home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / secpubs / doc-cert.txt

< prev

next >

Wrap

Text File  |  1995-09-15  |  33KB  |  854 lines

---

1.  
2.  
3.  
4.                      U. S. DEPARTMENT OF COMMERCE
5.  
6.                        ABBREVIATED CERTIFICATION
7.                               METHODOLOGY
8.                               GUIDELINES
9.  
10.                      FOR SENSITIVE AND CLASSIFIED 
11.                         INFORMATION TECHNOLOGY 
12.                                 SYSTEMS
13.  
14.  
15.  
16.  
17.  
18.  
19.  
20.  
21.  
22.  
23.  
24.  
25.                            December 1, 1992
26.  
27.  
28.                      U. S. DEPARTMENT OF COMMERCE
29.                  ABBREVIATED CERTIFICATION METHODOLOGY
30.              FOR SENSITIVE INFORMATION TECHNOLOGY SYSTEMS
31.  
32.  
33. A.    INTRODUCTION
34.  
35.       It is the policy of the Department of Commerce (DOC) to
36.       comply fully with all federal statutes and directives on
37.       information technology (IT) security and to provide
38.       protection commensurate with the sensitivity of the systems
39.       or data processed.  
40.  
41.       Protection requirements for each of the individual IT
42.       systems within the Department will vary according to the
43.       unique characteristics of the system, environmental
44.       concerns, data sensitivity and mission related criticality
45.       of the system or data.  Appropriate levels of security must
46.       be determined by an evaluation of the threats,
47.       vulnerabilities and risk factors associated with each
48.       system.  Cost-effective controls that are adequate to
49.       achieve an acceptable level of risk for the individual
50.       system must then be implemented.
51.  
52.       The DOC "Information Technology Accreditation Policy" issued
53.       on July 6, 1992 established the requirement for
54.       accreditation of all unclassified sensitive and classified
55.       national security IT systems.  Accreditation is the
56.       authorization and approval, granted to a sensitive or
57.       classified IT system to process, as an acceptable risk, in
58.       an operational environment.  Accreditation is made on the
59.       basis of recommendations from a technical certification
60.       evaluation that the IT system meets all applicable federal
61.       and DOC policies, regulations, and standards and that all
62.       installed security safeguards appear to be adequate and
63.       appropriate for the sensitivity of the system; that they are
64.       operating correctly; or, that the system must be operated
65.       under certain specified conditions or constraints.  
66.  
67.       The technical certification evaluation results are the basis
68.       for the system owner's certification statement in the
69.       accreditation request.
70.  
71. B.    PURPOSE
72.  
73.       The purpose of this document is to provide guidance on
74.       appropriate procedures to follow in performing the technical
75.       certification evaluations of all sensitive and classified
76.       national security systems within the Department. 
77.  
78.       The DOC issued a "Methodology for Certifying Sensitive
79.       Computer Applications" in March 1987.  The process described
80.       in that document was required for any new DOC applications
81.       or any modification of existing applications that handle
82.       sensitive information.  It is especially suited for large
83.       complicated applications, for applications which are in-
84.       house developed or involve extensive modifications to
85.       customize for Commerce use, applications with very high
86.       sensitivity such as major financial applications which
87.       process high dollar amounts or are subject to fraud or
88.       abuse, or for new applications without existing security
89.       documentation.  This original certification methodology
90.       should be used for systems meeting the above criteria.  
91.  
92.       That methodology has proved to be far too complex for many
93.       of the Department's systems.  The methodology described in
94.       this document is an abbreviated form of this process,
95.       developed to address existing sensitive systems with
96.       extensive documentation already available.   It is intended
97.       to handle smaller systems and applications such as those
98.       associated with personal computers (PCs) or those systems
99.       with only a few users, and turn-key or commercial systems
100.       which were procured against a detailed set of security
101.       specifications.  This abbreviated methodology stresses the
102.       use of existing documentation wherever possible.  It can be
103.       used for completing the technical certification evaluation
104.       requirements for both application systems and general
105.       support systems.  The term "system" used in this document is
106.       intended to mean either of the following, as appropriate: 
107.  
