Stepping via het certificatieproces
Er zijn vier hoog niveau fasen van de C & A process.To krijgen van de ene fase naar de andere, veel dingen gebeuren langs de weg. Laat me je helpen begrijpen hoe je van de ene fase naar de volgende. De initiatieffaseDe initiatieffase wordt meestal informeel beheerd door het informatiesysteem eigenaar en de ISSO. Hoewel alle informatie systeem eigenaars moeten zich bewust zijn van het feit dat FISMA vereist nieuwe informatiesystemen om positief te worden erkend, kan deze niet in de voorhoede van hun minds.Therefore, is het geheel waarschijnlijk dat de ISSO de noodzaak voor C & A kunnen brengen aan de aandacht van het informatiesysteem eigenaar. Of de noodzaak voor C & A is een initiatief van het informatiesysteem eigenaar, of de ISSO, een soort erkenning tussen deze twee individuen die een C & A moet plaats moet komen nemen. De erkenning niet hoeft te zijn formeel, of zelfs geschreven. Een eenvoudige conversatie gang kan zolang beide partijen komen volstaan om het erover eens dat het tijd is een C & A-project aan de slag. Tijdens de initiatieffase, dient de informatie systeem eigenaar en de ISSO eens worden over welke middelen te gebruiken om voor de C & A-team voor te bereiden. Beslissingen moeten worden gemaakt over de vraag of aan externe aannemers, of het gebruik inhouse medewerkers in te huren. Sinds C & A, indien goed gedaan, is meestal een veel grotere baan dan de meeste mensen beseffen, kan ik niet genoeg benadrukken de waarde in met behulp van externe adviseurs. Het samenstellen van een certificatie-pakket is een full-time baan en meestal worden de resultaten onvoldoende zijn als de overheid kantoor probeert zijn huidige personeel doubleup naar C & A-taken uit te voeren in combinatie met hun bestaande dagelijkse routine. Bij uitbesteding van de voorbereiding van een Certification Package voor externe adviseurs, is het belangrijk dat de ISSO om ervoor te zorgen dat hij of zij in staat is hiring personen met de juiste deskundigheid op ISSO moeten tal van vragen te stellen aan een mogelijke opdracht onderneming en haar personeel beroep doet voor de Aannemer Officer (COTR) te sluiten een overeenkomst. Vragen die kunnen helpen een ISSO bij het bepalen van de deskundige, C & A-mogelijkheden van de potentiële adviseurs zou kunnen zijn: Want wat heb je andere bureaus uitgevoerd C & A? Heeft u een track record bij het verkrijgen van positieve Accreditaties? Kunt u de naam van de C & A documenten die u ervaren in de voorbereiding? Zult u in staat zijn om vele uitstapjes op het terrein te ontmoeten met ons personeel? Kun je cv voorzien voor de beschikbare adviseurs? Hebt u een beschrijving van uw C & A voorbereiding diensten? Kunt u referenties van andere instanties? Niet alle C & A consulting diensten zijn hetzelfde. Een duidelijke aanwijzing dat een aanbestedende bedrijf niet volledig te begrijpen C & A is als ze slechts een paar soorten documenten in hun C & A service beschrijving lijst. Sommige bedrijven beweren dat C & A te begrijpen, maar bijvoorbeeld, zal een lijst maken dat hun C & A-dienst bestaat uit een Self-Assessment en een Vulnerability Assessment (die uiteraard slechts een deel van de foto). U echt wilt begrijpen consultants die de hele bal huren van was en kan de ontwikkeling van alle documenten die vereist zijn voor C & A. Het zal alleen vertragen en bemoeilijken het proces als je huren, zeg, een onderneming een deel van de deliverables te ontwikkelen en een ander bedrijf naar het andere deel te ontwikkelen. Als het aankomt op het C & A, het vinden van een aanbestedende bedrijf dat one-stop-shopping is echt de meest efficiënte manier om te gaan biedt. Een goede manier om erachter te komen hoe goed een kandidaat aanbestedende bedrijf begrijpt C & A is om hen te vragen voor een project voorstel met ijkpunten ingebouwd in het. Door het vergelijken van verschillende projectvoorstellen side-by-side, moet duidelijk worden welke van