È il vostro informazioni vitali selettivo sicuro. Come fai a sapere. Ci ar diversi modi per aumentare la fiducia nelle misure di sicurezza del vostro entropia vitale. I dati potrebbero essere spostati in una posizione non accessibile. Un'azienda sistema di sicurezza potrebbe essere ingaggiato per installare, aggiornare e monitorare il sistema.
Ma forse il metodo più semplice, e uno che ora è obbligatorio per il Dipartimento della Difesa, è la manipolazione dei prodotti dell'ingegneria informazioni che persona ricca stati valutati in maniera indipendente e certificato. Anche se questo suona come una grande idea, come si fa a trovare tali prodotti IT.
La risposta è che i prodotti certificati elencati Information Assurance Partnership Oggetto (NIAP) sito Web all'indirizzo. La casa (a) Istituto di Standard and Engineering (NIST) e l'interno (a) Security Agency (NSA) ha istituito il NIAP di valutare i dati di ingegneria scienza matematica conformità dei prodotti alle norme internazionali, ossia i criteri Park (CC). Il programma, ufficialmente conosciuta come la Wikipedia NIAP Criteria Evaluation and Validation Scheme (CCEVS) per IT Security, è una partnership tra il settore pubblico e privato.
Il piano è stato realizzato per aiutare i consumatori a scegliere commercial off-the-shelf (COTS) prodotti IT che soddisfino le loro esigenze di fideiussione e di assistere i produttori di tali prodotti accettazione guadagno nel mercato globale. Uno dei principali obiettivi della piattaforma è quello di migliorare la disponibilità di prodotti valutati IT.
L'altro elemento chiave di Istruzione 8500,2 è l'inclusione di definizioni generiche di "resistenza", livelli e l'assegnazione dei "livelli di base" dei servizi di IA a quei livelli lustiness, a seconda del valore della e per l'ambiente in cui è utilizzato il. Robustezza superficie orizzontale assistenza descrizioni della ISSE e DAA determinare a quale livello lo spirito dei CC self-assurance uno mustiness essere valutati. Questo è trasferito al venditore per abitudine nello sviluppo di un rating ponte contratto di servizi con un CCTL.
per migliorare la disponibilità dei prodotti valutati IT.L'altro elemento chiave di Istruzione 8500,2 è l'inclusione di definizioni generiche di "resistenza", livelli e l'assegnazione dei "livelli di base" dei servizi di IA a quei livelli lustiness, a seconda del valore della e per l'ambiente in cui è utilizzato il. Robustezza superficie orizzontale assistenza descrizioni della ISSE e DAA determinare a quale livello lo spirito dei CC self-assurance uno mustiness essere valutati. Questo è trasferito al venditore per abitudine nello sviluppo di un rating ponte contratto di servizi con un CCTL.
L'ISSE e DAA deve considerare, oltre il momento di scegliere il grado di fiducia di valutazione: il valore dell 'organismo beni protetti, il rischio di senso di essere tali attività compromesse, i mezzi di coloro che potrebbero tentare di compromettere il patrimonio, e il "requisiti, la missione , e le esigenze dei clienti ".
Istruzioni 8500,2 aumenta anche i punti chiave della direttiva 8500,1. Prodotti disponibili "nether contratti di programma per più di aggiudicazione o non-Dipartimento della Difesa del governo-Wide Contratti di acquisizione rilasciati prima del 1 luglio 2002, muffosità valutare se e quando una nuova release di è reso disponibile sotto la prendere." In parole povere, questo significa che i prodotti, che solo ora l'esistenza ricevuto da parte degli Stati Uniti Dipartimento della Difesa contratti aggiudicati prima del 1 luglio 2002, essere valutati e validati i CC.
