Como desenvolver um pacote da certificação

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Antes que você’ll possa começar unir um pacote da certificação, você’necessidade do ll adquirir tanta informação como possível sobre os sistemas ou as aplicações você’ll seja necessidade de certifying.You ser um detetive bom, e para não perder a fé quando os detalhes parecem unclear.The mais informação que você recolhe o clearer os detalhes queira become.You estão a ponto de unir um enigma jigsaw de tecnologia de informação.

Iniciando Seu Projeto de C&A

Quando você começa seu projeto de C&A, don’t esperam que todos que jogou um papel em se tornar e administrar a aplicação ou os sistemas que você está certificando para começar oferecer a informação para você a use.You necessitará fazer exame da iniciativa para sair e coletar tanta documentação como você pode, e conduta entrevista com a equipe de funcionários apropriada. Se você for um consultante, primeiramente você necessitará figurar para fora de quem a equipe de funcionários apropriada é que você necessita falar a. Você está indo ter que perguntar aos muitos do gerente patrocinando de questions.The que o assinaram acima terminando o C&A são a mais melhor pessoa para começar o gerente patrocinando de this.The podem ser o proprietário do sistema, os ISSO, o oficial se contraindo, ou um gerente do desenvolvimento da aplicação.

Unido uma lista do contato

Você necessita primeiramente figurar para fora de quem terá o conhecimento de todos os particularities da segurança da informação system.You deve começar identificando os povos gerente patrocinando que de involved.The deve poder responder a muitos de seu achado de questions.To os povos apropriados que compreendem a segurança do sistema de informação ou dos sistemas que requerem o accreditation, você’necessidade do ll fazer as seguintes perguntas:

 Era a aplicação desenvolvida in-house ou comprada de um vendedor?

 Se a aplicação for comprada de um vendedor for algum customization feito a ela?

 Quem fêz o customization?

 Se a aplicação for desenvolvida in-house, que o projetou?

 Há umas especificações e uns originais do projeto? Quem os tem?

 É a aplicação hospedada no local ou em um local remoto?

 Se a aplicação for hospedada remotamente, que é responsável para suas operações?

Estas perguntas são “que?” perguntas. Das respostas a suas perguntas, você deve poder começar unir uma lista do contato dos povos que foram uma parte do projeto e execução do sistema de informação. Inclua seus números de telefone e endereços do E-mail porque você’necessidade do ll contatá-los frequentemente.

Algumas agências federais são completamente grandes, e devido ao tamanho das operações, às vezes impessoal. Quando você contatar os vários povos em seu contato alista, você’necessidade do ll explicar a eles que você é e a porque você os está contatando. Don’t esperam-nos saber que um projeto de C&A é underway ou uniforme para saber que C&A está aproximadamente. Se você os contatar e o disser que você necessita se encontrar com os para discutir um projeto de C&A, seja preparado para dizer-lhes que C&A significa desde que há uma possibilidade que boa não pode ter um indício o que você está falando sobre.

Encontrar para fora de toda a informação que você necessitará criar um pacote da certificação é bem como ir em uma caça do tesouro. Se você for um consultante exterior, no início do projeto, ele é completamente possível que ninguém a não ser que o gerente patrocinando saiba porque você está no local na agência. Ele’s muito improvável que alguém virá até você e dirá, “eu ouço-me que você é onsite para unir um pacote da certificação para nosso sistema de informação. Estão aqui todas as políticas da segurança, os originais do projeto, e a configuração da segurança do sistema que você necessitará.” Em agências federais grandes, minha experiência foi que ninguém oferece prontamente e rapidamente a informação sobre a segurança do sistema.

Realize uma reunião do kick-Off

Uma vez que você encontrou para fora quem os jogadores da chave são (os povos que foram parte de projetar, de desenvolver, de codificar, e de executar o sistema de informação), você deve programar uma reunião removedora e convidá-los toda. Faça seu mais melhor para dar forma a relacionamentos bons com estes povos porque você se tornará reliant neles para a informação. Durante a reunião removedora introduza-os à equipe de C&A, e explique-lhes momentaneamente que C&A está toda aproximadamente. Durante esta primeira reunião, você deve dizer-lhes que você necessitará tanta documentação como você pode começar no sistema de informação particular que é slated para o accreditation. Peça-os se eles E-mail da lata você documentação o mais cedo possível; se não podem fazer exame de semanas para começá-la a you.You necessitarão a informação no projeto, desenvolvimento, execução, configuração, topologia da rede, e testar da informação system.You necessitará rever toda esta documentação para encontrar os bocados de informação direitos para pôr no pacote da certificação.

