認証方法を開発するパッケージ

前を開始することができるでしょうまとめあげる認定パッケージには、身に付ける必要があります。できるだけ多くの情報については、システムやアプリケーションのでしょうcertifying.youする必要があり良い探偵ではなく、信念を失うとき詳細が表示さunclear.the詳細な情報を収集して鮮明なの詳細については、 become.youは、情報技術をまとめたジグソーパズルです。

プロジェクトの開始時にc ＆

を開始する際に使用するc ＆ aのプロジェクトでは、誰も期待していない役割を演じてきたの管理やアプリケーションの開発とシステムの現在の認定を開始するボランティアのための情報をuse.youが必要に率先して出て行って、ドキュメントの中でできるだけ多く集めることができ、適切なスタッフのインタビューを行うとします。 コンサルタントをご利用の場合は、最初にする必要があり、適切な人を理解することは、スタッフと話をする必要があります。 あなたは行くんだけど、多くのquestions.theスポンサーマネージャの登録を完了するためにはc ＆ aのは最良の人物を開始するthis.theスポンサーマネージャのかもしれません。システムの所有者は、 isso 、契約担当官、あるいはアプリケーションの開発マネージャです。

連絡先リストをまとめる

まず最初に必要な知識を理解するには誰が、すべてのセキュリティparticularitiesの情報system.youが開始され、国民involved.theスポンサーマネージャを識別できるように答えなければならない、多くのお客様に適切な人を見つけるquestions.toを理解する情報システムのセキュリティやシステムを必要と認定、依頼していただく必要があり、以下の質問：

開発したアプリケーションや社内のベンダーから購入しますか？

アプリケーションだった場合は、ベンダーから購入したすべてのカスタマイズを行われますか？

カスタマイズしていますか？

開発したアプリケーションの場合、家、設計者ですか？

設計仕様とドキュメントはありますか？ てきたのだろうか？

-アプリケーションは、ホストされたサイトまたはリモートサイトでですか？

リモートホストする場合、アプリケーションは、誰が責任を負うための業務ですか？

これらの質問は"誰ですか"質問します。 お客様からのご質問とその回答を、できるようになり、連絡先リストを開始するまとめあげるてきた人たちは、一部の情報システムの設計と実装しています。 含まれている電話番号や電子メールのアドレスのため、頻繁にコンタクトを取っていただく必要があります。

いくつかの連邦政府機関が非常に大きい、との大きさのために操作して、ときどき物的ます。 お問い合わせの際に、お客様のさまざまな人たちの連絡先リストには、かれらに説明する必要があります。あなたは、なぜあなたは誰に連絡してください。 期待していないことを知ってはc ＆ aのプロジェクトが進行したりすることを知り＆ cがあるんです。 連絡している場合と言うことを満たす必要があり、それらを話し合うのc ＆ aのプロジェクトでは、どのような覚悟を教えて＆ cする手段があるのでいい機会かもしれませんが、彼らは何を話しているの手掛かります。

すべての情報を見つける必要があり証明書を作成するには、パッケージに起こっている宝捜しに似ています。 の場合は、外部のコンサルタント、プロジェクトの開始時に、それは可能性を完全にしていませんマネージャのスポンサーの1つを除いては、なぜあなたは知っているのは、代理店のサイトです。 それは非常に低いことが出てくるしたことを言う"としていると聞きました現在のオンサイトをまとめるために私たちの情報システムパッケージ認定します。 ここではすべてのセキュリティポリシーは、ドキュメントの設計、および、システムのセキュリティ設定をする必要があります。 "大規模な連邦政府機関は、私の経験していませんしました1つのボランティアについての情報を容易にかつ迅速にシステムのセキュリティをします。

キックオフミーティングを開く

が見つかった場合は、誰がキーマン（していた人たちの一部設計、開発、コーディング、および情報システムを実装する）は、スケジュール設定する必要があり、キックオフミーティングに招待します。 あなたの最良の良好な関係を形成するために、これらの人たちになるでしょうそれらの情報に依存しています。 中にキックオフミーティングを導入してはc ＆ aのチーム、そしてどのような説明を簡潔にしてはc ＆ aのすべてについてです。 この中に最初の会議では、すべきことを伝える必要がありできるだけ多くのドキュメントを取得することができ、特定の情報システムでは認定を予定しています。 依頼して電子メールをすることができた場合のマニュアルをできるだけ早く;そうしないと数週間かかる場合がありを取得することをyou.youが必要な情報を設計、開発、実装、設定、ネットワークトポロジ、および情報システムのテストします。すべてを確認する必要があり、このドキュメントを検索する権利ビットの情報を認証パッケージに入っています。

