Los problemas de no tener un Certificado / Programa de Acreditación
Si su agencia no tiene un C estándar y el programa A, se puede esperar que el proceso de C & A para llegar a ser extremadamente confuso y complicado demasiado. C & A los preparadores no sabrá lo que debe ser incluido en cada paquete, y los evaluadores no sé si falta algo. Falta informaciónSin un programa de C & A, diferentes paquetes de certificación se incluyen diferentes tipos de información. Por ejemplo, sin un C prescrito y estandarizado y un programa, un Paquete de certificación podría tener un Tecnologías de la Información Plan de Contingencia (PICT) y otros no. Una certificación del paquete podría incluir un mapa de la topología de la red, y otros no. Cuando llegue el momento de evaluar todo el Paquete de certificación, es difícil dejar un paquete para no tener un Plan de Contingencia de tecnología de la información si no existe una política o un proceso de organización cada vez requiere de uno a existir en primer lugar. Es muy difícil mantener el sistema de información de los propietarios y los responsables de la puesta Issos Paquetes de Certificación junto adecuada si su organismo todavía no ha definido qué constituye exactamente un Paquete de certificación adecuados. La falta de organizaciónA pesar de especificar la información correcta para incluir en un Paquete de certificación es de suma importancia, el formato del envase no debe pasarse por alto. Un Paquete de certificación puede ser de 500 páginas. A menos que cada uno se organiza de la misma manera, será muy complicado para los evaluadores que vadear a través de la voluminosa información y comprobar para ver si todo el material de derecho ha sido incluido. Es mejor hacer cosas más fáciles para los evaluadores. Los evaluadores que no puede hacer cara o cruz de la información que se les presentan, y no puede encontrar piezas de información clave, van a ser reacios a recomendar que un paquete de la acreditación. Inconsistencias en el Proceso de EvaluaciónUsted desea que cada Paquete de certificación para ser evaluado de la misma manera. Una agencia puede tener evaluators.Without diversos ningún tipo de norma para la certificación del paquete de contenido o formato, usted está dejando toda la evaluación a la opinión subjetiva de un (o un pequeño grupo) de las personas. evaluadores diferentes pueden hacer hincapié en las diferentes áreas. Si cada paquete tiene el formato de la organización misma, que mejora las posibilidades de que los evaluadores diferentes evaluará los paquetes de la misma manera, porque van a buscar, y esperan el mismo tipo de información. Arquitectura de seguridad y configuración DesconocidaSin un Paquete de certificación, que puede ser el caso de que la arquitectura de seguridad y configuración de su infraestructura de información no se conoce. Al trabajar a través del proceso de C & A, usted se dará cuenta de si esto es así o no. Si la arquitectura de seguridad está bien documentada, C & A es una oportunidad para hacer mapas que los diagramas de arquitectura y de la red son correctas. Si no está bien documentado o no documentado en absoluto, esto es algo que usted querrá a la investigación y diagram.The mismo es válido para la configuración de seguridad. Todo el software requiere de configuraciones. Cuando los sistemas operativos y aplicaciones se instalan, incluso si están instalados de forma segura, es la configuración de seguridad documentadas? Si la configuración de seguridad no están documentados, que son básicamente desconocidos. Incluso los administradores de sistemas expertos y experimentados por lo general no puede recordar cada pequeña cosa que han hecho a un sistema cuando la configuración porque los sistemas operativos y aplicaciones son tan característica rich.That es la razón por la arquitectura de seguridad y la documentación de configuración es C & A critical.The proceso está diseñado para encontrar las incógnitas de la configuración de la arquitectura de seguridad y configuración y luego resolver las incógnitas mediante la creación de la documentación necesaria en el camino. Riesgos DesconocidaLas leyes federales a un lado, la razón principal para comprender la postura de seguridad de sus sistemas de información para identificar los riesgos, entenderlos, y tomar la mitigación actions.With C & A deja sin definir, está abandonando el riesgo de que usted quiere que su agencia en busca de abrir a la especulación . Tal vez el Issos agencia identificar todos los riesgos clave, pero tal vez no lo harán. Una ISSO puede poner énfasis en la planificación de recuperación ante desastres, y otro podría poner énfasis en los riesgos del sistema. Es poco probable que todos ellos se pone el mismo énfasis en todos los aspectos de seguridad de la información. Cuando se trata de identificar los riesgos, hay numerosos elementos a tener en consideration.There son los riesgos del negocio, los riesgos del sistema, los riesgos de formación, la política de riesgos, los riesgos de inventario, y bien definidas C para on.A y el programa A se asegura de que todos los tipos relevantes de riesgos se tienen en cuenta. Leyes y Tarjetas de InformeEs posible que se sorprenda al descubrir que las palabras "certificación" y "acreditación" no se utilizan en la Información de la Ley Federal de Seguridad de 2002. Sin embargo, la propia ley establece claramente el requisito de un programa de seguridad de la información, y también los nombres de los elementos necesarios de ese programa. Muchos de los elementos necesarios del programa de información de seguridad exigidas son las que han evolucionado para ser hoy se conoce como "Certificación y Acreditación." Incluso si el programa en toda la agencia se llama de otra forma-por ejemplo "El Programa de Validación de seguridad"-de todos modos elementos del programa se required.You no debe obsesionarse con el hecho de que usted no ve los términos "certificación" o "acreditación" en la causa de procesamiento judical por escrito el nombre de los elementos del programa son requeridos por la ley sin importar cuán que les da derecho. Sin estos elementos, y sin un programa de seguridad de la información, las agencias están violando la ley. Es más, las agencias que no tienen los elementos adecuados incluidos en su programa de seguridad de la información obtendrá pobres Federal Computer Security Report Card grados. presentado por Hemant Baidwan
|
|||
|