de kandidaat aanbestedende bedrijven bieden de beste expertise. Last but not least, voor de voorbereiding van een Certification Package, moet de ISSO heeft enig begrip van de vraag of de voorgestelde Certification pakket zal resulteren in een positieve accreditatie. Als de ISSO weet op voorhand dat de juiste beveiligingsmaatregelen niet zijn ingevoerd, dat de veiligheid niet goed is geconfigureerd en dat de veiligheid beleid niet zijn opgevolgd, is het beter om deze problemen op te lossen vóór het begin van de C & A process.This betekent niet dat C & A is optioneel. Wat ik voorstel, is dat als je weet zwakke punten die correctie nodig is, beginnen ze onmiddellijk te corrigeren. Wacht niet voor C & A de tijd om mee te gaan voordat zij de nodige correcties. NIST adviseert dat de informatie System Security Plan worden geanalyseerd tijdens de initiatie fase. Hoewel er theoretisch is niets mis met deze aanpak, is het vaak het geval dat voor een nieuw informatiesysteem, heeft een System Security Plan bestaan. Bij het samenstellen van de Certification Package, het is een meer waarschijnlijke scenario dat de System Security Plan ofwel zal worden geschreven voor de eerste keer, of herzien en bijgewerkt tijdens de certificering fase. Tijdens een hercertificatie van een pakket dat eerder is geaccrediteerd, een oude System Security Plan zou natuurlijk bestaan. Initiatieffase Mijlpalen Tijdens de initiatie fase moet u deze vragen: Zijn C & A opstellers geïdentificeerd? Heb bekend zekerheid zwakke punten zijn aangepakt? Heeft de van de FIPS 199 zekerheid categorisering is afgerond? De certificeringsfaseDe certificering fase is de periode waarin de certificering pakket wordt voorbereid. Het is tijdens deze fase dat de C & A opstellers (of herziening team) verzamelen van alle bewijsstukken en documentatie, en de ontwikkeling van de nieuwe documenten die nodig zijn voor de Certificatie Package. Indien de voorgestelde C & A is voor een geheel nieuw informatiesysteem, zonder voorafgaande Certificatie pakket zal bestaan. Als de C & A is voor een ouder informatie-systeem, een voorafgaande goedkeuring pakket dient te bestaan en beschikbaar zijn voor herziening. Nieuwe C & As zijn om de drie jaar nodig. Certificering voor een informatie-systeem dat eerder is geaccrediteerd wordt aangeduid als een "hercertificatie." Recertifications vereisen dezelfde suite van documenten die nieuwe Certificering pakketten vereisen. Bij het werken aan een hercertificering, moet de voorafgaande goedkeuring Pakket grondig worden herzien om ervoor te zorgen dat alle risico's eerder aangehaald in de oude Certification pakket zijn beperkt. De C & A review team zal moeten komen op locatie naar het kantoor van het agentschap ter beschikking stond van de ontwikkeling van het informatie-systeem en management team interview. Het is van cruciaal belang voor de C & A review team om zo veel informatie over het systeem mogelijk te leren en vragen zoveel mogelijk vragen necessary.The informatiesysteem eigenaar moeten adviseren zijn of haar ontwikkeling personeel voor de C & A review team en krijgen ze de ruimte zo veel mogelijk informatie mogelijk over het ontwerp en de configuratie van het systeem gepland voor C & A. C & A review teams kunnen bestaan uit overal van een paar mensen, tot een dozijn of meer, afhankelijk van de complexiteit van het informatiesysteem gepland voor C & A. Wat moet bepalen het aantal personen op de C & A-team is de reikwijdte van het project, en het tijdschema van het project. Als u meer reikwijdte, en er minder tijd, de behoefte aan een grotere C & A-team herziening toe. De meeste C & A review teams verplichten ten minste drie maanden minimaal een voldoende Certification Pakket monteren. Het zou niet veel verschillen van de vraag is echter, voor een C & A review team te nemen zes maanden tot een Certification Package voor te bereiden op een grote en complexe infrastructuur. C & A Best Practices ... Certificering