108.       1.   Application Systems - Systems that perform clearly
109.            defined functions for which there are readily
110.            identifiable security considerations and needs.  Such a
111.            system might actually comprise many individual
112.            application programs and hardware, software, and
113.            telecommunications components.  They can be either a
114.            major software application or a combination of
115.            hardware/software where the only purpose of the system
116.            is to support a specific mission related function.  The
117.            system may process multiple individual applications, if
118.            all are related to a single mission function.
119.  
120.       2.   General Support Systems - These consist of hardware and
121.            software that provide general automated data processing
122.            or network support for a variety of users and
123.            applications.  Individual applications may be less
124.            easily distinguishable than in the previous category,
125.            but such applications may contain sensitive
126.            information, or be critical to the mission
127.            accomplishment of the organization.  Even if none of
128.            the individual applications are sensitive, the support
129.            system itself may be considered sensitive if the
130.            aggregate of applications and support provided are
131.            critical to the mission of the operating unit.
132.  
133. C.    ABBREVIATED CERTIFICATION METHODOLOGY
134.  
135.       Certification is based on a technical evaluation of a
136.       sensitive system to see how well it meets its security
137.       requirements, including all applicable federal policies,
138.       regulations, and standards.  The results of tests should
139.       demonstrate that the installed security safeguards are
140.       adequate and appropriate for the system.  The certification
141.       process is the final step leading to accreditation of the
142.       system.  Sensitive systems will be recertified and
143.       reaccredited when substantial changes are made to the
144.       system, when changes in requirements result in the need to
145.       process data of a higher sensitivity, after the occurrence
146.       of a serious security violation which raises questions about
147.       the validity of an earlier certification, and in all cases
148.       no less frequently than three years after a previous
149.       certification.
150.  
151.       Certification evaluations are conducted by the organization
152.       that owns the system.  The certification team should get
153.       input from all who have involvement with the system,
154.       including:
155.  
156.           IT security staff, 
157.  
158.           system owner staff, 
159.  
160.           computer program development staff, if the application
161.            was developed in-house, and 
162.  
163.           the computer operations staff, if the application is
164.            run on a computer managed by a separate organization.  
165.  
166.           users
167.  
168.       Representatives from as many of these organizations as
169.       possible should be included on the Certification Review
170.       Team.
171.  
172.       The certification methodology described in this document
173.       consists of the following steps, which will be described
174.       more fully in the rest of this document:
175.  
176.            Step 1.  Assemble a team
177.            Step 2.  Collect existing documents
178.            Step 3.  Describe the system and its sensitivity
179.            Step 4.  Identify protection requirements and
180.       vulnerabilities
181.            Step 5.  Identify security features needed
182.            Step 6.  Test the adequacy of controls
183.            Step 7.  Evaluate test results
184.            Step 8.  Certify the system
185.  
186.       Worksheet forms to document each step in the certification
187.       process are provided in Appendix A.
188.  
189.  
190.  
191.  
192.       Definitions
193.  
194.       Certification is a technical evaluation of a sensitive
195.       system to see how well it meets necessary security
196.       requirements, such as appropriate federal policies,
197.       regulations, and standards.  
198.  
199.       The Certifying Official is a senior manager in the
200.       organization which owns the system.  The system owner is the
201.       organization which has functional responsibility for the
202.       system.  The Certifying Official should be a manager who was
203.       responsible for having the system developed or the
204.       functional area that the system supports, who has a need for
205.       the results produced by the system, and can allocate
206.       resources to correct deficiencies in the security controls
207.       for the system.
208.  
209.       The Certification Review Team will collect the information
210.       needed for the certification process, identify
211.       vulnerabilities, develop a list of needed security features,
212.       develop tests of the adequacy of the features, and evaluate
213.       the test results.
214.  
215.       Security features are controls that protect against the
216.       identified vulnerabilities, such as fire and water alarms,
217.       passwords and other access protection, use of removable
218.       media for data storage, data validation controls, audit
219.       trails, uninterruptable power sources to protect against
220.       electrical outages, personnel screening, IT security
221.       awareness training of users, etc.
222.  
223.       A sensitive system is one that requires some degree of
224.       protection for confidentiality, integrity or availability. 
