Как разработать пакет Сертификация

Прежде чем Вы сможете начать воедино Сертификационный пакет, нужно получить как можно больше информации по поводу систем или приложений вы будете certifying.You необходимо хорошее детектив, и не теряет веры, когда Детали появляются unclear.The Дополнительную информацию вы получить четкие детали будут become.You собираемся воедино информационных технологий головоломки.

Инициализация диска C и проект

Когда вы начинаете вашу C и проект, не ожидаем каждый, кто сыграл роль в разработке и управляющие приложения или системы вы удостоверяющих начать добровольчества информация для Вас use.You придется взять на себя инициативу и выйти собирать, как много документации, как вы, а также проведение интервью с соответствующими сотрудниками. Если Вы являетесь консультантом, прежде нужно понять, кто соответствующих сотрудников, что нужно говорить. У Вас будет задавать много questions.The авторам менеджеру, что вы подписаны на завершение С и А - это наилучший человек для начала this.The авторам менеджер может быть владельцем системы, в ISSO, стороны сотрудника, или заявки развития менеджера.

Составить с список контактов

Сначала необходимо выяснить, кто будет знать все особенности безопасности информации системой следует начать с определения людей involved.The авторам менеджер должен быть в состоянии ответить на многие ваши questions.To найти нужную людей, которые понимают безопасности информационной системы или систем, которые требуют аккредитации, нужно задать следующие вопросы:

Разве применения развитых в дом или приобретены у продавца?

Если ходатайство было приобретено у поставщика какие-либо настройки ею?

Кто же настройкой?

Если заявка была разработана в доме, который он разработан?

Есть разработки спецификаций и документов? Кто они?

Является ли применение размещается на месте или на удаленный сайт?

Если заявка находится удаленно, который несет ответственность за свою деятельность?

Эти вопросы - "Кто?" Вопросы. Из ответов на ваши вопросы, вы сможете начать воедино контактный список людей, которые были частью разработки и реализации информационной системы. Включите их номера телефонов и адреса электронной почты, поскольку вам необходимо связаться с ними часто.

Некоторые федеральные учреждения довольно крупные, и из-за размера операций, иногда безличный. Когда Вы связываетесь различных людей, списка контактов, нужно объяснить им, кто вы и почему вы обратиться. Не ожидать, чтобы они знали, что C и проекта осуществляется или даже знать, что С и А, о. Если вы с ними связаться и сказать, что нужно встретиться с ними для обсуждения C и проект, будьте готовы рассказать им то, что С и А поскольку средства есть хороший шанс они не могут иметь понятия, чем вы говорим.

Выяснение всю информацию вам нужно создать Сертификационный пакет значительно как пойти на охоту сокровище. Если вы являетесь внешним консультантом, в начале проекта, это вообще возможно, что никто, кроме руководителя организации будет знать, почему вы на месте на агентство. Это очень маловероятно, что кто-то придет от вас и сказать: "Я слышал, что вы на месте создается Сертификационным Пакет для нашей информационной системы. Здесь все политики безопасности, проектной документации, и безопасность конфигурация системы, что вам нужно. "В крупных федеральных учреждений, мой опыт показывает, что никто не легко и быстро добровольцев сведения о системе безопасности.

Провести Kick - Внедорожник совещание

После того как вы выяснили, кто ключевых игроков (людей, которые являлись частью проектирования, разработки, кодирования и реализации информационной системы), вы должны запланировать Стартовая совещание и пригласить их всех. Делайте все возможное для формирования хороших отношений с этих ребят, потому что Вы станете полагаться на них информации. За Стартовая совещания ознакомить их с С и группы В, и разъяснить им, какие кратко С и А, все относительно. На этом первом заседании, вы должны сказать им, что вам потребуется больше документации, можно получить на конкретную информационную систему, которая планируется для аккредитации. Спросите их, если они могут по электронной почте вам документацию как можно скорее; Иначе они могут принимать недели, чтобы он you.You потребуется информация о проектировании, разработке, реализации, конфигурации, топологии сети, и тестирование информационной системы. Вам придется пересмотреть все документы для этого найти правильный бит информации поместить в сертификации пакет.

