Papeles y responsabilidades en Creditation y la acreditación CA
C&A implica a muchos de diversa gente todo el funcionamiento junta en diversas tareas. Hay la gente que desarrolla el programa de C&A, la gente que prepara los paquetes de la certificación, la gente que se sostiene responsable de los paquetes de la certificación, de los interventores de la agencia que evalúan los paquetes de la certificación antes de la acreditación, y de los inspectores federales que revisan la agencia para cerciorarse de que están haciendo C&A la manera derecha. Principal Oficial De InformaciónEl principal oficial de información de la agencia (CIO) es la persona más obvia sostenida responsable de un programa acertado de la seguridad de la información y de programa de C&A. Es la responsabilidad’de CIO s cerciorarse de que un programa de la seguridad de la información, incluyendo un programa de C&A, existe y está puesto en ejecucio'n. Sin embargo, la mayoría de la agencia CIOs pone’el juego de t un papel con manos en desarrollar estos programas. El CIO señalará generalmente el desarrollo de estos programas al oficial de seguridad mayor de la información de la agencia. Sin embargo, delegar el desarrollo de programa no significa que el CIO no necesita entender el proceso. Si el CIO no entiende todos los elementos de un programa acertado de C&A hay poca ocasión que el CIO podrá sostener al oficial de seguridad mayor de la información de la agencia responsable de desarrollar un programa completo. Sin entender los detalles de qué programa debe incluir, el CIO no sabrá si el oficial de seguridad mayor de la información de la agencia ha dejado cualquier cosa hacia fuera. Un pedazo de C&A que no pueda ser pasado por alto es la necesidad del CIO de desarrollar un presupuesto para C&A. C&A es mismo tiempo intensivo, y tomas típicas de un C&A en promedio seis meses para hacer un trabajo cuidadoso, repleto con todos los trabajos requeridos de information.The CIO junto con el funcionario que autoriza de asegurarse de que hay bastante de un presupuesto para proveer de personal los recursos necesarios para juntar el programa de la certificación. Si no lo hacen CIOs presupuesto para C&A, C&A puede no conseguir done.The CIO permite a C&A ocurrir completamente entendiendo el proceso presupuestario federal como documentado en una publicación puesta hacia fuera por la casa blanca conocida como No.A-11 el planeamiento de la parte 7, el presupuesto, la adquisición , y gerencia circulares de la publicación de los Thisde los activos fijos es actualmente disponible en www.whitehouse.gov/omb/circulars/a11/2002/part7.pdf. A-11 la parte 7 se refiere a otras pautas presupuestarias que el CIO debe también llegar a ser familiar con, incluyendo uno conocido mientras que el objeto expuesto 300 de OMB. El objeto expuesto 300 de OMB es actualmente disponible en www.cio.gov/archive/S300_05 _ draft_0430.pdf. Es en última instancia el CIO que es probable ser considerado responsable y responsable si la agencia recibe un grado pobre en la tarjeta federal anual del informe de la seguridad de la computadora. Una de las responsabilidades del CIO debe cuidar sobre el grado federal anual de la tarjeta del informe de la seguridad de la computadora. Si una agencia recibe un grado que falla, entonces claramente hay algo mal con o el programa sí mismo de C&A, o cómo se pone en ejecucio'n el programa. Si una agencia recibe una cuenta superior en la tarjeta federal anual del informe de la seguridad de la computadora, entonces por lo que va C&A, el proceso se está trabajando la manera derecha. Mientras que las tarjetas federales del informe de la seguridad de la computadora consiguen una atención más y más pública cada año, una cuenta pobre en la tarjeta del informe puede ser una experiencia carrera-limitadora para cualquier agencia CIO. Autorizar A FuncionarioEl funcionario que autoriza es un término genérico para un funcionario de la gerencia mayor dentro de una agencia que autorice operaciones de un sistema de información, declarando que los riesgos asociados a él son aceptables. Es inverosímil que cualquier persona llevaría a cabo el título “de autorizar a funcionario,” por lo tanto no lo estoy puntuando aquí con letters.There capital puedo ser múltiplo que autoriza a funcionarios dentro de cada agencia, todo responsable de sus propias áreas señaladas. En muchas agencias, refieren al funcionario que autoriza como la autoridad de acreditación señalada (DAA). El funcionario que autoriza tiene generalmente responsabilidades presupuestarias