225.       This includes data whose improper use or disclosure could
226.       adversely affect the ability of an agency to accomplish its
227.       mission, proprietary data, records about individuals
228.       requiring protection under the privacy Act, and data not
229.       releasable under the Freedom of Information Act.  If the
230.       system is required for accomplishment of an agency mission
231.       it need not contain any sensitive data.   
232.  
233.       Test scenarios are descriptions of the tests to be performed
234.       to check the effectiveness of the security features
235.       incorporated into the system.  They may include validation
236.       of password constraints such as length and composition of
237.       the password, entry of erroneous data to check data
238.       validation controls, review of audit information produced by
239.       the system, review of contingency plans and risk analyses,
240.       etc.
241.  
242.       Vulnerabilities are ways in which the system may be attacked
243.       or may fail.  They include susceptibility to physical
244.       dangers such as fire or water, unauthorized access to
245.       sensitive data, entry of erroneous data, denial of timely
246.       service, fraud, etc.
247.  
248.       Methodology Approach
249.  
250.       Step 1 - Assemble a team:  The first step in the abbreviated
251.       process is to assemble a team to gather the information and
252.       documentation needed to assess and demonstrate the adequacy
253.       of security measures used.  The team should include
254.       representatives of IT security, application owners, software
255.       development, computer systems, and users.  For very small
256.       systems the users, software programming staff, and computer
257.       systems staffs may be the same.  The IT security staff
258.       provides an outside viewpoint to ensure that the best IT
259.       security practices are used in protecting sensitive systems. 
260.       Where computer system staff, software programmers, and users
261.       are in separate organizations, it is important that all
262.       points of view are represented in the process, to ensure
263.       that user expectations of protection needs are addressed,
264.       and that software and computer system constraints are
265.       understood.
266.  
267.       Step 2 - Collect existing documents needed for the
268.       certification evaluation:  These documents include, but are
269.       not limited to:
270.  
271.            1.    system specifications and documentation
272.            2.    system security plan
273.            3.    risk analysis
274.            4.    contingency and disaster recovery plans
275.            5.    staff records on personnel and the IT Security
276.                  Officer identification, training and position
277.                  sensitivity levels 
278.            6.    Internal Control Reviews, security reviews, etc.,
279.       if existing
280.  
281.       Step 3 - Identify and describe the system to be certified
282.       and describe why it is sensitive:  It is necessary to have a
283.       written description of the purpose of the system, the
284.       hardware and software environment on which the system is
285.       operated, and a description of the sensitivity of the
286.       system, including any special applicable laws and
287.       regulations.  This information is readily available in the
288.       Sensitive System Security Plan for the system being
289.       certified.  If the certification is for a software
290.       application system that will be used by others, the hardware
291.       description should address the hardware needed to operate
292.       the system, but the certification should focus on the
293.       software application program.  Complete the blank sections
294.       of Sensitive System Certification Worksheet 1, System
295.       Description and attach a copy of the approved Sensitive
296.       System Security Plan for the system being evaluated.  The
297.       Worksheet identifies the section numbers in the security
298.       plan where detailed information can be obtained for review.
299.  
300.       Step 4 - Identify protection requirements and
301.       vulnerabilities:  Review the description of the protection
302.       requirements for the system under the headings
303.       confidentiality, integrity, and availability in Section
304.       II.B. of the Sensitive System 
305.       Security Plan.  Enter the levels of protection required
306.       (high, medium, low) in the blanks provided on Worksheet 1.  
307.  
308.       Identify vulnerabilities for the system related to these
309.       protection requirements.  Most vulnerabilities will be
310.       addressed in the existing documents collected in Step 2. 
311.       All sensitive systems should have a completed risk analysis. 
312.       The risk analysis will identify vulnerabilities and their
313.       consequences, such as unauthorized disclosure of
314.       information, loss of data or other resources, denial of
315.       service, decisions based on erroneous information, etc. 
316.       System documentation is another source of information about
317.       the vulnerabilities.  The security plan for the system being
318.       evaluated contains information about specific
319.       vulnerabilities and control measures addressed.  The team
320.       should also review any existing Internal Control, Inspector
321.       General (IG) or security review reports on the system, for
322.       additional information on system vulnerabilities.  In
323.       addition to the documentation, the team may need to
324.       interview managers in the user organization to ascertain
325.       their concerns about the sensitivity of the system and the
326.       level of protection required.