Получение любых существующих руководящих агентства

Она является ключом, чтобы выяснить агентства Вы работаете на C имеет и справочник. Учреждения, которые в прошлом хорошо забит на их федерального Computer Security Доклад карты вероятно, у него есть. Агентств, которые добились плохо их табеле не может один. Если руководство существует, вы должны следовать все руководящие принципы написаны на это при подготовке сертификации пакета - даже если они бедны руководящих принципов. Если группа по оценке делает свою работу должным образом, они будут оценки сертификации упаковки о том, как хорошо она соответствует учреждение C и справочник и требований.

Если руководство существует, и Вы считаете его частей настолько неправильно, что вы не должны следовать ему, нужно заняться этим с ISSO и пакет группы по оценке до принятия каких-либо решений. Когда вы готовит пакет сертификации не обязательно лучшее время попытаться получить агентство изменить свои правила и политики. Если вам кажется, что некоторые его части являются неправильными, перед тем как вы пойдете вперед и решают идти свой путь и создать более "правильной" Сертификация пакет, привлечь к проблемам внимание на ISSO и предлагают обоснование того, почему вы хотите действовать иначе. Некоторые учреждения не удастся вашей сертификации упаковки, если не следовать их руководство, даже если руководство неверно.

Все учреждения, как предполагается, должны иметь руководства и шаблоны стандартизировать A и C процесса. Однако некоторые учреждения менее подготовлены, чем другие, и если встать на C и проект, и узнал, что нет справочника или шаблонов существует, вам надо сделать without.You сможете разработать прочную Сертификация Пакет без справочника или шаблонов, и если вы делаете хорошую работу, возможно, вам будут заноситься в будущем вклад в развитие столь необходимого руководства и шаблоны. Если C и справочник не присутствует, то ли родитель имеет одного агентства. Например, бюро или отдел учреждения могут не иметь своих собственных книге, но родитель может агентства. Если не C и руководство вообще существует, выяснить, какие методики Ваше агентство следует использовать (НИСТ, DITSCAP, NIACAP, DCID 6 / 3) и посмотрите, как и для руководства.

Анализ ваших исследований

Как только вы получили документы из различных информационных систем разработчики и администраторы, вам нужно проанализировать эти документы, чтобы, если они относятся рода информация, что вам придется включить в пакет сертификации. Вполне вероятно, что значительная часть информации Вам необходимо для сертификации пакет не будет включена в различные документы, которые Вы получаете. Если информационную систему (ы), которые на C и А были ранее аккредитованы, а затем до сертификации Пакет должен exist.You должны сделать точку для обзора до сертификации упаковки, и использовать любую информацию, что по-прежнему актуальна . Если что-либо неправильно, как в предыдущем Сертификация пакет, вы должны исправить это, даже если она не оправдывающих определение ciencies в ранее аккредитации.

Разместите вместе перечень вопросов, касающихся рода вещи вы должны узнать из информационной системы разработчики и администраторы, и график встреч с ребят, что вы считаете лучше ответить на ваши вопросы. Следите совещании с группой и обратиться по телефону и по электронной почте до тех пор, пока все ваши вопросы ответил. Она часто занимает несколько раундов запросов до вы получите всю необходимую информацию.

Подготовка документов

Хотя, вероятно, нет правил, которые понадобятся воедино сертификации пакет документов в любом порядке Мне кажется, что порядок, в котором Вы разместили документы вместе важно. Например, если вы воедино аппаратного и программного обеспечения Перечень сразу, это поможет вам в письменном виде описательного текста относительно границ аккредитации, которые необходимы в системе безопасности плана. В некоторых случаях это может иметь смысл для вас, чтобы изменить порядок, когда эти документы воедино ваши Сертификация пакет. Основной момент забрать, что если документ содержит информацию, которая зависит от предварительного документа, разработке предварительного документа первым. Это будет трудно узнать, как оценивают последствия отключений активов, перечисленных в деловой оценке воздействия, если Вы пока не знаете, какие активы - если аппаратура и программное обеспечение инвентаризации еще не завершен.

