Papéis e responsabilidades em Creditation e em accreditation CA
C&A envolve muitos dos povos diferentes todo o funcionamento junto em tarefas diferentes. Há os povos que desenvolvem o programa de C&A, povos que preparam pacotes da certificação, povos que são prendidos accountable para os pacotes da certificação, os revisores de contas da agência que avalíam os pacotes da certificação antes do accreditation, e os inspectors federais que examinam a agência para se certificar de que estão fazendo C&A a maneira direita. Oficial De Informação PrincipalO oficial de informação principal da agência (CIO) é a pessoa a mais óbvia prendida accountable para um programa bem sucedido da segurança da informação e o programa de C&A. É a responsabilidade’de CIO s certificar-se de que um programa da segurança da informação, including um programa de C&A, existe e está executado. Entretanto, a maioria de agência CIOs don’o jogo de t um papel hands-on em desenvolver estes programas. Geralmente o CIO designará o desenvolvimento destes programas ao oficial de segurança sênior da informação da agência. Entretanto, delegar o desenvolvimento de programa não significa que o CIO não necessita compreender o processo. Se o CIO não compreender todos os elementos de um programa bem sucedido de C&A há pouca possibilidade que o CIO poderá manter o oficial de segurança sênior da informação da agência responsável para desenvolver um programa completo. Sem compreender os detalhes do que programa deve incluir, o CIO não saberá se o oficial de segurança sênior da informação da agência deixar qualquer coisa para fora. Uma parte de C&A que não pode ser negligenciado é a necessidade para o CIO desenvolver um orçamento para C&A. C&A é muito tempo intensive, e tomadas típicas de um C&A na média seis meses para fazer um trabalho completo, replete com todos os trabalhos requeridos de information.The CIO junto com o oficial autorizando assegurar-se de que haja bastantes de um orçamento para staff os recursos necessários unir o programa da certificação. Se CIOs não orçamento para C&A, C&A não pode começar done.The CIO permite C&A de ocorrer inteiramente compreendendo o processo budgetary federal como documentado em uma publicação posta para fora pela casa branca sabida como No.A-11 o planeamento da parte 7, incluir no orçamento, aquisição , e gerência circulares da publicação dos Thisdos recursos importantes está atualmente disponível em www.whitehouse.gov/omb/circulars/a11/2002/part7.pdf. A-11 a parte 7 references outros guidelines budgetary que o CIO deve também se tornar familiar com, including um conhecido enquanto a exibição 300 de OMB. A exibição 300 de OMB está atualmente disponível em www.cio.gov/archive/S300_05 _ draft_0430.pdf. É finalmente o CIO que é provável ser prendido responsável e accountable se a agência receber uma classe pobre no cartão federal anual do relatório da segurança do computador. Uma das responsabilidades do CIO deve importar-se com a classe federal anual do cartão do relatório da segurança do computador. Se uma agência receber uma classe de falha, então claramente há algo erradamente com ou o programa próprio de C&A, ou como o programa é executado. Se uma agência receber uma contagem superior no cartão federal anual do relatório da segurança do computador, então tanto quanto C&A vai, o processo está sendo trabalhado a maneira direita. Enquanto os cartões federais do relatório da segurança do computador começam uma atenção mais e mais pública cada ano, uma contagem pobre no cartão do relatório pode ser uma experiência carreira-limitando para toda a agência CIO. Autorizando O OficialO oficial autorizando é um termo genérico para um oficial da gerência sênior dentro de uma agência que autorize operações de um sistema de informação, declarando que os riscos associados com ele são aceitáveis. É improvável que qualquer pessoa prenderia o título “de autorizar o oficial,” daqui eu não punctuating o aqui com letters.There importante posso ser múltiplo que autoriza oficiais dentro de cada agência, toda responsável para suas próprias áreas designadas. Em muitas agências, o oficial autorizando é consultado como à autoridade acreditando designada (DAA). O oficial autorizando tem geralmente responsabilidades budgetary para assegurar-se de que uma determinada quantidade