327.  
328.       Complete the Sensitive System Certification Worksheet 2:
329.       Identified Vulnerabilities by listing the identified
330.       vulnerabilities.
331.  
332.       Step 5 - Identify security features needed:  The team next
333.       needs to review existing documents to identify the controls
334.       in place to address the vulnerabilities identified above. 
335.       The risk analysis, security plans, and system documentation
336.       reviewed for vulnerabilities also contain information on
337.       controls used to reduce those vulnerabilities.  System
338.       specifications, if they still exist, will also provide
339.       information on the controls designed into the system.  The
340.       team will also need to review the contingency and disaster
341.       recovery plans for the system.  The team should interview
342.       the IT System Security Officer to review installation IT
343.       security procedures.  Staff training records will show the
344.       level of IT security training given to application and
345.       computer installation staff.  Staff records should also show
346.       the sensitivity designation of staff positions and any
347.       personnel investigations, required and conducted, for staff
348.       in the affected positions.  Complete the Sensitive System
349.       Certification Worksheet 3: Security Features.
350.  
351.       Step 6 - Test adequacy of controls:  Once vulnerabilities
352.       and controls have been identified, the team should
353.       selectively check the adequacy of the controls.  Some live
354.       tests may be needed to ensure that documented controls
355.       actually work.  Other controls may be reviewed through other
356.       means.  Previous system reviews and system acceptance tests
357.       may contain records of tests previously performed.  It is
358.       not necessary to repeat these tests, if the system has not
359.       changed since they were done.  The review of vulnerabilities
360.       and controls should identify any areas not adequately
361.       addressed.  Sensitive System Certification Worksheet 4:
362.       Security Tests is used to list the tests to be performed. 
363.       Use Sensitive System Certification Worksheet 5: Security
364.       Test Results to record the results of the tests.  
365.  
366.       Step 7 - Evaluate the test results:  Once all tests are
367.       completed, a summary of the evaluation of the tests should
368.       be prepared. The team should then prepare recommendations
369.       about certification.  Sensitive System Certification
370.       Worksheet 6: Evaluation and Recommendations is used to
371.       record the evaluation of test results and the team's
372.       recommendation.  The recommendation section should be signed
373.       by all members of the team and dated.  
374.  
375.           If the tests results indicate that all protection
376.            requirements have been met, the team can recommend
377.            certification with no further action required.
378.  
379.           The Certification Review Team may determine from the
380.            test results that the protection requirements were not
381.            met for the system.  In that case, the evaluation
382.            discussion of test results should explain the
383.            inadequacy of the controls in place.
384.  
385.           The team may alternatively certify that the basic
386.            protection requirements have been met, but recommend
387.            additional features be required.  This latter form of
388.            certification is appropriate for certifying a software
389.            application system which must have certain operating
390.            system or hardware features in place for approved
391.            operation.  This may also be used in recommending
392.            interim accreditation pending installation of some
393.            additional control not currently available.  
394.  
395.       Step 8 - Certification:  The official Certification document
396.       is signed by a senior management official in the system
397.       owning organization.  A sample certification document is
398.       attached as Appendix B.
399.  
400.       There may be situations when the need for a system is such
401.       that it must be put into operation before a full
402.       certification is possible.  In this case, the Certifying
403.       Official can provisionally certify the system for operation,
404.       possibly with some restrictions, pending specific actions to
405.       be completed in a predefined time frame.  This interim
406.       certification cannot exceed one year.  These actions should
407.       also be included as milestones in the security plan for the
408.       system.  The certification process must be flexible enough
409.       that it accommodates the need for operational efficiency as
410.       well as adequate protection of the system.
411.  
412.                               APPENDIX A
413.  
414.                SENSITIVE SYSTEM CERTIFICATION WORKSHEETS
415.  
416. This Appendix contains a set of six worksheets to assist with
417. documenting the certification evaluation of the system.  Each
418. worksheet is preceded by a set of instructions and definitions
419. which will provide guidance for completing the evaluation and the
420. worksheet.
