Treten durch den Bescheinigung-Prozeß
Es gibt vier hochqualifizierte Phasen zum C&A process.To erhalten von einer Phase zu anderen, eine Menge Material geschieht entlang der Weise. Lassen Sie mich Ihnen helfen, zu verstehen, wie man von einer Phase zum folgenden erhält. Die AnfangsphaseDie Anfangsphase wird normalerweise formlos durch den Informationssysteminhaber und das ISSO gehandhabt. Obgleich alle Informationssysteminhaber die Tatsache berücksichtigen sollten, daß FISMA neue Informationssysteme erfordert, positiv beglaubigt zu werden, kann dieses möglicherweise nicht an der vordersten Reihe ihres minds.Therefore, es sein ist zusammen wahrscheinlich, daß das ISSO die Notwendigkeit an C&A zur Aufmerksamkeit des Informationssysteminhabers holen kann. Ob die Notwendigkeit an C&A durch den Informationssysteminhaber oder das ISSO eingeleitet wird, sollte irgendeine Art der Bestätigung zwischen diesen zwei Einzelpersonen, die ein C&A benötigt, um stattzufinden, auftreten. Die Bestätigung muß nicht formal sein, oder sogar geschrieben. Ein einfaches Hallwaygespräch kann so lang genügen, wie beide Parteien kommen, darin übereinzustimmen, daß es’s Zeit, ein C&A Projekt zu erhalten begann. Während der Anfangsphase sollten der Informationssysteminhaber und das ISSO über, welche für zum C&A zu verwenden Betriebsmittel einigSEIN, Mannschaft vorbereiten Sie. Entscheidungen müssen an getroffen werden, ob man äußere Fremdfirmen anstellt oder innerbetrieblichen Personal verwendet. Da C&A, wenn es richtig getan wird, normalerweise ein viel grösserer Job ist, als die meisten Leute verwirklichen, kann ich nicht genügend den Wert hervorheben, wenn ich äußere Berater verwende. Ein Bescheinigung-Paket zusammenzufügen ist ein ganztägiger Job und normalerweise sind die Resultate unzulänglich, wenn die Regierungsstelle zum doubleup seinen vorhandenen Personal versucht, zum von von C&A Aufgaben in Verbindung mit ihrem bestehenden täglichen Programm durchzuführen. Im Outsourcing die Vorbereitung eines Bescheinigung-Pakets zu den äußeren Beratern, ist es wichtig für das ISSO, sicherzugehen, daß er oder sie fähige Einzelpersonen mit dem passenden expertise.The ISSO sollten zahlreiche Fragen zu einer möglichen Vertrag Firma und zu seinem Personal stellen anstellen, bevor er den Fremdfirma-Offizier (COTR) einträgt um eine Vereinbarung zu schließen. Fragen, die ein ISSO unterstützen können, wenn sie die Experte C&A Fähigkeiten der möglichen Berater feststellen, konnten sein: Für was andere Agenturen haben Sie C&A durchgeführt? Haben Sie eine Schiene Aufzeichnung, wenn Sie positive Beglaubigungen erreichen? Können Sie die C&A Dokumente nennen, daß Sie beim Vorbereiten erfahren werden? $$$SIND Sie in der Lage, zahlreiche Reisen auf Aufstellungsort unseren Personal treffen zu lassen? Können Sie Zusammenfassungen für die vorhandenen Berater zur Verfügung stellen? Haben Sie eine Beschreibung Ihrer C&A Vorbereitung Dienstleistungen? Können Sie Hinweise von anderen Agenturen zur Verfügung stellen? Nicht alle C&A Beratungsdienste sind dieselben. Ein sicheres Zeichen, daß eine Vertrag abschließendes Firma nicht völlig C&A versteht, ist, wenn sie nur einige Dokument verzeichnen, eintippt ihre C&A Service-Beschreibung. Einige Firmen behaupten, C&A, aber für Beispiel zu verstehen, verzeichnen, daß ihr C&A Service aus einer Selbstbewertung und einer Verwundbarkeit-Einschätzung besteht (die des Kurses nur Teil des picture).You möchten wirklich Berater anstellen ist, die die gesamte Kugel des Wachses verstehen und alle Dokumente entwickeln können, die für C&A erfordert werden. Es verlangsamt nur und erschwert den Prozeß, wenn Sie sagen wir eine Firma anstellen, um Teil der deliverables und einer anderen Firma zu entwickeln, um das andere Teil zu entwickeln. Wenn es zu C&A kommt, eine Vertrag abschließendes Firma ist zu finden, die das Ein-stoppeneinkaufen anbietet, wirklich die leistungsfähigste Weise zu gehen. Eine gute Möglichkeit, herauszufinden wie gut eine Bewerbervertrag abschließendes Firma C&A versteht, soll sie um einen Projektvorschlag mit den Meilensteinen bitten, die in sie errichtet werden. Indem es nebeneinander unterschiedliche Projektvorschläge vergleicht, sollte sie frei