de recursos esteja reservada overseeing o processo de C&A. Geralmente a agência CIO relata ao oficial autorizando. Entretanto, nas agências grandes, onde algum relatório do departamento CIOs à agência CIO, ele pode ser o caso que um CIO é o oficial autorizando. Em outros casos o oficial autorizando pode ser o comissário ou um comissário assistente. Se o oficial e os CIO autorizando forem dois povos diferentes, deve trabalhar junto para certificar-se de que um orçamento adequado estêve reservado para C&A. O oficial autorizando, de acordo com o instituto nacional dos padrões, a publicação especial 800-37 (maio 2004), para ser um empregado do governo de ESTADOS UNIDOS e não pode ser um contratante ou um consultante. Entretanto, o oficial autorizando pode designar um representante para realizar as várias tarefas relacionadas a C&A, e o representante designado pode ser um contratante ou um consultante. Entretanto, a decisão final do accreditation da segurança e sua letra acompanhando da decisão do accreditation devem ser possuídas e assinado pelo empregado de governo de ESTADOS UNIDOS que é o oficial autorizando. Oficial De Segurança Sênior Da Informação Da AgênciaO oficial de segurança sênior da informação da agência (SAISO) é a pessoa que esse CIO prende accountable para oversee toda a segurança’initiatives.The SAISO da informação da agência s é akin a um oficial de segurança principal da informação na indústria confidencial. Ele’s possível que CIOs pode executar este papel ele mesmo, em que do caso o wouldn lá’t seja um indivíduo separado que prende estas responsabilidades. O SAISO trabalha com a agência que autoriza oficiais assegurar-se de que estejam no acordo nas exigências da segurança do sistema de informação as.well.as os originais chaves contidos no pacote da certificação tal como as avaliações de risco e a planta da segurança. Em trabalhar junto, o SAISO e os oficiais autorizando devem ser certos fazer exame a consideração nas exigências da missão e do negócio da agência. O SAISO fornece o oversight da gerência ao agente da certificação e trabalha com ele ou ela para assegurar-se de que o processo de C&A seja pensamento bom para fora, e inclua toda a documentação necessária e guidance.The SAISO aponte o agente da certificação e mantem-nos accountable para executar seus deveres. É muito importante para o SAISO escolher com cuidado sua certificação Agent(s) porque necessitarão confiar em suas recomendações do accreditation. O SAISO pode desejar rever todos os pacotes da certificação que são processados dentro da agência; entretanto, como uma matéria prática, é ao lado de impossível fazer isto. Em a maioria de agências, há distante demasiado muitos pacotes da certificação para que um indivíduo rev e valide. devido a esta razão very, o SAISO emprega um agente da certificação (ou agentes) para ler pacotes, para executar avaliações, para escrever recomendações, e para produzir um original chamou um relatório da avaliação da segurançado The do relatório da avaliação da segurança é bàsicamente um sumário da avaliação e deve justificar e suportar a recomendação sobre de se ou não acreditar o relatório da avaliação da segurança de package.The deve ter toda a informação que o SAISO necessita justificar assinar a letra do accreditation, e escala a recomendação para cima ao offi- autorizando cial a respeito se ou não deve assinar a letra do accreditation. Oficial Sênior Da Privacidade Da AgênciaCada agência é suposta ter um oficial sênior da privacidade da agência. Para uma agência grande, um oficial sênior da privacidade da agência pôde ser um trabalho a tempo completo. Entretanto, para uma agência pequena, que’s possível que as responsabilidades deste oficial podem ser executadas pelo CIO, pela equipe de funcionários’de CIO s, ou pela pessoa de SAISO.The neste papel poderia prender o título do oficial principal da privacidade—ele ou ela não tem que necessariamente ser chamado o oficial sênior da privacidade da agência. Que’s o mais importante é que alguém está designado para executar os deveres de proteger a informação confidential e confidencial. Equipe Da Certificação Agent/EvaluationO agente da certificação revê os pacotes da certificação, fazendo recomendações a respeito de se autorizam um accreditation positivo ou não. Essencialmente, os