Probleme der nicht mit einer Zertifizierung / Accreditation Program
Wenn Ihre Agentur nicht über eine standardisierte C & A-Programm können Sie erwarten, dass die C & A-Prozesses zu extrem verwirrend und zu kompliziert. C & A Ersteller nicht wissen, was sollte in jedem Paket enthalten sein und Gutachter werden nicht wissen, wenn etwas fehlt. Fehlende InformationenOhne C & A-Programm werden verschiedene Zertifizierung Pakete beinhalten unterschiedliche Arten von Informationen. Zum Beispiel, ohne eine vorgegebene und standardisierte C & A-Programm, eine Zertifizierung Paket könnte eine Informations-und Telekommunikationstechnologie Notfallplan (ITCP) und andere nicht. Eine Zertifizierung Paket kann ein Netzwerk-Topologie-Karte, und andere nicht. Wenn es Zeit für die gesamte Zertifizierung Paket zu bewerten, ist es schwer, ein Paket, weil es kein Informationstechnologie Notfallplan, wenn keine politischen oder organisatorischen Prozess jemals benötigt man in erster Linie existieren nicht. Es ist sehr schwer an das Informationssystem Eigentümer und die Issos verantwortlich für die Zusammenstellung angemessene Zertifizierung Pakete, wenn Ihre Agentur ist noch nicht definiert, was genau eine angemessene Zertifizierung Paket zu halten. Mangel an OrganisationObwohl die Angabe der richtigen Informationen in einem Paket Zertifizierung ist von grundlegender Bedeutung sind, sollte das Format des Pakets nicht übersehen werden. Eine Zertifizierung Paket kann 500 Seiten lang. Sofern jeder die gleiche Weise organisiert ist, wird es sehr umständlich für die Gutachter durch die voluminösen Informationen waten und überprüfen Sie, ob alle das richtige Material aufgenommen hat. Am besten ist es, die Dinge am einfachsten zu machen für die Gutachter. Evaluatoren, die nicht Kopf oder Zahl "aus kann der dargebotenen Informationen zu ihnen, und nicht finden können, wichtiger Informationen, gehen zu zögern zu empfehlen, dass ein Paket akkreditiert werden. Inkonsistenzen in den EvaluationsprozessSie möchten jede Zertifizierung Paket auf die gleiche Weise ausgewertet werden. Eine Agentur kann viele verschiedene evaluators.Without jede Art von Standard zur Zertifizierung Paket Inhalt oder das Format, verlassen Sie die gesamte Auswertung bis die subjektive Meinung eines (oder einer kleinen Gruppe) des Menschen. Verschiedene Gutachter kann Schwerpunkt auf verschiedene Bereiche setzen. Wenn jedes Paket hat den gleichen organisatorischen Format, es verbessert die Chancen, dass verschiedene Gutachter die Pakete in der gleichen Weise, weil sie für Flüge werden bewerten, und erwarten die gleiche Art von Informationen. Unbekannt Security Architektur und KonfigurationOhne eine Zertifizierung Paket, kann es sein, dass die Sicherheits-Architektur und Konfiguration Ihrer Informationsinfrastruktur ist nicht bekannt. Beim Durcharbeiten der C & A-Prozesses, werden Sie wissen, ob dies der Fall ist oder nicht. Wenn die Sicherheits-Architektur ist gut dokumentiert, C & A dient als Chance, um sicherzustellen, das Architektur-Diagramme und Netzpläne sind richtig. Wenn es nicht gut dokumentiert, oder überhaupt nicht dokumentiert, das ist etwas, das Sie für die Forschung wünschen werde und diagram.The Gleiches gilt für die Sicherheitskonfiguration. Alle Software erfordert Konfigurationen. Als Betriebssysteme und Anwendungen installiert sind, auch wenn sie sicher installiert sind, werden die Sicherheitseinstellungen dokumentiert? Wenn die Sicherheitseinstellungen nicht dokumentiert sind, sind sie im Grunde unbekannt. Selbst Experten und erfahrene Systemadministratoren in der Regel nicht jede Kleinigkeit erinnern sie ein System getan haben bei der Konfiguration, weil die heutigen Betriebssysteme und Anwendungen sind so Feature rich.That Deshalb Sicherheitsarchitektur und Konfiguration Dokumentation critical.The C & A-Prozess soll zu finden ist die Unbekannten der Sicherheitsarchitektur und Konfigurationseinstellungen und dann lösen die Unbekannten durch die Schaffung der erforderlichen Unterlagen auf dem Weg. Unbekannte RisikenBundesgesetze beiseite, ist der Hauptgrund für das Verständnis der Sicherheitszustand Ihrer IT-Systeme auf Risiken identifizieren, verstehen sie, und nehmen mildernde actions.With C & A nicht definiert, verlassen Sie die Risiken, die Sie Ihrer Agentur für Spekulationen offen sehen wollen . Vielleicht ist die Agentur Issos erkennt alle wesentlichen Risiken, aber vielleicht werden sie nicht. Man kann ISSO Schwerpunkt auf Disaster Recovery-Planung setzen, und ein anderer vielleicht Wert auf System Risiken setzen. Es ist unwahrscheinlich, dass sie alle das gleiche Gewicht auf alle Aspekte der Informationssicherheit stellen. Wenn es um die Identifizierung von Risiken geht, gibt es zahlreiche Begriffe in consideration.There sind Geschäftsrisiken, System Risiken, Ausbildung Risiken, politische Risiken, Risiken im Vorratsvermögen, und so on.A wohldefinierte C & A-Programm nehmen wird sichergestellt, dass alle relevanten Arten von Risiken berücksichtigt werden. Gesetze und Report CardsSie werden überrascht sein, um herauszufinden, dass die Worte "Zertifizierung" und "Akkreditierung" nicht in der verwendeten Federal Information Security Act von 2002. Doch das Gesetz sehr klar die Forderung nach einer Information Security-Programm, und auch die Namen der benötigten Elemente dieses Programms. Viele der benötigten Elemente der beauftragten Informationssicherheit Programm sind diejenigen, die entwickelt, um nun als "Zertifizierung und Akkreditierung." Bekannt werden, auch wenn die Agentur umfassende Programm genannt wurden etwas anderes sagen "Der Sicherheitsrat Validation Program"-alle gleich sind Elemente des Programms wäre nicht required.You sollten sich auf die Tatsache, dass Sie nicht sehen, die Begriffe "Zertifizierung" oder "Akkreditierung" in der schriftlichen law.The genannten Elemente des Programms hing bekommen sind gesetzlich verpflichtet, egal wie Sie berechtigen sie. Ohne diese Elemente, und ohne ein Informations-Sicherheits-Programm sind die Agenturen das Gesetz brechen. Was mehr ist, enthalten Agenturen, die nicht über die richtigen Elemente in ihre Informationssicherheit Programm armen Federal Computer Security Report Card-Typen zu erhalten. Verfasst von Hemant Baidwan
|
|||
|