任意の既存の代理店を得るのガイドライン

どうかを確認することが重要なのは、代理店で働いて現在のc ＆ aのハンドブックです。 代理店は、過去得点していた報告書を連邦政府のコンピュータセキュリティおそらくカードが1つです。 機関の報告書に不十分な点があるかもしれませんがカードの1つです。 ハンドブックが存在する場合は、すべてのガイドラインに従う必要があり準備している時に書かれたお客様の認証パッケージたとえ彼らはかわいそうなガイドラインをご覧ください。 場合には、その仕事を適切に評価チームには、パッケージをどのように評価して認定であることを次のようにして代理店＆ cハンドブックの要件とします。

ハンドブックが存在する場合は、とお考えの部分は非常に間違ったことしてはいけませんそれに従って、これを取る必要があり、 issoとパッケージを評価する前にすべてのチームの判断を下した。 準備中の場合は、認証パッケージは、必ずしも最良の時間を取得しようとする代理店の規制や政策を変更しています。 していると思われる場合は、いくつかの部分を間違ったことは、前に行くのを控えて行くと決めると、独自の方法で作成するには"正しい"と認定パッケージには、問題を持ってきて、注目のissoと申し出を正当化する理由としてご希望異なっを続行します。 お客様の認証に失敗した場合は、いくつかの代理店のパッケージに従っていない場合は、たとえハンドブック-ハンドブックは間違っています。

すべての機関に対応してハンドブックがあるとのc ＆テンプレートを標準化するプロセスです。 しかし、いくつかの機関が他よりも少ない用意して、着手している場合に、 c ＆ aのプロジェクトで、ハンドブックやテンプレートを確認するには存在していません、あなたを行うwithout.youことができますが、まだパッケージをまとめる固体認証なしハンドブックやテンプレート、良い仕事を行う場合や、依頼されるかもしれないとして、将来の開発に多くの貢献をし、必要に応じてハンドブックのテンプレートがあります。 場合に、 c ＆ハンドブックではありませんが存在する場合、その代理店には1つの場合、親を参照してくださいました。 例えば、事務局の部署や代理店かもしれませんが、独自のハンドブックであり、代理店かもしれないが、親します。 ハンドブック＆ cていない場合は、すべての存在は、理解する方法でお客様のエージェントを使用しなければならない（ nist 、 ditscap 、 niacap 、 dcid 6 / 3 ）と目を向けることを指導します。

分析して研究

が完了したら、さまざまな文書を受け取ったから、情報システム開発者および管理者は、これらの書類を分析していただく必要がありを含めるかどうかを彼らにしていただけるような情報を含める必要があり、パッケージに認定します。 それは可能性が多くの認定のために必要な情報が含まれませんパッケージは、さまざまな文書を受け取った。 もし情報システム（秒）がアップ＆ cのは、以前に認定され、その後、事前にパッケージを認定すべきexist.youしなければならないことを事前に確認して認証パッケージをポイントし、そしてそれを使用してからの情報に関連しては、まだします。 何かが間違って表示された場合は、事前に認証パッケージには、それを修正する必要があり、たとえ引用していないためデフィ- cienciesは、事前に認定します。

ご不明な点のリストをまとめるの種類のものを確認する必要がありますから、情報システム開発者および管理者、およびスケジュールの会合で皆さんとお考えのお客様のご質問に答えることができ最高です。 続けるチームとの会議には携帯電話に連絡したりしているとされる電子メールは、すべて完了するまで、お客様の質問に答えています。 これまで数多くのお問い合わせラウンドする前に、すべての適切な情報を受信します。