Obtenha Todos os Guidelines Existentes Da Agência

É chave encontrar para fora se a agência que você está trabalhando para tiver um manual de C&A. As agências que têm no passado marcado bem em seus cartões federais do relatório da segurança do computador têm provavelmente um. As agências que marcaram mal em seu cartão do relatório não podem ter um. Se um manual existir, você deve seguir todos os guidelines escritos nele ao preparar seu pacote da certificação—mesmo se são guidelines pobres. Se a equipe da avaliação fizer seu trabalho corretamente, estará avaliando o pacote da certificação para como bom segue o manual e as exigências da agência C&A.

Se um manual existir, e você pensar que as partes dele são assim erradas que você o shouldn’t o segue, você necessita fazer exame acima deste com o ISSO e a equipe da avaliação do pacote antes de fazer alguma decisão. Quando você se está preparando um pacote da certificação não é necessariamente o mais melhor momento de tentar começar a agência mudar seus regulamentos e políticas. Se você pensar de que algumas partes dele estão incorretas, antes que você vá adiante e se decida ir sua própria maneira e criar um pacote “” mais correto da certificação, traga as edições à atenção do ISSO e ofereça a justificação a respeito de porque você gostaria de proseguir diferentemente. Algumas agências falharão seu pacote da certificação se você don’t seguir seu manual—mesmo se o manual é errado.

Todas as agências são supostas ter um manual e os moldes para estandardizar o processo de C&A. Entretanto, algumas agências são preparadas mais menos do que outras, e se você embark em um projeto de C&A, e encontram para fora que nenhum manual ou molde existem, que você’o ll tem que fazer without.You pode imóvel unido um pacote contínuo da certificação sem um manual ou moldes, e se você fizer um trabalho bom, talvez você será alistado como um contribuinte futuro para desenvolver o manual e os moldes tão necessários. Se um manual de C&A não estiver atual, veja então se a agência do pai tiver um. Para o exemplo um departamento do departamento ou da agência não pode ter seu próprio manual, mas a agência do pai pôde. Se nenhum manual de C&A em todo existir, figura para fora de que metodologia sua agência deve usar (NIST, DITSCAP, NIACAP, DCID 6/3) e olhar àquela para a orientação.

Analise Sua Pesquisa

Uma vez que você recebeu os vários originais dos colaboradores e dos administradores do sistema de informação, você’necessidade do ll analisar estes originais para ver se incluírem o tipo da informação que você’necessidade do ll incluir no pacote da certificação. É provável que muita da informação que você necessita para o pacote da certificação não estará incluída nos vários originais você recebe. Se o system(s) da informação que estão acima para C&A for acreditado previamente, então um pacote prévio da certificação exist.You deve fazer-lhe um ponto para rever o pacote prévio da certificação, e usa toda a informação dele que é ainda relevante. Se qualquer coisa parecer incorreto no pacote prévio da certificação, você deve corrigi-lo, mesmo se não cited para ciencies do defi- no accreditation prévio.

Unido uma lista das perguntas a respeito dos tipos das coisas você necessita ainda encontrar para fora dos colaboradores e dos administradores do sistema de informação, e as reuniões da programação com os povos de que você pensa podem melhor responder a suas perguntas. Mantenha encontrar-se com a equipe e contatá-los no telefone e pelo E-mail até que todas suas perguntas estejam respondidas. Faz exame frequentemente de diversos círculos dos inquéritos antes que você receba toda a informação apropriada.

Preparando os originais

Embora haja provável nenhuns regulamentos que o requerem unir o pacote da certificação documente em toda a ordem particular, eu aconteço pensar de que a ordem em que você une os originais é importante. Para o exemplo, se você unir o inventário da ferragem e do software acima da parte dianteira, ajudar-lhe-á em escrever o texto descritivo sobre os limites do accreditation que são requeridos na planta da segurança do sistema. Em alguns casos, pode fazer o sentido para que você mude a ordem destes originais ao unir seu pacote da certificação. O ponto principal a remover é que se um original contiver a informação que é dependente de um original prévio, desenvolva o original prévio primeiramente. Será duro saber avaliar o impacto do outage dos recursos alistados na avaliação do impacto do negócio se você don’t contudo sabe o que os recursos são—se o inventário da ferragem e do software não for terminado ainda.