de asegurarse de que cierta cantidad de recursos está puesta a un lado para supervisar el proceso de C&A. La agencia CIO divulga generalmente al funcionario que autoriza. Sin embargo, en las agencias grandes, donde un cierto informe de la oficina CIOs a la agencia CIO, él puede ser el caso que un CIO es el funcionario que autoriza. En otros casos el funcionario que autoriza puede ser la comisión o una comisión auxiliar. Si el funcionario y los CIO que autorizan son dos diversas personas, deben trabajar juntos para cerciorarse de que un presupuesto adecuado se ha puesto a un lado para C&A. El funcionario que autoriza, según el instituto nacional de estándares, la publicación especial 800-37 (mayo de 2004), ser empleado del gobierno de ESTADOS UNIDOS y no puede ser un contratista o un consultor. Sin embargo, el funcionario que autoriza puede señalar un representante para realizar las varias tareas relacionadas con C&A, y el representante señalado puede ser un contratista o un consultor. Sin embargo, la decisión final de la acreditación de la seguridad y su letra de acompañamiento de la decisión de la acreditación se deben poseer y firmar por el empleado de gobierno de ESTADOS UNIDOS que es el funcionario que autoriza. Oficial De Seguridad Mayor De la Información De la AgenciaEl oficial de seguridad mayor de la información de la agencia (SAISO) es la persona que ese CIO se considera responsable para supervisar toda la seguridad’initiatives.The SAISO de la información de la agencia s es relacionado con un principal oficial de seguridad de la información en industria privada. Él’s posible que CIOs pueda realizar este papel ellos mismos, en el cual del caso el wouldn allí’t sea un individuo separado que lleva a cabo estas responsabilidades. El SAISO trabaja con la agencia que autoriza a funcionarios a asegurarse de que están en el acuerdo en los requisitos de la seguridad del sistema de información así como los documentos dominantes contenidos en el paquete de la certificación tal como los gravámenes de riesgo y el plan de la seguridad. En el trabajo junto, el SAISO y los funcionarios que autorizan deben ser seguros tomar en la consideración los requisitos de la misión y del negocio de la agencia. El SAISO proporciona descuido de la gerencia al agente de la certificación y trabaja con él o ella para asegurarse de que el proceso de C&A es pensamiento bien hacia fuera, e incluye toda la documentación necesaria y guidance.The SAISO designa a agente de la certificación y la sostiene responsable de realizar sus deberes. Es muy importante que el SAISO elija su certificación Agent(s) cuidadosamente porque necesitarán confiar en sus recomendaciones de la acreditación. El SAISO puede desear repasar todos los paquetes de la certificación que se procesan dentro de la agencia; sin embargo, como cuestión práctica, está al lado de imposible hacer esto. En la mayoría de las agencias, hay lejano también muchos paquetes de la certificación para que un individuo repase y valide. debido a esta misma razón, el SAISO emplea a un agente de la certificación (o a agentes) para leer los paquetes, realizar evaluaciones, escribir recomendaciones, y elaborar un documento llamó un informe del gravamen de la seguridaddel The del informe del gravamen de la seguridad es básicamente un resumen de la evaluación y debe justificar y apoyar la recomendación encendido si o no acreditar el informe del gravamen de la seguridad de package.The debe tener toda la información que el SAISO necesita justificar el firmar de la letra de la acreditación, y extiende la recomendación hacia arriba al offi- que autoriza cial si o no él debe firmar la letra de la acreditación. Funcionario Mayor De la Aislamiento De la AgenciaCada agencia se supone tener un funcionario mayor de la aislamiento de la agencia. Para una agencia grande, un funcionario mayor de la aislamiento de la agencia pudo ser un trabajo a tiempo completo. Sin embargo, para una agencia pequeña, que’s posible que las responsabilidades de este funcionario se puedan realizar por el CIO, el personal’de CIO s, o la persona de SAISO.The en este papel podría llevar a cabo el título del principal oficial de la aislamiento—él o ella no tiene que necesariamente ser llamado el funcionario mayor de la aislamiento de la agencia. Qué’s más importante es que señalan alguien para realizar los deberes de salvaguardar la información confidencial y privada. Equipo De la Certificación Agent/EvaluationEl agente de la certificación repasa los paquetes de la certificación, haciendo