421.  
422.                 DIRECTIONS FOR COMPLETING WORKSHEET 1: 
423.                           SYSTEM DESCRIPTION
424.  
425. Much of the information requested on Worksheet 1 is contained in
426. the Security Plan for the system.  To avoid having to rewrite
427. this information and have a ready reference to the needed
428. information, attach a copy of the Security Plan behind Worksheet
429. 1.  Each worksheet contains blank lines, where information must
430. be entered.  This step is important to avoid confusion with other
431. system certification evaluation documentation. 
432.  
433. System Name/Title is the name of the system used in the Security
434. Plan for a sensitive system (Section I.B of the Security Plan). 
435. To avoid confusion with other certification evaluation
436. documentation this should be written on all worksheets.  
437.  
438. System ID is the unique six digit system identification number
439. assigned for each sensitive system in the Department.  Again, to
440. avoid confusion with other certification evaluation documentation
441. this should be written on all worksheets.
442.  
443. System Owner is the name of the contact person in the owning
444. organization who is knowledgeable about the system and protection
445. requirements.  It may be the person listed as Information Contact
446. (Section I.G) in the Security Plan.  Provide full address and
447. phone number, including area code, for the owner.
448.  
449. Developer is the name of the person who is responsible for
450. developing the software.  If this is a commercial application,
451. put the name of the organization in this space.  If there is no
452. developer or the developer's name is unknown, put "none" in this
453. space.
454.  
455. General Description/Purpose is a description of the function and
456. purpose of the system.  This information is contained in Section
457. I.E of the Security Plan.
458.  
459. System Environment and Special Considerations is a description of
460. the computer and software environment of the system.  This
461. information is contained in Section I.F of the Security Plan.
462.  
463. Sensitivity of Information Handled describes why the system is
464. sensitive.  
465.  
466.       Applicable Laws and Regulations lists any laws and
467.       regulations that specifically apply to this system, such as
468.       the Privacy Act.  This information is contained in Section
469.       II.A of the Security Plan.
470.  
471.       General Description of Information Sensitivity is a
472.       description of why the system is sensitive and the nature of
473.       that sensitivity.  This information is contained in the
474.       introduction to Section II.B of the Security Plan.
475.  
476. Description of Protection Requirements describes what makes the
477. system sensitive.  The descriptions of protection needs for
478. confidentiality, integrity, and availability are contained in
479. Section II.B of the Security Plan.  Write in the designated level
480. (high, medium, low) in the blanks provided.
481.               SENSITIVE SYSTEM CERTIFICATION WORKSHEET 1
482.                           SYSTEM DESCRIPTIONSystem Name/TitleSystem ID:
483. System Owner
484.  
485. Address:   ______________________________________________________
486.            _________
487.            ______________________________________________________
488.            _________
489. Phone:     ______________________________________________________
490.            _________Programmer/Developer:
491.  
492. Address:   ______________________________________________________
493.            _________
494.            ______________________________________________________
495.            _________
496. Phone:     ______________________________________________________
497.            _________General Description/Purpose
498.   (See Section I.E. of attached security plan.)
499. System Environment and Special Consideration
500.   (See Section I.F. of attached security plan).
501.  
502. Sensitivity of Information Handled:
503.   Applicable Laws and Regulations Affecting the System
504.   (See Section II.A. of attached security plan.)
505.  
506. General Description of Information Sensitivity
507.   (See Section II.B. of attached security plan.)
508. Description of Protection Requirements
509.   See Section II.B. of attached security plan and fill in the
510. designated level (high, medium, low) in the blanks.
511.  
512. Confidentiality ______
513.  
514. Integrity ______
515.  
516. Availability ______
517.  
518.  
519.                 DIRECTIONS FOR COMPLETING WORKSHEET 2: 
520.                       IDENTIFIED VULNERABILITIES
521.  
522.  
523. System Name/Title and System ID are the same as on Worksheet 1.
524.  
525. Description of Identified Vulnerabilities should include the
526. vulnerabilities that the system may have prior to putting
527. controls in place.  These should have been identified in the risk
528. analysis.  They might include physical vulnerabilities such as
529. fire or disk crashes, entry of erroneous data, denial of service,
530. and unauthorized access to information.
