'infrastruttura di applicazione è controllata solitamente da un'organizzazione differente che i sistemi di supporto generali di fondo. I sistemi operativi e la rete hanno tipicamente proprietari differenti del sistema d'informazione che le applicazioni. C&A è circa i proprietari del sistema d'informazione della tenuta responsabili e quindi, i contorni devono trovarsi all'interno dell'eccedenza di giurisdizione il proprietario del sistema d'informazione che il controllo. Se state certificando un'applicazione che è secondo i sistemi di supporto generali a che l'applicazione ottiene installata in cima, quindi questa dovrebbe essere dichiarata chiaramente nella certificazione Package.An che il sistema di supporto generale di fondo ha solitamente un pacchetto differente di certificazione che le applicazioni che sono installate in cima esso. Quando il vostro pacchetto di certificazione e la sicurezza dei vostri sistemi è nel dipendente della parte su altri sistemi, quei deve essere specificamente stated.You può riferire altri pacchetti di certificazione ed altri sistemi che non sono nei vostri limiti di accreditamento nella vostra documentazione. Sarebbe perfettamente plausibile inserire una dichiarazione come:

Le applicazioni principali descritte in questo pacchetto di certificazione dipendono dai sistemi di supporto generali di fondo che precedentemente sono stati accreditati al Livello 4.

Dovreste elencare il nome convenzionale del pacchetto di certificazione di tutti i altri pacchetti che riferite. Se indossate’la t conosca il nome del pacchetto, prova per scoprirlo. Esso’s ancora migliore ottenerle una copia se potete. In alcuni casi, può essere contro le politiche di sicurezza dell'agenzia per ripartire tali informazioni fra un proprietario delle informazioni ad un altro. Per quanto per lo meno, un proprietario esterno delle informazioni dovrebbe potere ripartire con voi la data di nome e della pubblicazione del documento ufficiale del pacchetto relativo di certificazione.

Verifichi Le Vostre Informazioni

Una volta che avete completato un documento, prima della presentazione esso al ISSO, trasmettalo fuori in primo luogo agli sviluppatori ed ai coordinatori del sistema d'informazione che hanno una conoscenza di con i sistemi d'informazione che state cercando di accreditare. Chieda loro di rivederlo ed informarlo di tutti gli errori effettivi. Gli schemi della rete dovrebbero anche essere rivisti per esattezza. Se qualcosa doesn’t ha il significato, esso’s probabilmente torto non ben documentato o normale. La certificazione e l'accreditamento è un momento di accertarsi che tutto sia esatto.

Nella riesaminazione dei documenti di disegno che ricevete, non supponga appena che le informazioni contenute in loro sono come l'applicazione o i sistemi d'informazione realmente è stato sviluppato. I disegni vanno awry e l'amministrazione cambia idea circa i requisiti a metà strada in progetto. Solo perchè un sistema d'informazione è stato supposto di risultare il one-way, media’del doesn t produzione’del didn t una necessità differente di way.You di prendere tutto che leggiate con un grano di sale e fa le domande riguardo alle cose che indossano’la t hanno il significato.

Mantenga La Vostra Etica

Nella maggior parte delle agenzie, tutto il proprietario del sistema d'informazione desidera la squadra di revisione di certificazione fare deve ottenere i sistemi d'informazione certified.They indossa’la t necessariamente desidera sapere andrete circa fare questo finchè lo ottenete fatto. Anche se dovreste fare tutto possibile fare che accade, attraverso tutti i mezzi non comprometta la vostra etica. Pratiche Migliori di C&A…

Tenga velocemente alla vostra etica

Non comprometta mai la vostra etica. In nessun caso inventate i comandi di sicurezza che non esistono, o documenti che i rischi si sono attenuati se porto’t. Se il proprietario delle informazioni o il ISSO pressures voi per documentare gli articoli che non sono ovviamente allineare, dovreste astenersi da dal fare così e segnalare il problema alla vostra amministrazione. Se nel corso della redazione dei documenti di certificazione trovate che determinati comandi di sicurezza che dovrebbero essere effettuati non erano, segnali che al ISSO e suggerisca che ottengono effettuati appena possibile. Finchè sono effettuati prima che il pacchetto di certificazione sia presentato, la vostra documentazione non sarà errata. Se ritenete che non ci è assolutamente senso i sistemi d'informazione otterranno un accreditamento positivo, discutono questo con il ISSO. Non è il vostro lavoro come preparatore del documento di certificazione risolvere i problemi di sicurezza che dovrebbero essere messi sul posto precedentemente. Il proprietario del sistema d'informazione ed i ISSO sono probabili entrambi gli informati che i comandi di sicurezza sono affidati da legge e devono essere sul posto. Se sono individui responsabili con l'etica dei loro propri, non li non invitare a risolvere i problemi di sicurezza dell'agenzia che non avete controllo sopra.

La maggior parte dei sistemi d'informazione dell'agenzia possono probabilmente ottenere un accreditamento del Livello 1 con un pacchetto correttamente documentato di certificazione. Tuttavia, se i comandi di sicurezza sui sistemi d'informazione sembrano essere effettuati così male quanto alla garanzia non neppure un accreditamento del Livello 1 dovreste venire a contatto del proprietario del sistema d'informazione e del ISSO e raccomandarli di questo. Sia sicuro includere la giustificazione quanto a che cosa ritenete siete così terribile errati. Se un Livello 1 non può essere ottenuto in conformità della legge, ci sono realmente due scelte:

 Arresti il processo di C&A e metta sul posto i comandi necessari di sicurezza

 Continui con il processo di C&A, documentante le informazioni attuali esatte di sicurezza e che speri che l'esperto assegni al proprietario di affari un'autorità di interim per funzionare.

Un'autorità di interim da funzionare (IATO) è basicamente come un accreditamento di consolation e nella maggior parte dei casi IATOs espira dopo sei mesi. Uno IATO significa che avete convinto gli esperti che il proprietario delle informazioni sta mettendo almeno avanti un buon sforzo nel provare ad effettuare i comandi adeguati di sicurezza. E per quel motivo, l'agente certificante vi dà sei mesi per entrare nella conformità. Uno IATO includerà solitamente una lista dei comandi di sicurezza che dovranno essere sul posto quando lo IATO espira. A quel tempo, se le richieste dello IATO sono state soddisfatte, il sistema riceverà solitamente un'autorità al funzionamento (ATO), ma se non, i sistemi possono interrompersi. Senza un accreditamento a disposizione, il GAO o l'agenzia OIG può entrare e chiudere i vostri sistemi giù. Tuttavia, anche se il GAO o il OIG potrebbe richiedere i sistemi interrompersi, per gli scopi pratici, nella realtà questo accade raramente. Certamente uno IATO è migliore dell'accreditamento affatto.

ciò è un articolo aggiunto da Hemant Baidwan


Diniego: Il nostro Web site non è responsabile delle informazioni contenute da questo articolo. Questo articolo in nessun modo riflette le viste, le opinioni, i pensieri o la credenza del personale dell'indice degli articoli.

Avviso di traduzione: L'articolo "come sviluppare un pacchetto di certificazione" è stato tradotto usando un servizio di traduzione automatizzato. Chiediamo scusa francamente per tutti gli errori di traduzione che hanno accaduto. Grazie per capire.


Online: 882 users browsing the articles directory