recomendaciones si autorizan una acreditación positiva o no. Esencialmente, los agentes de la certificación actúan mientras que un peine de auditor.They con la certificación poco manejable empaqueta buscar la información que falta y la información que el doesn’t hace meta de sense.Their es determinarse si el paquete está en conformidad con la agencia’s documentó el manual de C&A, el proceso, políticas de la seguridad, y los requisitos de la seguridad’del sistema de información s. En algunas agencias, hay tan muchos paquetes a evaluar que el agente de la certificación está abarcado de un equipo de la evaluación team.The puede tener un nombre departamental tal como aseguramiento de la misión, aseguramiento de la información, o nombre de organización de Compliance.The está para la mayor parte tan inaplicable que podría ser diferente de la agencia a la agencia. Después de repasar los paquetes de C&A, el agente de la certificación, o equipo de la evaluación, recomendaciones de las marcas a las autoridades de acreditación internas—el SAISO y de autorizar a funcionario—encendido si o no un paquete se debe acreditar o no. En la mayoría de los casos, el funcionario de SAISO y el autorizar acepta la recomendación del agente de la certificación, y firma la letra de la acreditación basada solamente en una recomendación del agente de la certificación. Junto con la recomendación, el agente de la certificación también produce e incluye el informe del gravamen de la seguridaddel The del informe del gravamen de la seguridad debe justificar la recomendación. Cuando el agente de la certificación es un equipo de la gente, ella divide generalmente las diversas tareas que necesitan ser logradas para apresurar el proceso. Por ejemplo, una persona pudo evaluar los paquetes para los sistemas de ayuda generales, otra persona pudo evaluar los paquetes para los usos importantes, otra persona pudo crear y las plantillas de la actualización, y otra persona pudo poner al día el manual. El agente de la certificación es también responsable de desarrollar el proceso interno de C&A, y toda la documentación que describe este proceso—el manual y la documentación de templates.The que el agente de la certificación desarrolla para evaluar los paquetes es listas de comprobación y tarjetas de la cuenta. Las listas de comprobación y las tarjetas de la cuenta deben ser constantes con las plantillas y la ayuda de las listas de comprobación de handbook.The el agente de la certificación escribe el informe del gravamen de la seguridad. Es posible que el agente de la certificación y el oficial de seguridad mayor de la información de la agencia pueden ser la misma persona puesto que algunas agencias pequeñas pueden no tener los recursos internos tener dos diversos miembros del personal asignados a estos papeles. Si el agente de la certificación y SAISO es uno en la misma persona, después el agente de la certificación hace la recomendación de la acreditación al agente de la certificación de official.The que autoriza no toma la decisión final encendido si un paquete de C&A debe ser acreditado—él o ella hace recomendaciones solamente encendido si o no el paquete debe ser acreditado. Para demostrar objetividad, es a menudo el caso que el equipo de la evaluación consiste en consultores exteriores. FISMA, estados del § 3454: Cada año cada agencia habrá realizado una evaluación independiente del programa de la seguridad de la información y de las prácticas de esa agencia de determinar la eficacia de tal programa y prácticas. Si una agencia decide a utilizar a su propio personal, debe ser seguro que hay una separación clara de deberes entre los evaluadores y las organizaciones que están presentando los paquetes de C&A para la evaluación. Dueño Del NegocioEl dueño del negocio es una referencia genérica al dueño del sistema de información, y es probable que no haya empleados de la agencia con el dueño “del sistema de información del título,” que es porqué no estoy capitalizando la terminología aquí. El dueño del sistema de información podría ser encargado de programa, encargado del uso, ÉL director, o un director de la ingeniería por ejemplo. En cortocircuito, es la persona que es responsable del desarrollo y de las operaciones del sistema de información. El dueño del sistema de información es el quién consigue típicamente el balanceo de la bola para un nuevo proyecto de C&A. Los dueños del sistema de información necesitan asegurarse de que su sistema de información esté acreditado completamente antes de ser puesto