agentes da certificação agem enquanto um comb de auditor.They com a certificação unwieldy empacota procurar informação faltante e a informação que o doesn’t faz o objetivo de sense.Their deve determinar se o pacote estiver na conformidade com a agência’s documentou o manual de C&A, o processo, as políticas da segurança, e as exigências da segurança’do sistema de informação s. Em algumas agências, há assim muitos pacotes a avaliar que o agente da certificação está compreendido de uma equipe da avaliação team.The pode ter um nome departmental tal como a garantia da missão, garantia da informação, ou nome organizational de Compliance.The é para a maioria de parte por mais irrelevant que poderia ser diferente da agência à agência. Após ter revisto os pacotes de C&A, o agente da certificação, ou equipe da avaliação, recomendações dos makes às autoridades acreditando internas—o SAISO e ter autorizado o oficial—sobre se ou não um pacote deve ser acreditado ou não. Em a maioria de casos, o oficial de SAISO e autorizar aceita a recomendação do agente da certificação, e assina a letra do accreditation baseada unicamente em uma recomendação do agente da certificação. Junto com a recomendação, o agente da certificação também produz e inclui o relatório da avaliação da segurançado The do relatório da avaliação da segurança deve justificar a recomendação. Quando o agente da certificação é uma equipe dos povos, racham geralmente acima das tarefas diferentes que necessitam ser realizadas a fim expedir o processo. Para o exemplo, uma pessoa pôde avaliar pacotes para os sistemas de sustentação gerais, uma outra pessoa pôde avaliar pacotes para aplicações principais, uma outra pessoa pôde criar e moldes do update, e uma outra pessoa pôde atualizar o manual. O agente da certificação é também responsável para desenvolver o processo interno de C&A, e toda a documentação que descreve este processo—o manual e a documentação de templates.The que o agente da certificação desenvolve avaliando os pacotes é listas de verificação e cartões da contagem. As listas de verificação e os cartões da contagem devem ser consistentes com os moldes e a ajuda das listas de verificação de handbook.The o agente da certificação escreve o relatório da avaliação da segurança. É possível que o agente da certificação e o oficial de segurança sênior da informação da agência podem ser a mesma pessoa desde que algumas agências pequenas não podem ter os recursos internos para ter dois membros diferentes da equipe de funcionários atribuídos a estes papéis. Se o agente da certificação e SAISO for um na mesma pessoa, a seguir o agente da certificação faz a recomendação do accreditation ao agente autorizando da certificação de official.The não faz a decisão final sobre se um pacote de C&A deve ser acreditado—ele ou faz recomendações somente sobre se ou não o pacote deve ser acreditado. A fim demonstrar o objectivity, é frequentemente o caso que a equipe da avaliação consiste em consultantes exteriores. FISMA, estados do § 3454: Cada ano cada agência terá executado uma avaliação independente do programa da segurança da informação e das práticas dessa agência determinar a eficácia de tais programa e práticas. Se uma agência se decidir usar sua própria equipe de funcionários, deve ser certo que há uma separação desobstruída dos deveres entre os avaliadores e as organizações que estão apresentando os pacotes de C&A para a avaliação. Proprietário Do NegócioO proprietário do negócio é uma referência genérica ao proprietário do sistema de informação, e é provável que não há nenhum empregado da agência com o proprietário “do sistema de informação do título,” que é porque eu não capitalizing a terminologia aqui. O proprietário do sistema de informação poderia ser um gerente de programa, um gerente da aplicação, ELE diretor, ou um diretor da engenharia para o exemplo. No short, é a pessoa que é responsável para o desenvolvimento e as operações do sistema de informação. O proprietário do sistema de informação é esse quem começa tipicamente o rolling da esfera para um projeto novo de C&A. Os proprietários do sistema de informação necessitam assegurar-se de que seu sistema de informação esteja acreditado inteiramente antes de ser posto na produção. Uma vez que um sistema de informação está na