werden, die von den Bewerbervertrag abschließende Firmen die beste Sachkenntnis anbieten. Dauern Sie, aber nicht wenige, bevor sie ein Bescheinigung-Paket, das ISSO vorbereiten, sollten etwas Verständnis von haben, ob oder nicht das vorgeschlagene Bescheinigung-Paket eine positive Beglaubigung ergibt. Wenn das ISSO herauf Frontseite weiß, daß korrekte Sicherheit Kontrollen nicht in Platz gesetzt worden sind, daß Sicherheit unsachgemäß zusammengebaut wird und daß Sicherheit politische Richtlinien nicht an gehaftet worden sind, vor dem Beginn des C&A process.This, ist es besser, diese Probleme zu regeln bedeutet nicht, daß C&A wahlweise freigestellt ist. Was ich bin daß vorschlage, wenn Sie von den Schwächen wissen, die Korrektur erfordern, fangen Sie an, sie sofort zu beheben. Ziehen Sie’t Wartezeit an, damit C&A Zeit entlang kommt, bevor Sie die notwendigen Korrekturen bilden. NIST rät, daß der Informationssystem-Sicherheit Plan während der Anfangsphase analysiert wird. Obgleich es nichts theoretisch falsch mit dieser Annäherung gibt, ist es häufig der Fall, der für ein neues Informationssystem, ein System Sicherheit Plan besteht. Wenn es das Bescheinigung-Paket zusammenfügt, ist es ein wahrscheinlicheres Drehbuch, daß der System Sicherheit Plan entweder zum ersten Mal geschrieben wird oder während der Bescheinigung-Phase verbessert und aktualisiert. Während eines recertification eines Pakets, das vorher beglaubigt worden ist, würde ein alter System Sicherheit Plan selbstverständlich bereits bestehen. Anfangsphase Meilensteine Während der Anfangsphase sollten Sie diese Fragen stellen: Sind C&A Vorbereiter gekennzeichnet worden? Sind bekannte Sicherheit Schwächen adressiert worden? Ist von der FAVAS 199 Sicherheit Kategorisierung durchgeführt worden? Die Bescheinigung-PhaseDie Bescheinigung-Phase ist der Zeitabschnitt, in dem das Bescheinigung-Paket vorbereitet wird. Sie ist während dieser Phase, der die C&A Vorbereiter (oder die Berichtmannschaft) allen stützenden Beweis und Unterlagen erfassen, und entwickelt die neuen Dokumente, die für das Bescheinigung-Paket erfordert werden. Wenn das vorgeschlagene C&A für ein nagelneues Informationssystem ist, besteht kein vorheriges Bescheinigung-Paket. Wenn das C&A für ein älteres Informationssystem ist, sollte ein vorheriges Bescheinigung-Paket für Bericht bestehen und vorhanden sein. Neues C&As werden alle drei Jahre angefordert. Bescheinigung für ein Informationssystem, das vorher beglaubigt worden ist, gekennzeichnet als ein “recertification.” Recertifications erfordern die gleiche Suite der Dokumente, die neue Bescheinigung-Pakete erfordern. Beim Arbeiten auf einem recertification, sollte das vorherige Bescheinigung-Paket gänzlich wiederholt werden, um sicherzugehen, daß alle Gefahren, die vorher im alten Bescheinigung-Paket zitiert werden, abgeschwächt worden sind. Die C&A Berichtmannschaft muß auf Aufstellungsort zum Büro der Agentur’s kommen, vorhanden zu sein, die Entwicklung und Management’mannschaft des Informationssystems zu interviewen s. Es ist kritisch, damit die C&A Berichtmannschaft so viel über das Informationssystem erlernt, wie möglich und da viele Fragen stellt, wie necessary.The Informationssysteminhaber seinem oder Entwicklung Personal raten sollte, die C&A Berichtmannschaft unterzubringen und sie mit so vielen Informationen zu versehen, wie möglich über das Design und die Konfiguration des Systems, das für C&A schiefergedeckt ist. C&A Berichtmannschaften können aus überall von einigen Leuten, bis bis Dutzend oder zu mehr abhängig von der Kompliziertheit des Informationssystems bestehen, das für C&A schiefergedeckt ist. Was feststellen sollte, ist die Zahl Einzelpersonen auf der C&A Mannschaft der Bereich des Projektes und timeframe des Projektes. Da Sie den Bereich erhöhen und das timeframe verringern, erhöht sich die Notwendigkeit an einer grösseren C&A Berichtmannschaft. Die meisten C&A Berichtmannschaften benötigen mindestens drei Monate minimal, um ein ausreichendes Bescheinigung-Paket zusammenzubauen. Es würde nicht jedoch außer Frage sein damit eine C&A Berichtmannschaft sechs Monate dauert, um ein Bescheinigung-Paket für eine große und komplizierte Infrastruktur vorzubereiten. C&A