en la producción. Una vez que un sistema de información esté en la producción, necesita ser recertified y acreditó cada tres años. Es la responsabilidad del dueño s’del sistema de información designar a alguien para ser el oficial de seguridad del sistema de información para el sistema que requiere C&A. Dueño Del SistemaEl dueño del sistema es la persona responsable de administrar los sistemas que el uso de C&A funciona encendido. Un dueño del sistema puede ser un administrador de sistemas solitario, o un departamento de los sistemas. En un uso distribuido grande, es posible que los diversos sistemas que son un pedazo de la infraestructura del uso tienen diversos dueños del sistema. Cuando un uso distribuido grande tiene diversos dueños del sistema, a veces los diversos dueños del sistema pueden ser diversas localizaciones geográficas o diversos edificios. Todos los paquetes de C&A, si es un paquete para un uso importante, o la infraestructura general de los servicios de ayuda que el uso funciona encendido, deben especificar quiénes los dueños del sistema del dueño is.The del sistema son a la gente que proporciona a dueño del sistema de los sistemas support.The se deben indicar en la información del contactodel The del inventario del activo para los dueños del sistema se deben indicar en el plan de contingencia y el gravamen del impacto del negocio. Dueño De la InformaciónEl dueño de la información es la persona que posee a dueño de la información de data.The se trata sobre la integridad de los datos, y se comunica con el dueño del sistema sobre las ediciones relacionadas con los controles de la seguridad del sistema o las bases de datos que residen los datos persona de on.The, o el departamento, que posee los datos no es siempre igual que el dueño del sistema, aunque podrían ser. En muchos casos, el dueño del sistema mantiene los datos para el dueño de la información de la información owner.The es a menudo alguien que divulga al dueño del negocio y podría ser encargado de base de datos, o encargado del uso. Es posible que en algunas organizaciones el dueño de la información y el dueño del negocio son la misma persona. Es posible que los datos sobre el sistema empizarrado para C&A bajan bajo diversa jurisdicción que el del dueño del sistema. Es también posible que el dueño de la información y el dueño del sistema son uno en la misma persona. Las bases de datos se pueden administrar y manejar a veces por alguien que tiene credenciales expertas en el área. Si el dueño del sistema y los dueños de la información no son uno en la misma gente, esto se debe observar en el paquete de la certificación en el inventario del activo. Oficial De Seguridad Del Sistema De InformaciónEl oficial de seguridad del sistema de información (ISSO) es responsable de manejar la seguridad del sistema de información que es empizarrado para C&A.The ISSO asegura que la configuración de sistemas de información está en conformidad con la política’de la seguridad de la información de la agencia s. Todos los documentos del paquete de la certificación son elaborados por el ISSO, o para el ISSO, por el personal o los contratistas. ISSOs tiene típicamente una placa grande de responsabilidades y necesitarán probablemente aumentar a su personal con los contratistas para preparar un paquete de la certificación expeditivo. No es infrecuente que un ISSO sea responsable de la preparación de la mitad de docena C&A empaqueta. Puesto que un paquete de C&A podría tomar fácilmente un año para que un experto bien-well-versed de la seguridad se prepare, se considera estándar y aceptable para que ISSOs emplee a consultores fuera de la agencia para preparar el paquete de la certificación. También mejora la objetividad del paquete de la certificación para hacerlo preparar por los individuos de tercera persona que no son parte de la agencia’s poseen a personal. Una vez que un paquete de la certificación sea completo, el ISSO lo presenta a un equipo de la evaluación que entonces proceda a validar al equipo de la evaluación de findings.The sea una extensión del agente que certifica. Si el agente que certifica no designa ni monta a equipo de la evaluación, el agente que certifica se debe preparar para evaluar el paquete de la certificación y para hacer una recomendación encendido si publicar una acreditación positiva. Preparadores de C&ALos preparadores de C&A, referidos a veces como el equipo de la revisión de C&A, prepara los paquetes de la certificación para la sumisión al equipo de la evaluación. En muchos casos, los