Ele’aprovação de s a ser redundante

Muitos dos originais no pacote da certificação incluem a informação que é redundante de um original à razão de next.The para este é porque cada original necessita poder estar no seus próprios. Alguma da informação que você encontra para alguns dos originais mais adiantados enlata e deve ser usada em documents.You subseqüente quer dar a impressão que todos os originais são consistentes com se e suportar cada other.Though em muitos formulários da escrita que é redundante não é desejável, na certificação crafting empacota, ele é necessária. Uma das coisas que os avaliadores procuram é inconsistências entre os vários originais do pacote da certificação. Todas as inconsistências geralmente levantam uma bandeira e chamam-se para uma inspeção mais próxima.

As Agências Diferentes Têm Exigências Diferentes

Não todas as agências requerem o exato os mesmos originais para C&A. FISMA permite a flexibilidade, e uma agência pode reque determinados originais que outras agências don’t require.Though que se poderia discutir que este é inequitable, FISMA estêve projetado permitir que cada agência determine suas próprias necessidades dentro dos limites da estipulação.

Including aplicações múltiplas e sistemas em um pacote

Você pode incluir aplicações múltiplas e os sistemas de informação em uma certificação Package.To sejam certos, ele não fazem nenhum sentido em tudo criar um pacote da certificação para cada sistema que existe em sua agência. Você deve definir os limites do accreditation de seu pacote de C&A tão amplamente como você possivelmente lata. Determinar os limites do accreditation é às vezes a parte a mais complicada de unir uma necessidade da certificação Package.You compreender onde o accreditation começa e para. No general, você deve escolher uma determinação do limite que seja grande e lógica. Para o exemplo, se você estiver acreditando sistemas de sustentação gerais, você pode querer definir seu limite por domínios da rede. Se você estiver acreditando aplicações principais, você necessitará incluir todas as partes do infrastructure em que a aplicação toca.

O infrastructure da aplicação é controlado geralmente por uma organização diferente do que os sistemas de sustentação gerais subjacentes. Os sistemas operando-se e a rede têm tipicamente proprietários diferentes do sistema de informação do que as aplicações. C&A é sobre manter proprietários do sistema de informação accountable, e conseqüentemente, os limites necessitam encontrar-se dentro do excesso do jurisdição que o proprietário do sistema de informação tem o controle. Se você estiver certificando uma aplicação que seja dependendo dos sistemas de sustentação gerais de que a aplicação começa instalada no alto, a seguir esta deve claramente ser indicada na certificação Package.An que o sistema de sustentação geral subjacente tem geralmente um pacote diferente da certificação do que as aplicações que são instaladas no alto dela. Quando seu pacote da certificação e a segurança de seus sistemas estão no dependente da parte em outros sistemas, esses necessita ser especificamente stated.You pode reference outros pacotes da certificação e outros sistemas que não estão dentro de seus limites do accreditation em sua documentação. Seria perfeitamente plausible introduzir uma indicação como:

As aplicações principais descritas neste pacote da certificação são dependentes dos sistemas de sustentação gerais subjacentes que têm sido acreditados previamente no nível 4.

Você deve alistar o nome formal do pacote da certificação de todos os outros pacotes que você reference. Se você don’t saiba o nome do pacote, tentativa para encontrá-lo para fora. Ele’s mesmo melhor obter uma cópia dela se você puder. Em alguns casos, pode estar de encontro às políticas da segurança da agência para compartilhar de tal informação entre um proprietário da informação a outro. Entretanto muito no menos, um proprietário exterior da informação deve poder compartilhar com você da data do nome e da publicação do original oficial do pacote relacionado da certificação.

Verifique Sua Informação

Uma vez que você terminou um original, antes de o submeter ao ISSO, emita-o para fora primeiramente aos colaboradores e aos administradores do sistema de informação que são os mais familiares com os sistemas que de informação você está procurando acreditar. Peça que rev a e informem-no de todos os erros factual. Os diagramas da rede devem também ser revistos para a exatidão. Se algo o doesn’t fizer o sentido, ele’s provavelmente erro nao well-documented ou liso. A certificação e o accreditation são um momento de assegurar-se de que tudo seja exata.