Beste Praxis… Bescheinigung-Phase Meilensteine Design- und Architekturdokumente werden wiederholt. Verwundbarkeit wird gekennzeichnet. Beweis von Gefahr Mitigation wird gekennzeichnet. Bescheinigungdokumente werden geschrieben. Analyse der annehmbaren Gefahr zur Agentur wird durchgeführt. Die Beglaubigung Phase Die Beglaubigung Phase fängt an, wenn das Bescheinigung-Paket completed.The Auswertung Mannschaft liest durch das Bescheinigung-Paket in seiner Ganzheit und validiert gewesen ist, wenn die Entdeckungen genau sind und wenn alle erforderlichen Informationen anwesend sind. Ein Bescheinigung-Paket kann über 500 Seiten leicht sein. Mindestens zwei bis vier Wochen sollten für die Beglaubigung Phase zugeteilt werden. Die meisten Auswertung Mannschaften haben bereits Checklisten der bestimmten Kriterien vorbereitet, die sie erwarten, im Bescheinigung-Paket zu finden, bevor sie wirklich die Auswertung anfangen. Wenn Durchläufe eines Bescheinigung-Pakets mit den Experten versammeln, wird eine Empfehlung gebildet, daß das Paket positiv accredited.The bestätigendes Mittel wiederholt die Empfehlung ist, und so lang, wie sie gerechtfertigt aussieht, unterzeichnet einen formalen Brief des Accreditation.The Beglaubigung Buchstaben muß auch durch das ISSO, der Informationen Inhaber, der autorisierende Beamte unterzeichnet werden und dann wird gesendet zum CIO.The CIO soll den Empfang des Buchstaben bestätigen indem das Unterzeichnen er. C&A Beste Praxis… Beglaubigung Meilensteine Unterordnung des Pakets zu den Experten Bericht- und Anmerkungsauflösung Empfehlung zu beglaubigen (oder nicht) Die Ununterbrochene MonitorphaseSobald ein Informationssystem beglaubigt worden ist, sollte es ununterbrochen überwacht werden. Konfiguration Managementänderungen sollten ein on-going und gut-gehandhabter Prozeß mit den Zustimmung Einheiten sein, die geeinbaut werden. Daten der Änderungen und Versionen der Codeänderungen, wenn alle dokumentiert werden. Sicherheit Kontrollen sollten auch überwacht werden und alle mögliche Änderungen, die an ihnen vorgenommen werden, sollten dokumentiert werden. Wenn Brandmauerpolitische Richtlinien geändert werden, sollten die Änderungen und die Gründe für die Änderungen dokumentiert werden. Wenn Eindringenabfragung Konfiguration Änderungen vorgenommen werden, sollten sie völlig beschrieben werden und die Gründe für die Änderungen, dokumentiert worden wenn. Es ist häufig der Fall, daß nicht fast genügend Zeit in die ununterbrochene Monitorphase gesetzt wird, seit dem, sobald eine positive Beglaubigung gebildet worden ist, das meiste ISSOs und Informationssysteminhaber neigen, einen Seufzer der Entlastung auszustoßen und wie zu scheinen, den gesamten C&A Prozeß hinter sie zu setzen. Ein Bescheinigung-Paket zusammenzufügen und das Erreichen einer Beglaubigung ist eine erschreckende Aufgabe und mehr von ihm zu tun, nachdem die Arbeit erledigt wird, ist nicht normalerweise auf niemandem s’Tagesordnung nach der Tatsache hoch. Jedoch den aktuellen Willen der Dokumente halten bilden Sie alle zukünftigen recertifications viel einfacher. Es sei denn das Informationssystem außer Dienst gestellt wird, muß es tatsächlich sein recertified in drei Jahren. Die Dokumente, die ein Teil des Bescheinigung-Pakets sind, gelten als Phasendokumente und können jederzeit aktualisiert werden. Es ist am besten, die Dokumente zu aktualisieren, sobald Änderungen an den Informationssystemen seit dem vorgenommen werden, das ist, wenn die neuen Informationen in jeder s Verstand’am frischsten sind. Unterlagen zu aktualisieren scheint nie, auf der Liste der wichtigen Aufgaben hoch zu sein durchzuführen, und aus diesem Grund, empfehle ich den, der Bescheinigung-Paketdokumente aktualisiert, werde errichtet in den Änderung Managementprozeß. Jede Zeit ist ein Dokument aktualisiert, sollte es durch den Änderung Steuerprozeß und dann archiviert werden und an einer offsite Position am Ort wiederholt werden und genehmigt werden. C&A Beste Praxis Ununterbrochene Überwachung Meilensteine Versöhnung des POA&M Zitierens Unterlagen der Änderungen am System Fortwährende Überwachung von Sicherheit Kontrollen dieses ist ein Artikel, der von Hemant Baidwan
hinzugefügt wird
|
|||||
|