preparadores de C&A son preparadores exteriores de consultants.The C&A pueden también ser un equipo mezclado de consultores exteriores y del personal interno de la agencia. Los preparadores de C&A trabajan para el dueño del sistema de información, pero generalmente bajo dirección del oficial de seguridad del sistema de información. Cuando viene a juntar el paquete de la certificación, es los preparadores de C&A que realizan a bulto de los preparadores de work.The C&A necesitan tener un fondo experto en seguridad de la información con una anchura de entender las varias facetas de la arquitectura de la seguridad, del secreto de la información, de la integridad de la información, de la disponibilidad de la información, de las políticas de la seguridad, y de las regulaciones de FISMA. Inspectores De la AgenciaPara prepararse para las visitas del GAO, todas las agencias, y algunas oficinas, tienen sus propios inspectores que vengan en sitio a las oficinas de agencia determinar periódicamente si está ocurriendo la conformidad apropiada de FISMA. En la mayoría de los casos, no requieren a los inspectores de la agencia dar la notificación mucho avanzada y sus visitas pueden ocurrir sin agencia de warning.The que los inspectores internos vienen de la oficina de agencia del general de inspector (OIG). Muchas oficinas de la agencia OIG tienen sus propios sitios del Web, y usted puede leer más sobre las diversas responsabilidades del OIG allí. Agencia de protección del medio ambiente www.epa.gov/oigearth/ Comisión federal www.fcc.gov/oig/ de las comunicaciones Departamento de la agricultura www.usda.gov/oig/ Departamento de los servicios http://oig.hhs.gov/ de la salud y del ser humano Administración de Seguridad Social www.ssa.gov/oig/ Servicio postal www.uspsoig.gov/ de Estados Unidos La meta de la agencia OIG es coger cualquier problema y resolverlo de modo que él no demuestre para arriba pues las deficiencias en oficinas de GAO reports.The OIG tienen su propia investigación y proceso de la revisión y diversas oficinas de OIG puede realizar sus intervenciones en diversas maneras. Las oficinas de OIG que son más vigilantes en su intervención y proceso de la revisión son más probables evitar que la agencia sea citada como deficientes por los inspectores de GAO. Inspectores de GAOLos interventores del descuido del GAO visitan las agencias federales sobre una base anual, y repasan los paquetes acreditados de la certificación para cerciorarse de que han sido properly.The acreditados GAO también repasan el proceso’de la agencia s C&A para determinarse si es aceptable. Si el GAO descubre que los paquetes de la certificación fueron acreditados inadecuado, o si el proceso’de la agencia s C&A es deficiente en cualquier manera, los funcionarios de la agencia documenta los resultados y la agencia recibe grados pobres en la tarjeta federal anual del informe de la seguridad de la computadora. La tarjeta federal del informe de la seguridad de la computadora es publicada cada año por el comité de ESTADOS UNIDOS sobre reforma del gobierno. Niveles de la intervenciónTomando en la consideración al equipo de la evaluación, a los inspectores de OIG, y a los inspectores de GAO, usted puede ver que el proceso de FISMA experimenta niveles rigurosos de la intervención (véase el cuadro 3.1). Generalmente no hay menos de tres niveles de la intervención. Algunas agencias pueden incluso tener un nivel adicional de la intervención. Después de las revisiones del equipo de la evaluación el paquete de la certificación, es posible que otra organización interna de la conformidad puede repasar el paquete de la certificación otra vez para considerar si el equipo de la evaluación hizo su trabajo correctamente. El equipo original de la evaluación y un equipo ancilar de la conformidad pueden en hecho no convenir encendido si un paquete de la certificación debe ser acreditado, y las dos organizaciones de la intervención interna tendrán que a menudo tener discusiones numerosas entre sí mismos a venir a un acuerdo en la recomendación final de la acreditación. Teniendo tan muchos niveles de la lata de la intervención en hecho parézcase como overkill; sin embargo, las agencias que se parecen complacer en estas redundancias de la intervención, y separación de deberes, a menudo precio el mejor en la tarjeta federal del informe de la seguridad de la computadora. Niveles de FISMA de la intervención para repasar el paquete de la certificación Inspectores de GAO esto es un artículo agregado por Hemant Baidwan
|
|||
|