Fase Mijlpalen Design en architectuur documenten worden herzien. Kwetsbaarheden worden geïdentificeerd. Bewijs van risicobeperking is geïdentificeerd. Certificering documenten zijn geschreven. Analyse van aanvaardbare risico's voor de makelaar is voltooid. De Accreditatie Fase De Accreditatie fase begint wanneer de certificering pakket is completed.The is evaluatieteam leest door middel van de Certification pakket in zijn geheel, en valideert als de bevindingen juist zijn, en als alle benodigde informatie aanwezig is. Een Certificatie Pakket kan gemakkelijk meer dan 500 pagina's. Ten minste twee tot vier weken moet worden toegewezen voor de Accreditatie fase. De meeste evaluaties teams hebben al voorbereid checklists van bepaalde criteria die zij verwachten te vinden in de Certification Package voordat ze daadwerkelijk de beoordeling beginnen. Als een Certificering Pakket opbrengen document met de beoordelaars, zal een aanbeveling worden gedaan dat het pakket worden positief accredited.The verklarende Agent zal de aanbeveling, en zolang het gerechtvaardigd lijkt, zullen ondertekenen een formele brief van Accreditation.The accreditatie brief zal Ook moet worden ondertekend door de ISSO, de informatie eigenaar, de officiële machtiging, en dan zal worden toegezonden aan de CIO.The CIO wordt verondersteld de ontvangst van de brief te willen bevestigen door het te ondertekenen. C & A Best Practices ... Accreditatie Mijlpalen Indiening van pakket van beoordelaars Herziening en commentaar resolutie Aanbeveling aan accrediteren (of niet) De Continue Monitoring FaseZodra een informatiesysteem is geaccrediteerd, moet voortdurend worden gecontroleerd. Configuratie management veranderingen moeten een op lopende en goed beheerd proces met goedkeuring mechanismen ingebouwd Data van wijzigingen en versies van wijzigingen in de code moeten allemaal worden gedocumenteerd. Beveiligingsmaatregelen moeten ook worden gecontroleerd en eventuele wijzigingen aan hen moet worden gedocumenteerd. Als firewall beleid worden gewijzigd, de wijzigingen en de redenen voor de wijzigingen moeten worden gedocumenteerd. Als intrusion detection configuratie wijzigingen worden aangebracht, moeten ze worden volledig beschreven en de redenen voor de veranderingen moeten gedocumenteerd. Het is vaak het geval dat lang niet genoeg tijd wordt gezet in de Continue Monitoring fase, want zodra een positief Accreditatie is gemaakt, de meeste ISSOs en informatiesysteem voor de eigenaren vaak een zucht van verlichting lijken te ademen en wil de hele C & A-proces gezet achter hen. Het samenstellen van een Certification Package en het verkrijgen van een accreditatie is een enorme taak en doen meer van, na het werk is gedaan, is meestal niet hoog op de agenda van iemand na het feit. Echter, het bijhouden van de documenten up to date zal eventuele toekomstige recertifications veel gemakkelijker. Tenzij het informatiesysteem is het in feite ontmanteld zal moeten worden Recertified in drie jaar. De documenten die een deel van de certificering pakket worden beschouwd levende documenten, en kan worden bijgewerkt op elk moment. Het is het beste te werken de documenten zodra wijzigingen worden aangebracht in de informatie-systemen want dat is wanneer de nieuwe informatie is het meest vers in het geheugen van iedereen. Updaten documentatie lijkt nooit te hoog op de lijst van belangrijke taken in te vullen en om die reden adviseer ik dat actualisering Certification Package documenten worden ingebouwd in het change management proces. Elke keer dat een document wordt bijgewerkt, moet worden herzien en goedgekeurd door de Change Control proces en vervolgens gearchiveerd zowel op lokaal als op een offsite locatie. C & A Best Practices Continue Monitoring Mijlpalen Afstemming van POA & M citaties Documentatie van veranderingen in systeem Doorlopend toezicht op de beveiligingsmaatregelen een artikel afkomstig van Hemant Baidwan
|
|||||
|