L'istruzione afferma altresì che "anche se i prodotti che persona benestante non portata a termine possono essere utilizzati, i contratti esigono. Essere completato in maniera soddisfacente all'interno di un determinato periodo di tempo". Questa affermazione dà ufficiali di abbreviare il compito di garantire l'acquisto disegnare di scorcio comprende disposizioni che impongono ai fornitori di completare la CC. I fornitori non possono semplicemente presentare i loro prodotti per poi non ultimare il processo.
latta fornitori possono lavorare con le loro CCTL e la difesa di determinare un ragionevole periodo di tempo per la, che potrebbe essere qualsiasi numero di mesi, a seconda principalmente della complessità, la prova di preparazione Vender, eletto grade fiducia in sé, e la familiarità del laboratorio con la scienza applicata . Infine, la istruzione che l'originale abbreviare specificare che "la convalida si terrà attuale" in cui utilizzo è previsto per le versioni successive di questo.
aumenta i punti chiave della direttiva 8500,1. Prodotti disponibili "nether contratti di programma per più di aggiudicazione o non-Dipartimento della Difesa del governo-Wide Contratti di acquisizione rilasciati prima del 1 luglio 2002, muffosità valutare se e quando una nuova release di è reso disponibile sotto la prendere." In parole povere, questo significa che i prodotti, che solo ora l'esistenza ricevuto da parte degli Stati Uniti Dipartimento della Difesa contratti aggiudicati prima del 1 luglio 2002, essere valutati e validati i CC.L'istruzione afferma altresì che "anche se i prodotti che persona benestante non portata a termine possono essere utilizzati, i contratti esigono. Essere completato in maniera soddisfacente all'interno di un determinato periodo di tempo". Questa affermazione dà ufficiali di abbreviare il compito di garantire l'acquisto disegnare di scorcio comprende disposizioni che impongono ai fornitori di completare la CC. I fornitori non possono semplicemente presentare i loro prodotti per poi non ultimare il processo.
latta fornitori possono lavorare con le loro CCTL e la difesa di determinare un ragionevole periodo di tempo per la, che potrebbe essere qualsiasi numero di mesi, a seconda principalmente della complessità, la prova di preparazione Vender, eletto grade fiducia in sé, e la familiarità del laboratorio con la scienza applicata . Infine, la istruzione che l'originale abbreviare specificare che "la convalida si terrà attuale" in cui utilizzo è previsto per le versioni successive di questo.
manutenzione certificato CC è un altro compito che richiede sforzo e pianificazione da parte del trafficante perché i certificati CC si applicano a una versione specifica e la configurazione di un file. I requisiti per il mantenimento di tale certificato in future versioni del descritte in un documento intitolato "Garanzia di continuità: CCRA Requisiti", pubblicato nel febbraio 2004 l'organismo internazionale incaricato di (p) Criteri per il mantenimento del verde.
È toilette ottenere una copia di questo documento da qualsiasi CCTL o il CCEVS NIAP. ridurre gli agenti dovrebbero garantire la loro fornitori a conoscenza della realizzazione e manutenzione certificato clausole nei contratti in modo che i prodotti non riescono a soddisfare e mantenere i requisiti di certificazione CC per l'esercizio continuato. Come con la direttiva 8500,1, i capi delle componenti affidata la responsabilità di assicurare sistemi di impiegare le soluzioni secondo le 8.500,2 sezioni che descrivono le valutazioni.
Ulteriori sottolineando l'importanza del governo federale e l'immissione in valutazioni, diritto pubblico, contiene disposizioni per le valutazioni e le spesso ricercato deroghe ai requisiti di tale politica. Sottotitolo F: Informazioni scienza Engineering, sezione 352 di Diritto Pubblico 107-314, approvata nel dicembre 2002, dirige il segretario della difesa di definire una politica per limitare la capacità dei prodotti di potere di quei prodotti che fanno nascere stati valutati e validati in conformità criteri adeguati, schemi, o programmi. Tali criteri o schemi di includere il CCEVS NIAP e internazionale sviluppato CC.
No comments:
Post a Comment