531.               SENSITIVE SYSTEM CERTIFICATION WORKSHEET 2
532.                       IDENTIFIED VULNERABILITIESSystem Name/TitleSystem ID:
533.  
534. Description of Identified Vulnerabilities
535.   (From Risk Analysis, Security Plan, system documentation,
536. interviews and other review      reports - Risks that exist prior
537.                                  to putting any controls in place)
538.  
539.  
540.  
541.  
542.  
543.  
544.  
545.  
546.  
547.  
548.  
549.  
550.  
551.  
552.  
553.  
554.  
555.  
556.  
557.  
558.  
559.  
560.  
561.  
562.  
563.  
564.  
565.  
566.  
567.                 DIRECTIONS FOR COMPLETING WORKSHEET 3: 
568.                            SECURITY FEATURES
569.  
570.  
571. System Name/Title and System ID are the same as on Worksheet 1.
572.  
573. Description of Security Features is a list of the security
574. features used to protect this system.  They can be taken from
575. Sections III.C of the Security Plan and include Management
576. Controls, Development/Implementation Controls for application
577. systems, Acquisition/Development/Installation Controls for
578. general support systems, Operational Controls, Security Awareness
579. and Training, Technical Controls and Complementary Controls
580. Provided by General Support Systems for application systems or
581. Controls Over the Security of Applications for general support
582. systems.
583.  
584. Although, it is not necessary to include the level of detail
585. contained in the Security Plan, the controls should be listed to
586. provide a foundation for selecting tests to be performed to
587. verify if the controls are adequate and appropriate and are
588. operating as expected.
589.               SENSITIVE SYSTEM CERTIFICATION WORKSHEET 3
590.                            SECURITY FEATURESSystem Name/TitleSystem ID:
591. Description of Security Features:
592.  
593.  
594.  
595.  
596.  
597.  
598.  
599.  
600.  
601.  
602.  
603.  
604.  
605.  
606.  
607.  
608.  
609.  
610.  
611.  
612.  
613.  
614.  
615.  
616.  
617.  
618.  
619.  
620.  
621.  
622.  
623.  
624.                 DIRECTIONS FOR COMPLETING WORKSHEET 4:
625.                             SECURITY TESTS
626.  
627.  
628. System Name/Title and System ID are the same as on Worksheet 1.
629.  
630. Test Scenarios should contain a numbered list of the tests to be
631. preformed to verify the controls listed on Worksheet 3.  For more
632. detail about the controls, see Section III.C. of the security
633. plan.  
634.  
635.           If this is an existing system that has been in
636.            operation for some time, the tests may selectively test
637.            the most critical controls. 
638.  
639.           If the system is under, or just completed development,
640.            or is a turn-key system, all security controls should
641.            be tested.
642.  
643.           If testing has been done for a another recent review,
644.            or during recent acceptance testing of the system, it
645.            may not be necessary to repeat the tests.  It will be
646.            necessary to review records of the prior tests, and
647.            determine if the documentation of the tests and results
648.            are adequate.   If it is determined that it is not
649.            justified to repeat the tests, a statement should be
650.            included on Worksheet 4 explaining the reason.  Also,
651.            include enough information about all supporting
652.            documentation reviewed, to allow it to be located for
653.            future reference.  At a minimum, include a list of
654.            tests from the documentation, that were performed. 
655.            This list need not contain as much detail for each
656.            individual test as the referenced documentation. 
657.  
658.               SENSITIVE SYSTEM CERTIFICATION WORKSHEET 4
659.                             SECURITY TESTSSystem Name/TitleSystem ID:
660. Test Scenario:
661.  
662.  
663.  
664.  
665.  
666.  
667.  
668.  
669.  
670.  
671.  
672.  
673.  
674.  
675.  
676.  
677.  
678.  
679.  
680.  
681.  
682.  
683.  
684.  
685.  
686.  
687.  
688.  
689.  
690.  
691.  
692.  
693.                 DIRECTIONS FOR COMPLETING WORKSHEET 5:
694.                          SECURITY TEST RESULTS
695.  