produção, necessita ser recertified e acreditou cada três anos. É a responsabilidade do proprietário s’do sistema de informação apontar alguém para ser o oficial de segurança do sistema de informação para o sistema que requer C&A. Proprietário Do SistemaO proprietário do sistema é a pessoa responsável para administrar os sistemas que a aplicação de C&A funciona sobre. Um proprietário do sistema pode ser um administrador de sistemas solitário, ou um departamento dos sistemas. Em uma aplicação distribuída grande, é possível que os sistemas diferentes que são uma parte do infrastructure da aplicação têm proprietários diferentes do sistema. Quando uma aplicação distribuída grande tem proprietários diferentes do sistema, às vezes os proprietários diferentes do sistema podem ser posições geográficas diferentes ou edifícios diferentes. Todos os pacotes de C&A, se é um pacote para uma aplicação principal, ou o infrastructure geral dos serviços de sustentação que a aplicação funciona sobre, devem especificar quem os proprietários do sistema do proprietário is.The do sistema são os povos que fornecem o proprietário do sistema dos sistemas support.The devem ser indicados na informação do contatodo The do inventário do recurso para os proprietários do sistema devem ser indicados na planta de contingência e na avaliação do impacto do negócio. Proprietário Da InformaçãoO proprietário da informação é a pessoa que possui o proprietário da informação de data.The é concernida sobre a integridade dos dados, e se comunica com o proprietário do sistema sobre as edições relacionadas aos controles da segurança do sistema ou as bases de dados que os dados residem pessoa de on.The, ou o departamento, que possui os dados não é sempre o mesmo que o proprietário do sistema, embora poderiam ser. Em muitos casos, o proprietário do sistema mantem os dados para o proprietário da informação da informação owner.The é frequentemente alguém que relata ao proprietário do negócio e poderia ser um gerente de base de dados, ou um gerente da aplicação. É possível que em algumas organizações o proprietário da informação e o proprietário do negócio são a mesma pessoa. É possível que os dados no sistema slated para C&A caem sob um jurisdição diferente do que aquele do proprietário do sistema. É também possível que o proprietário da informação e o proprietário do sistema são um na mesma pessoa. Às vezes as bases de dados podem ser administradas e controlado por alguém que tem os credentials peritos na área. Se o proprietário do sistema e os proprietários da informação não forem um nos mesmos povos, este deve ser anotado no pacote da certificação no inventário do recurso. Oficial De Segurança Do Sistema De InformaçãoO oficial de segurança do sistema de informação (ISSO) é responsável para controlar a segurança do sistema de informação que é slated para C&A.The ISSO segura que a configuração de sistemas da informação está na conformidade com a política’da segurança da informação da agência s. Todos os originais do pacote da certificação são preparados pelo ISSO, ou para o ISSO, pela equipe de funcionários ou pelos contratantes. Tipicamente ISSOs tem uma placa grande das responsabilidades e provavelmente necessitarão aumentar sua equipe de funcionários com contratantes para preparar expeditiously um pacote da certificação. Não é uncommon para um ISSO ser responsável para a preparação da metade de uns dúzia C&A empacota. Desde que um pacote de C&A poderia fàcilmente fazer exame de um ano para que um perito bem-well-versed da segurança se prepare, considera-se padrão e aceitável para que ISSOs empregue consultantes fora da agência para preparar o pacote da certificação. Melhora também o objectivity do pacote da certificação para tê-lo preparado pelos indivíduos third-party que não são parte da agência’s possuem a equipe de funcionários. Uma vez que um pacote da certificação está completo, o ISSO apresenta-o a uma equipe da avaliação que prosiga então validar a equipe da avaliação de findings.The seja uma extensão do agente certificando. Se o agente certificando não apontar nem não montar uma equipe da avaliação, o agente certificando deve ser preparado para avaliar o pacote da certificação e para fazer sobre uma recomendação se emitir um accreditation positivo. Preparers de C&AOs preparers