Хорошо это будет избыточная

Многие документы в сертификации Пакет включает информацию о том, что является излишним от одного документа к next.The Причина в том, что каждый документ должен иметь возможность стоять на своих собственных. Некоторая информация, что вы найдете некоторые более ранние документы могут и должны использоваться в последующих documents.You хотят создать впечатление, что все документы соответствуют друг другу и поддерживают друг other.Though во многих форм написания является излишним является нежелательным, в разработке Сертификация пакеты, это необходимо. Одна из вещей, которые по оценке искать несоответствий между различными сертификации пакет документов. Любые несоответствия, как правило, поднять флаг и призываем к более тесному инспекции.

Различные учреждения имеют различные потребности

Не все учреждения требуют одинаковых документов для C и A. FISMA позволяет гибкость, и одно учреждение может потребовать определенные документы, что и другие учреждения не require.Though можно утверждать, что это несправедливым, FISMA призвана позволить каждому учреждению определить свои собственные потребности в границах положение.

Включая несколько приложений и систем в одном пакете

Вы можете включить несколько приложений и информационных систем в одной сертификации Package.To Конечно, она не имеет никакого смысла вообще создать Сертификация Пакет для каждой системы, которая существует на Ваше агентство. Вы должны определить границы аккредитации Вашего C и пакет в целом, как вы возможно. Определение границ аккредитации иногда trickiest части воедино Сертификационный Package.You необходимо понять, где аккредитации запускает и останавливает. В общем, вы должны выбрать границы определения, что является большим и логичным. Например, если вы аккредитации общих систем поддержки, вы можете задать свои границы сетей доменов. Если вы аккредитации крупных заявок, вам придется включать все элементы инфраструктуры, что применение затрагивает.

Обычно применение инфраструктуры находится в ведении другой организации, чем основной общей системы поддержки. Операционные системы и сети, как правило, различные информационные системы, чем владельцы приложений. С и А, о проведении информационной системы подотчетны собственникам, и поэтому границы должны находиться в юрисдикции, в которых информационная система владелец контроля. Если вы сертификации приложение, которое в зависимости от общей системы поддержки, что применение будет установлена поверх, то это должно быть четко указано в сертификации Package.An лежащие общую поддержку системы, как правило, имеет иную сертификации упаковки, чем заявок, которые установлены поверх него. Когда ваши Сертификация Тара и безопасность Вашей системы в части зависят от других систем, что необходимо конкретно stated.You могут содержать ссылки на другие пакеты сертификации и других систем, которые не в вашей аккредитации границ в вашей документации. Было бы вполне правдоподобным включить заявление, таких как:

Основное применение описанных в этой сертификации пакета зависит от основополагающих общих систем поддержки, которые были ранее аккредитованы на уровне 4.

Вы должны вставить список официальных Сертификация Пакет название любые другие пакеты, которые вы ссылки. Если вы не знаете имя пакета, попытаться найти его. Она даже лучше получить копию, если можно. В некоторых случаях он может быть против политики безопасности этого учреждения делиться такой информацией между информация владельца к другому. Однако, по крайней мере, вне владельца информации должны иметь возможность поделиться с вами официальный документ имя и даты публикации соответствующей сертификации пакет.

Проверьте введенную информацию

После выполнения документа перед его отправкой на ISSO, отправить его сначала в информационной системе разработчики и администраторы, которые наиболее знакомы с информационными системами Вы ищете аккредитует. Попросите их рассмотреть и сообщить Вам о каких-либо фактических ошибок. Сеть диаграммы также следует пересмотреть характеристики. Если что-то не имеет смысла, вероятно, это либо не обоснованных или просто ошибаются. Сертификации и аккредитации - время чтобы все точно.