696.  
697. System Name/Title and System ID are the same as on Worksheet 1.
698.  
699. Test Results reports the results of each of the tests described
700. on Worksheet 4.  The numbers on Worksheet 5 for each test result
701. should agree with the numbers on Worksheet 4 for the test
702. description.  Indicate whether the was "Passed" or "Failed".
703.  
704.  
705.               SENSITIVE SYSTEM CERTIFICATION WORKSHEET 5
706.                          SECURITY TEST RESULTSSystem Name/TitleSystem ID:
707. Test Results:
708.  
709.  
710.  
711.  
712.  
713.  
714.  
715.  
716.  
717.  
718.  
719.  
720.  
721.  
722.  
723.  
724.  
725.  
726.  
727.  
728.  
729.  
730.  
731.  
732.  
733.  
734.  
735.  
736.  
737.  
738.  
739.  
740.                 DIRECTIONS FOR COMPLETING WORKSHEET 6:
741.                     EVALUATION AND RECOMMENDATIONS
742.  
743.  
744. System Name/Title and System ID are the same as on Worksheet 1.
745.  
746. Evaluation of Test Results should discuss the results of the
747. tests and their relationship to assuring the adequacy of
748. controls.
749.  
750. Under Recommendations check one of the three responses.  
751.  
752.           Check Tests indicate that protection requirements were
753.            met if all tests resulted in correct results.
754.  
755.           Check Tests indicate that protection requirements were
756.            not met if some tests failed and corrections have not
757.            been, or cannot be implemented.
758.  
759.           Check Tests indicate that protection requirements were
760.            met; recommend certification with the following
761.            additional security features required: if there are
762.            additional security controls needed to meet the
763.            protection requirements.  This category should be used
764.            when certifying software applications that require
765.            hardware or operating system features to assure
766.            adequate protection.  It should also be used if an
767.            interim certification is being recommended, pending
768.            completion of specific actions.
769.  
770. Certifying Team Signatures should included printed names of the
771. certifying team members, a signature, and a date for each team
772. member.
773.  
774.               SENSITIVE SYSTEM CERTIFICATION WORKSHEET 6
775.                     EVALUATION AND RECOMMENDATIONSSystem Name/TitleSystem
776. ID:
777. Evaluation of Test Results:
778.  
779.  
780.  
781.  
782.  
783.  
784.  
785. Recommendations:
786.  
787.       _____      Tests indicate that protection requirements were
788.                  met.
789.            RECOMMEND CERTIFICATION OF THIS SYSTEM.
790.  
791.       _____      Tests indicate that protection requirements were
792.                  not met.  RECOMMEND THAT THIS SYSTEM NOT BE
793.                  CERTIFIED.
794.  
795.       _____      Tests indicate that protection requirements were
796.                  met; recommend certification with the following
797.                  additional security features required:
798.  
799.  
800.  
801.  
802. Certifying Team Signatures
803.  
804.  
805.      Name                        Signature                      
806.        Date
807.  
808. _______________________________________________________________
809. ____________
810.  
811. _______________________________________________________________
812. ____________
813.  
814. _______________________________________________________________
815. ____________ 
816.  
817.  
818.  
819.                               Appendix B
820.  
821.                     Sample Certification Statement
822.  
823.  
824. I have carefully examined the certification worksheets for DOC
825. Information Technology System Number _________, "Insert system
826. name/title", dated ___________________ .  Based on the
827. information contained in this package and the results of tests
828. conducted on the system, it is my judgment that satisfactory
829. information technology controls are in place to adequately
830. protect the system and that it is operating at an acceptable
831. level of risk.  
832.  
833. I hereby certify DOC IT System Number ________, "Insert system
834. name/title", for a period not to exceed three years.  Should
835. substantial changes or security incidents occur during that three
836. year period, which bring the adequacy of the protection measures
837. for this system into question, a reevaluation and recertification
838. must be completed earlier.
839.  
840.  
841.  
842.  
843. Certification Official Name/Title: 
844.  
845.       ______________________________________________                   
846.                  
847.       ______________________________________________
848.  
849.  
850. Signature: _____________________________________________  Date:
851. ____________
852.  
853.  
854.