書類の準備

可能性がありますがありません規制をする必要がある場合には認定のパッケージにまとめる文書特定の順番でたまたまだと思う順番を入れては、重要な資料をまとめています。 たとえば、まとめる場合は、 ハードウェアとソフトウェアのインベントリアップフロント、それに役立つでしょう書面での説明テキストの境界線については、認定が必要とされるシステムのセキュリティを計画します。 いくつかのケースでは、あなたを理解するための順序を変更する際にこれらの文書をまとめあげるパッケージ認定しています。 メインのポイントを持っていく場合は、文書が含まれている情報に依存して、事前の文書は、事前に文書を最初に開発しました。 ハードされることを知ってどのように影響を与える停電率の資産のビジネスに記載されていない場合はまだ影響評価を知っているのは、資産の場合、 ハードウェアとソフトウェアのインベントリされていません完了しました。

大丈夫される冗長

多くのパッケージに含まれた文書の認証情報は、冗長から文書をnext.the理由の1つは、このために、各ドキュメントする必要があり、独自の上に立つことができます。 いくつかの情報を見つけるためにいくつかの以前の文書に使用されなければならないことができ、その後のdocuments.youしたいという印象を与えるすべての文書はお互いに整合性やサポートの各other.though 、いろいろな形での書き込みが冗長望ましいことではありません、パッケージの認定工芸、それは必要なのです。 1つのことを評価して探すの間には、さまざまな矛盾をパッケージのドキュメント認証します。 通常、任意の矛盾を提起するの国旗を求めると緊密な検査します。

別の機関が異なる要件

すべての機関を必要としない、正確なcの同じドキュメント＆ aという fismaことがないため、柔軟性、および特定のドキュメントを1つのエージェントが必要かもしれませんrequire.thoughそれは他の機関の可能性があると主張してこれは不公平、 fismaができるように設計され、独自のニーズを決定し、各機関内での境界を規定しています。

を含む複数のアプリケーションやシステムを1つのパッケージ

を含めることができ、複数のアプリケーションや情報を1つのシステムでの認証package.toいることを確認し、私にはさっぱり意味でのすべての証明書を作成すると、各パッケージのすべてのシステムでお客様の代理店が存在しています。 認定の境界を定義する必要があり、使用するc ＆パッケージとしてはできるだけ幅広くことができます。 認定を決定する境界線はときどき、 trickiest部分まとめあげる認定package.youを理解する必要がどこにあるの認定を開始したが停止します。 全般的に、境界線を選択する必要があり、大規模な論理が決定しています。 たとえば、もしあなたが認定全般のサポートシステムでは、定義したくなるかもしれませ境界ネットワークのドメインをします。 認定の主要なアプリケーションの場合には、すべてを含める必要があり、インフラの破片をして、アプリケーション触れました。

通常は、アプリケーションのインフラストラクチャによって管理され、別の組織よりも全体的な支援システムの基礎とします。 オペレーティングシステムおよびネットワークのさまざまな情報システムの所有者が、通常よりもアプリケーションです。 c ＆ aの持ち株については、情報システムの所有者の責任、およびそのため、必要にうその境界線内の管轄権の所有者が情報システムを制御します。 認定している場合は、アプリケーションに応じて全体的な支援システムでは、アプリケーションのインストールを取得する上で、これを明確に記載されなければならない基礎全般package.an認定支援システムには、通常よりもさまざまなアプリケーションの認証パッケージがインストールさ上にしてください。 お客様の認証時に、お客様のシステムのセキュリティパッケージとは、部分的に依存して他のシステムでは、その具体的stated.youことができ参照する必要がある他のパッケージと認定されていない他のシステムでは、ドキュメント内の境界線を認定しています。 もっともらしいだろう完璧のような声明を挿入する：

この証明書に記載され、主要なアプリケーションは、パッケージに依存して基礎全般をサポートしていた以前のシステムで認定レベル4 。

リストにする必要があり、他のいかなるパッケージの名前を正式に認定します。パッケージを参照してください。 がわからない場合は、パッケージの名前を検索してみてください。 でもそれは良いのコピーを入手している場合することができます。 いくつかのケースでは、これに反対する可能性があり、セキュリティポリシーエージェント間で情報を共有するような情報の所有者を別の1つです。 しかし少なくとも、外部の情報を共有することができなければならない所有者のお名前と、公式文書には、関連する証明書の発行年月日パッケージにあります。

