Er den viktige informasjonen din selektiv sikker. Hvordan vet du. Ar flere måter å øke tilliten i sikkerhetstiltak av dine vitale entropi. Dataene kan være flyttet til en plassering som ikke er tilgjengelig. En sikkerhet systemet firmaet kan være ansatt for å installere, oppdatere og overvåke systemet.
Men kanskje den enkleste metoden, og som nå er obligatorisk for Department of Defense, er manipulasjon av info engineering produkter vedkommende rik blitt uavhengig evaluert og sertifisert. Mens dette høres ut som en god idé, hvor does ettall finner slike IT-produkter.
Svaret er som er sertifisert av produktene som er oppført på webområdet for emne Information Assurance Partnership (NIAP) på. Home(a) Institute of Standards og Engineering (NIST) og Interior(a) Security Agency (NSA) etablert NIAP å evaluere data engineering vitenskap matematiske produktet overensstemmelse med internasjonale standarder, nemlig Park vilkår (CC). Programmet, offisielt kjent som NIAP Commons vilkår evaluering og validering ordningen (CCEVS) for IT-sikkerhet er et partnerskap mellom offentlige og private sektorer.
Planen ble gjennomført å hjelpe forbrukerne utvalgte kommersielle sokkel (COTS) IT produkter som oppfyller deres krav kausjonist og å hjelpe produsenter av disse produktene gevinst aksept i det globale markedet. En av plattformens viktigste mål er å forbedre tilgjengeligheten av evaluerte IT-produkter.
Det andre sentrale elementet i instruksjon 8500.2 er inkludering av definisjoner for generisk "hardiness" nivåer og tildelingen av "planlagte nivåer" av IA tjenester på de lustiness nivåene, avhengig av verdien av det og miljøet der den brukes. Robusthet horisontal overflate beskrivelser assistanse ISSE og DAA kan du fastslå en mustiness evalueres på hvilket nivå for ånd av CC selvsikkerhet. Dette er sendt videre til selger for wont i å utvikle en vurdering tjenester god bridge med en CCTL.
ISSE og DAA bør dessuten vurdere følgende når du velger verdivurdering tillit graden: verdien av aktiva organisme beskyttet; risikoen for de eiendeler beingness svekket; ressurser til de som kan prøve å invadere eiendom; og "krav, misjon, og kundebehov."
Instruksjonen 8500.2 augments for viktige punkter fra direktivet 8500.1. Produkter tilgjengelig "nether flere prisbelønte tidsplan kontrakter eller ikke - Defense Department regjeringen-Wide oppkjøpet kontrakter tildelt før 1. juli 2002, moldiness evalueres når og hvis en versjon utgivelsen av den er gjort tilgjengelig under ta." Bare oppgitt, betyr dette at produkter som akkurat nå eksistens mottatt av United States Department of Defense-kontrakter tildelt før 1 juli 2002, evalueres og godkjent CC.
Instruksjonen likeledes slår fast at "selv om produkter velstående vedkommende ikke tilfredsstillende utført kan brukes, skal kreve kontrakter. tilfredsstillende fullføres innenfor en angitt tidsperiode." Denne setningen gir abridge offiserer oppgaven med å sikre kjøpet foreshorten inneholder bestemmelser som krever leverandører å fullføre CC. Leverandører kan ikke bare sende sine produkter til og deretter ikke fullføre prosessen.
Leverandører tin kan arbeide med deres CCTL og Forsvaret for å avgjøre en rimelig tidsperiode for den, som kan være et hvilket som helst antall måneder avhengig av primært på kompleksitet, vender bevis beredskap, selvtillit klasse utvalgte og lab's kjennskap til anvendt vitenskap. Til slutt, instruksjonen fastslår at den opprinnelige abbreviate angir at "validering ville være holdt gjeldende" der utnyttelse er forventet for nyere versjoner av som.
CC sertifikat vedlikehold er en annen oppgave som krever innsats og planlegging på en del av Stevens fordi CC sertifikater som gjelder for en bestemt versjon og konfigurasjon av en. Kravene for å opprettholde dette sertifikatet på tvers av fremtidige versjoner av beskrevet i et dokument med tittelen "Assurance kontinuitet: CCRA krav," utstedt i februar 2004 av internasjonale kropp ansvarlig for(p) for å opprettholde Green-vilkår.
Toalett du hente en kopi av dette dokumentet fra en hvilken som helst CCTL eller NIAP-CCEVS. forkorte offiserer skal sikre sine leverandører som er klar over er fullført og sertifikat vedlikehold-setningsdeler i sine kontrakter, slik at produkter ikke unngå å møte og vedlikeholde CC-sertifiseringskrav for fortsatt øvelse. Som med direktivet 8500.1, betrodd leder av komponenter ansvar å sikre systemer benytter løsninger i samsvar med de 8500.2 delene som beskriver evalueringer.
Videre understreker betydningen den føderale regjeringen, og plasserer på evalueringer, offentlig lov inneholder bestemmelser for evalueringer og ofte-søkt etter fritak til slike krav til sikkerhetspolicy. Undertittel F: Information Engineering vitenskap, delen 352 av offentlig lov 107-314, vedtatt i desember 2002, dirigerer utenriksminister defense å etablere en politikk for å begrense dyktighet av myndighet produkter til disse produktene som kan gi fødsel er vurdert og godkjent i samsvar med passende kriteriene, ordninger eller programmer. Slike vilkår eller ordninger inkluderer NIAP-CCEVS og internasjonalt utviklet CC.
Mens erfarne leverandører vil staten at gjennomføring policyen krav toalett noen ganger være fravikes, autoriserer fraskrivelse-setningsdelen i offentlig lov 107-314 utenriksminister defense til å gi slike fritak bare for US Derfor gjør denne loven det vanskelig å få fritak for oppnåelse policyer som krever CC evalueringer. Tydelig, uavhengige evalueringer viktig til både den føderale regjeringen og den, som NSTISSP # 11, 8500.1, 8500.2 og offentlig lov 107-314 bekrefte.
Slike evalueringer tillate den å levere tillit at produktene det kjøp møte sikkerhet avdeling påstander gjort av leverandører. Mens mesteparten av arbeidet for å få disse evalueringer faller til, den er kredittverdige for å sikre at produkter vurdert og godkjent i henhold til kravene Reduser angitt i s egen politikk.
Det er også for å hjelpe den med utvalg av sureness laget for den siden at høytidelig stratum er valgt basert på behovene for beskyttelse og anvendelsen av formål.
Forstå at slike evalueringer og sine påfølgende vedlikehold ikke triviell oppgaver: de som tar uker eller måneder å fullføre avhengig av scenen, beredskap av den til å angi de nødvendige bevis og kompleksiteten i den. Vanlige vilkår evalueringer spiller en viktig rolle i å beskytte. Derfor anskaffelser ledere, smale offiserer og leverandører bør gjøre kjent seg med vilkårene og prosessen.
No comments:
Post a Comment