Em rever os originais do projeto que você recebe, não suponha apenas que a informação contida neles é como os sistemas da aplicação ou de informação foram desenvolvidos realmente. Os projetos vão awry e a gerência muda suas mentes sobre exigências incompletamente em um projeto. Apenas porque um sistema de informação foi suposto para girar para fora do one-way, meio’do doesn t volta’do didn t para fora de uma necessidade diferente de way.You fazer exame de tudo que você lê com uma grão do sal, e faz perguntas sobre as coisas que don’t fazem o sentido.

Retenha Seu Ethics

Em a maioria de agências, todo o proprietário do sistema de informação quer a equipe da revisão da certificação fazer deve começar os sistemas de informação certified.They don’t quer necessariamente saber você irá sobre fazer isto tão por muito tempo como você o começa feito. Mesmo que você deva fazer tudo possível fazer que acontece, por todos os meios não comprometa seu ethics. As Mais melhores Práticas de C&A…

Prenda rapidamente a seu ethics

Nunca comprometa seu ethics. Sob nenhumas circunstâncias você inventar os controles da segurança que não existem, ou documente que os riscos mitigated se eles o haven’t. Se o proprietário da informação ou o ISSO o exercerem pressão sobre para documentar os artigos que não são obviamente verdadeiros, você deve refrain de fazer assim e relatar o problema a sua gerência. Se no curso de preparar os originais da certificação você encontrar que determinados controles da segurança que devem ter sido executados não eram, relate que ao ISSO e recomende que começam executados o mais cedo possível. Tão por muito tempo como são executados antes que o pacote da certificação esteja submetido, sua documentação não estará incorreta. Se você sentir que não há absolutamente nenhuma maneira os sistemas de informação obterão um accreditation positivo, discutem isto com o ISSO. Não é seu trabalho como um preparer do original da certificação resolver os problemas da segurança que devem ter sido postos no lugar previamente. O proprietário do sistema de informação e os ISSO são prováveis ambos os cientes que os controles da segurança estão exijidos pela lei, e necessitam estar no lugar. Se forem indivíduos responsáveis com ethics do seus próprios, não o esperarão resolver problemas da segurança da agência que você não tem nenhum controle sobre.

A maioria de sistemas de informação da agência podem provavelmente obter um accreditation do nível 1 com um pacote corretamente documentado da certificação. Entretanto, se os controles da segurança em sistemas de informação parecerem ser executados assim mal a respeito da autorização nao uniforme um accreditation do nível 1 você deve encontrar-se com o proprietário do sistema de informação e o ISSO e recomendá-los deste. Seja certo incluir a justificação a respeito de o que você sente é assim terrìvel errado. Se um nível 1 não puder justifiably ser obtido, há realmente duas escolhas:

 Pare o processo de C&A e ponha-o no lugar que a segurança necessária controla

 Continue com o processo de C&A, documentando a informação existente exata da segurança, e espere que o avaliador conceda ao proprietário do negócio uma autoridade do ínterim para se operar.

Uma autoridade do ínterim a operar-se (IATO) está bàsicamente como um accreditation do consolation, e em a maioria de casos que IATOs expira após seis meses. Um IATO significa que você convenceu os avaliadores que o proprietário da informação está pondo ao menos adiante um esforço bom em tentar executar controles apropriados da segurança. E para essa razão, o agente certificando dá-lhe seis meses para vir na conformidade. Um IATO geralmente incluirá uma lista dos controles da segurança que necessitarão estar no lugar quando o IATO expira. Nesse tempo, se as exigências do IATO forem encontradas com, o sistema geralmente receberá uma autoridade à operação (ATO), mas if.not, os sistemas podem ser fechados para baixo. Sem um accreditation à disposicão, o GAO ou a agência OIG podem vir dentro e fechar seus sistemas para baixo. Entretanto, embora o GAO ou o OIG poderiam reque os sistemas ser fechado para baixo, para finalidades práticas, na vida real isto acontece raramente. Certamente um IATO é melhor do que nenhum accreditation em tudo.

este é um artigo adicionado por Hemant Baidwan


Disclaimer: Nosso Web site não é responsável para a informação contida por este artigo. Este artigo em nenhuma maneira reflete as vistas, as opiniões, os pensamentos ou a opinião da equipe de funcionários do diretório dos artigos.

Observação da tradução: O artigo "como desenvolver um pacote da certificação" foi traduzido usando um serviço de tradução automatizado. Nós desculpamo-nos sincerely por todos os erros da tradução que ocorram. Obrigado compreendendo.


Online: 1197 users browsing the articles directory