情報を確認してください

文書が完了したら、送信する前に、それをisso 、送信して最初にして、情報システム開発者および管理者が最もよく知っている現在の情報システムを求めて信用状を発行します。 審査してもらうよう依頼して、すべての事実関係の誤りお知らせします。 ネットワーク図の精度を検討すべきであるします。 もし何か意味がない、それはおそらくきちんと解説していないかのどちらか平野間違っています。 認証および認定は、すべての時間が正確でいることを確認しました。

受信した文書のデザインを検討中、と仮定していないだけに含まれる情報はどのようにしては、アプリケーションや情報システムが実際に開発された。 デザインしくじると経営陣の変更については自分の心の半分の要件をプロジェクトです。 だったんだからといって、情報システムを有効にする1つの方法は、電源ませんでしたということではありませんから、別のway.youを取る必要がすべてを読んで、一粒の塩、と聞いたことについての質問ではありません意味します。

お客様の倫理保持

ほとんどの機関は、すべての情報システムの所有者でチームを望んでいることは、認定制度の見直しを取得する情報システムcertified.theyは必ずしも知りたいことについてはどのように選択することができ、この限りに確認できます。完了です。 にもかかわらずすべてをしなければならない可能性が起こることを、あらゆる手段されていないお客様の倫理妥協します。 c ＆ aのベストプラクティス…

お客様の倫理にしがみつく

倫理決して妥協しています。 発明する必要がありませんな状況下でのセキュリティコントロールが存在していない、またはリスクてきた文書にしていない場合は、状況が変わりました。 場合、情報の所有者またはisso圧力のアイテムは、文書を明らかにしないtrueの場合は、控える必要がありそうすることで、問題を報告して管理しています。 コースを準備している場合は、認証のセキュリティを制御すると、特定のドキュメントを見つけすべきで実装されていませんが、その報告書を取得することをお勧めしissoとできるだけ早く実装します。 限り、彼らは認証パッケージは、実装の前に提出し、お客様のドキュメントはありませんが間違っています。 と思われる場合は絶対にありません方法では、情報を入手するシステムでは、肯定的な認定は、この件についてディスカッションをissoます。 あなたの仕事をすることはできませ認定文書作成のセキュリティ上の問題を解決しなければならなかった以前を置きました。 情報システムの所有者とisso性が高いの両方を認識してセキュリティ管理法が義務付けられて、代わりにする必要があります。 個人の場合は、責任者には、独自の倫理で、彼らは期待できません。エージェントのセキュリティ上の問題を解決することはありません制御します。

ほとんどの代理店情報システムのレベル1認定を取得することができそうで、正しく認証パッケージに記載されます。 しかし、情報システムのセキュリティコントロールを表示されるようにも乏しいとして実装していません正当性を保証するレベル1の認定を満たす必要があり、情報システムの所有者と、 isso 、このアドバイスをしています。 含まれていることを確認正当性を感じることがあまりにもひどく間違っています。 場合、レベル1はできません。正当に入手し、実際には2つの選択肢：

ストップ＆プロセスのcを置き、必要なセキュリティ管理

続行するにはc ＆ aの過程で、既存の安全保障を記録して正確な情報を提供し、評価と期待して、ビジネスの所有者は、付与する権限を暫定的に動作します。

暫定的に権限を運営する （ iato ）は基本的に認定敗者のように、ほとんどの場合iatosの有効期限を6カ月後にします。 iatoを意味すると確信していることが評価している情報の所有者は、少なくとも良いパット努力する適切なセキュリティコントロールを実装しようとします。 そしてそのために、認定代理店を使用して6カ月へ来るのを順守します。 iatoのリストが含まれ、通常のセキュリティコントロールを配置する必要があり、期限が切れたときにiatoます。 当時、 iatoの場合は要件が満たされ、このシステムは、通常の操作権限を受け取る（ ato ）が、そうでない場合、システムをシャットダウンすることができます。 認定を手に持たずに、ガオoig代理店またはお使いのシステムには、コンピュータをシャットダウンします。 しかしながら、その可能性を必要とするoigガオまたはシステムをシャットダウンして、実用的な目的のためには、これが実際の生活ではめったにも起こりません。 確かに、より良いiatoはありません認定である。