При рассмотрении проектной документации, которые вы получаете, не просто предположить, что информация, содержащаяся в них, как применения информационных систем или фактически развитых. Промышленные пойти наперекосяк и управленческие изменения их умах около половины потребностей в проект. Просто потому, что информационная система должна была бы перейти в одну сторону, не означает, что его не оказаться иной way.You необходимо принять все, что вам читать с зерном соли, и задать вопросы о вещи, которые не делают смысле.

Сохранить вашей этики

В большинстве учреждений, всех информационной системы владелец хочет сертификации группы по рассмотрению сделать, это получить информационных систем certified.They не всегда хотят знать, как вы будете заниматься этой до тех пор, пока вам это сделать. Даже если вы должны сделать все возможное для того, что произойдет, все средства не компрометировать этики. С и А передовая практика…

Удерживайте быстро вашим этики

Никогда не компрометировать этики. Ни при каких обстоятельствах вы изобретать контроля безопасности, что не существует, или документ, что риски были смягчены, если они еще не. Если информация владельца или ISSO давление вас к документу товары, которые явно не так, вы должны воздерживаться от этого доклада и проблема с Вашим управлением. Если в ходе подготовки документов по сертификации вы обнаружите, что некоторые контроля безопасности, которые должны были быть выполнены не были, сообщает, что в ISSO и рекомендуют им получить как можно скорее. До тех пор, пока они осуществлены до сертификации Пакет представляется, ваша документация не будет неправильно. Если Вы считаете, что нет абсолютно никаких образом информационных систем позволит получить положительный аккредитации, обсудить это с ISSO. Это не Ваша работа в качестве документа Сертификация разрабатывать решения проблем безопасности, которые должны были ввести в действие ранее. Информационная система собственника и ISSO, вероятно, как известно, что контроля безопасности предписывается законом и необходимо в силе. Если они несут ответственность лиц с этикой своих собственных, они не будут ожидать Вас разрешения агентства проблем безопасности, что вы не в состоянии контролировать.

Большинство агентство информационных систем могут вероятность получения уровня 1 по аккредитации с оформленные документы Сертификация пакет. Однако, если контроля безопасности информационных систем, по-видимому, это плохо выполнены, чтобы даже не требуют уровня 1 аккредитации Вам следует встретиться с собственником информационной системы и ISSO и сообщить им об этом. Обязательно укажите оправдания, в какой Вы чувствуете это ужасная ошибка. Если Уровень 1 не может быть обоснованно получить, там действительно два варианта:

Остановите C и процесс и создать необходимые контроля безопасности

Продолжить с A и C процесса документирования точных существующих безопасности информации, и надеюсь, что оценщик будет предоставить владельцу бизнеса Временной администрации эксплуатация.

Одним временной администрации эксплуатация (IATO), в основном, как утешение аккредитации, и в большинстве случаев IATOs истекает через шесть месяцев. В IATO означает, что вы убеждены в том, что по оценке владельца информации, по меньшей мере сдачи указанных хороший усилий для осуществления надлежащего контроля безопасности. И по этой причине, удостоверяющий агент дает вам шесть месяцев прийти в соответствие. В IATO обычно будет включать перечень контроля безопасности, которые будет необходимо в тех случаях, когда IATO истекает. В это время, если требования о IATO были выполнены, система, как правило, будет получать администрации операции (АТО), но если нет, но системы могут быть закрыты. Без аккредитации в стороны, ГАО или учреждение OIG можно и завершить Вашу систему вниз. Однако, хотя ГАО или OIG может потребовать систем будет закрыта, для практических целей, в реальной жизни это происходит редко. Конечно один IATO лучше, чем отсутствие аккредитации на всех.