Problemen van het ontbreken van een Certificatie / Accreditation Program
Als uw bureau niet een standaard C & A-programma hebt, kan je verwachten dat de C & A-proces zeer verwarrend worden en veel te ingewikkeld. C & A opstellers zal niet weten wat er moet worden opgenomen in elk pakket en beoordelaars zullen niet weten als er iets ontbreekt. Ontbrekende InformatieZonder een C & A-programma, verschillende Certificatie pakketten omvatten verschillende soorten informatie. Bijvoorbeeld, zonder een voorgeschreven en gestandaardiseerde C & A-programma, kan een certificatie verpakking een Information Technology Contingency Plan (ITCP) en anderen misschien niet. Een Certificering Pakket kan onder meer een netwerk topologie kaart, en anderen misschien niet. Wanneer het tijd komt om het gehele pakket Certificatie beoordelen, is het moeilijk om een pakket voor het niet met een informatie-technologie rampenplan mislukken als er geen beleid of organisatorische proces ooit nodig is om een bestaan in de eerste plaats. Het is heel moeilijk om de informatie systeem eigenaars en de ISSOs verantwoordelijk voor het samenstellen van een adequate certificering pakketten houden als uw bureau nog niet heeft gedefinieerd wat precies is een geschikt Certification Package. Gebrek aan organisatieHoewel met vermelding van de juiste informatie om in een Certification Package is van primair belang, moet het formaat van het pakket niet worden vergeten. Een Certificering Pakket kan worden 500 pagina's lang. Tenzij iedereen is op dezelfde manier georganiseerd, zal het erg lastig voor de beoordelaars te waden door de omvangrijke informatie en controle om te zien of al het juiste materiaal is opgenomen. Het is het beste makkelijkste dingen om te doen voor de beoordelaars. Evaluatoren die kan geen kop of munt uit de aan hen voorgelegde informatie, en kan niet vinden belangrijke stukken informatie, zullen worden terughoudend aan te bevelen om een pakket worden geaccrediteerd. Tegenstrijdigheden in het evaluatieprocesU wilt elke Certificering Pakket worden beoordeeld op dezelfde manier. Een bureau mag hebben veel verschillende evaluators.Without enige soort van standaard voor certificering Pakket inhoud of vorm, verlaat u de gehele evaluatie tot de subjectieve mening van een (of een kleine groep) mensen. Verschillende beoordelaars kan de nadruk gelegd op verschillende gebieden. Bij elk pakket hetzelfde formaat heeft organisatorische, verbetert het de kans dat verschillende beoordelaars zal evalueren de pakketten op dezelfde manier, omdat zij gaat op zoek naar, en verwachten hetzelfde type van informatie. Onbekend Security Architecture en ConfiguratieZonder een Certification Package, kan het zijn dat de veiligheid architectuur en configuratie van uw informatie-infrastructuur is niet bekend. Door samen te werken door middel van de C & A-proces, wordt u zich bewust worden van de vraag of dit het geval is of niet. Als de veiligheid architectuur is goed gedocumenteerd, C & A fungeert als een kans om er zeker van de architectuur diagrammen en netwerk kaarten zijn juist te maken. Als het niet goed gedocumenteerd, of helemaal niet gedocumenteerd, dit is iets wat je wilt onderzoek en diagram.The Hetzelfde geldt voor de beveiliging configuratie. Alle software vereist configuraties. Wanneer besturingssystemen en applicaties zijn geïnstalleerd, zelfs als ze goed zijn geïnstalleerd, zijn de veiligheid gedocumenteerd instellingen? Als de beveiligingsinstellingen niet gedocumenteerd zijn, zijn ze in feite onbekend. Zelfs deskundige en ervaren systeembeheerders kunnen meestal niet herinneren elk klein ding dat zij hebben gedaan om een systeem tijdens het configureren, omdat die de huidige systemen en applicaties zo zijn rich.That functie is de reden waarom de beveiliging architectuur en configuratie documentatie is critical.The C & A-proces is ontworpen om te vinden de onbekenden van de veiligheid architectuur en configuratie-instellingen en het oplossen van de onbekenden door het creëren van de nodige documentatie langs de weg. Onbekende risico'sFederale wetten opzij, de voornaamste reden voor het begrijpen van de houding veiligheid van uw informatie-systemen om risico's te identificeren, te begrijpen, en neem verzachtende actions.With C & A undefined links, verlaat u de risico's die u wilt dat uw bureau op zoek naar open voor speculatie . Misschien is het agentschap ISSOs identificeert alle belangrijke risico's, maar misschien zullen ze niet. Een ISSO kan de nadruk gelegd op ramp recovery planning, en een ander kan de nadruk gelegd op het systeem van risico's. Het is onwaarschijnlijk dat ze allemaal dezelfde nadruk gelegd op alle aspecten van informatiebeveiliging. Als het gaat om het identificeren van risico's, zijn er tal van punten om rekening te consideration.There zijn bedrijfsrisico's, het systeem risico's, opleiding risico's, risico's beleid, inventarisatie risico's, en dus on.A goed gedefinieerde C & A-programma zorgt ervoor dat alle relevante soorten risico's in aanmerking genomen. Wetten en Report CardsU kunt worden verrast om te ontdekken dat de woorden "certificering" en "erkenning" worden niet gebruikt in de Federal Information Security Act van 2002. Echter, de wet heel duidelijk de eis van een informatie-beveiligingsprogramma staten, en ook de namen van de vereiste elementen van dat programma. Veel van de vereiste elementen van de opdracht informatiebeveiliging programma zijn die geëvolueerd zijn tot nu bekend als de "Certificatie en Accreditatie." Zelfs als het bureau-brede programma werden geroepen iets anders zeggen: "De Veiligheidsraad Validation Program"-allemaal hetzelfde elementen van het programma zou worden required.You niet moeten opgehangen op het feit dat je niet ziet de termen "certificatie" of "accreditatie" in de schriftelijke law.The genoemde elementen van het programma zijn vereist door de wet niet uit hoe u recht hen. Zonder deze elementen, en zonder een informatie-beveiliging programma, zijn bureaus de wet overtreden. Wat meer is, bureaus die niet de juiste elementen opgenomen in hun informatiebeveiliging programma zal verkrijgen arme Federal Computer Security Report Card rangen. een artikel afkomstig van Hemant Baidwan
|
|||
|