de C&A, consultados às vezes a como a equipe da revisão de C&A, prepara os pacotes da certificação para a submissão à equipe da avaliação. Em muitos casos, os preparers de C&A são preparers exteriores de consultants.The C&A podem também ser uma equipe misturada de consultantes exteriores e da equipe de funcionários interna da agência. Os preparers de C&A trabalham para o proprietário do sistema de informação, mas geralmente sob o sentido do oficial de segurança do sistema de informação. Quando vem a unir o pacote da certificação, é os preparers de C&A que executam o volume dos preparers de work.The C&A necessitam ter um fundo perito na segurança da informação com uma largura de compreender os vários facets da arquitetura da segurança, do confidentiality da informação, da integridade da informação, da disponibilidade da informação, das políticas da segurança, e dos regulamentos de FISMA. Inspectors Da AgênciaPara preparar-se para visitas do GAO, todas as agências, e alguns departamentos, têm seus próprios inspectors que vêm no local aos escritórios de agência avaliar periòdicamente se a conformidade apropriada de FISMA estiver ocorrendo. Em a maioria de casos, os inspectors da agência não são requeridos dar notificação muito avançada e suas visitas podem ocorrer sem agência que de warning.The os inspectors internos vêm do escritório de agência do general de inspector (OIG). Muitos escritórios da agência OIG têm seus próprios locais da correia fotorreceptora, e você pode ler mais sobre as responsabilidades diferentes do OIG lá. Agência de proteção ambiental www.epa.gov/oigearth/ Commission federal www.fcc.gov/oig/ das comunicações Dept. da agricultura www.usda.gov/oig/ Dept. dos serviços http://oig.hhs.gov/ da saúde e do ser humano Administração de segurança social www.ssa.gov/oig/ Serviço postal unido www.uspsoig.gov/ dos estados O objetivo da agência OIG é travar todos os problemas e resolvê-los de modo que não mostrem acima porque as deficiências em escritórios de GAO reports.The OIG têm sua própria investigação e processo da revisão e escritórios diferentes de OIG pode executar seus exames em maneiras diferentes. Os escritórios de OIG que são mais vigilant em seus exame e processo da revisão são mais prováveis impedir que a agência cited como deficient por inspectors de GAO. Inspectors de GAOOs revisores de contas do oversight do GAO visitam agências federais em uma base anual, e revêem pacotes acreditados da certificação para certificar-se de que foram properly.The acreditados GAO revêem também o processo’da agência s C&A para determinar se for aceitável. Se o GAO descobrir que os pacotes da certificação estiveram acreditados impròpria, ou se o processo’da agência s C&A for deficient em qualquer maneira, oficiais da agência documentará os findings e a agência receberá classes pobres no cartão federal anual do relatório da segurança do computador. O cartão federal do relatório da segurança do computador é publicado cada ano pelo comitê de ESTADOS UNIDOS na reforma do governo. Níveis do exameFazendo exame na consideração da equipe da avaliação, dos inspectors de OIG, e dos inspectors de GAO, você pode ver que o processo de FISMA se submete a níveis rigorous do exame (veja figura 3.1). Geralmente não há nenhum menos de três níveis do exame. Algumas agências podem mesmo ter um nível adicional do exame. Após as revisões da equipe da avaliação o pacote da certificação, é possível que uma outra organização interna da conformidade pode rever o pacote da certificação outra vez para ver se a equipe da avaliação fizer seu trabalho corretamente. A equipe original da avaliação e uma equipe subordinada da conformidade não podem no fato concordar sobre se um pacote da certificação deve ser acreditado, e frequentemente as duas organizações do exame interno terão que ter discussões numerosas entre se a vir a um acordo na recomendação final do accreditation. Tendo assim muitos níveis da lata do exame no fato pareça como o overkill; entretanto, as agências que parecem indulge nestas redundâncias do exame, e separação dos deveres, frequentemente fare o mais melhor no cartão federal do relatório da segurança do computador. Níveis de FISMA do exame para rever o pacote da certificação Inspectors de GAO este é um artigo adicionado por Hemant Baidwan
|
|||
|