¿Es segura su información vital selectiva. ¿Cómo lo sabes. Ar hay varias maneras de aumentar la confianza en las medidas de seguridad de su entropía vital. Los datos pueden moverse a un lugar no accesible. Una empresa del sistema de seguridad podría ser contratada para instalar, actualizar y supervisar el sistema.
Pero quizá el método más fácil y que ahora es obligatorio para el Departamento de defensa, es la manipulación de información de productos de ingeniería de esa persona rica sido independientemente evaluados y certificados. Si bien esto suena como una gran idea, ¿cómo uno encuentra dichos productos de TI.
La respuesta es los productos enumerados en el sitio Web de tema Information Assurance Partnership (NIAP) en certificados. El Instituto de normas de Home(a) e ingeniería (NIST) y el Interior(a) Security Agency (NSA) establecieron la NIAP para evaluar datos Ingeniería ciencia matemática producto cumple las normas internacionales, a saber, el Parque Criteria (CC). El programa, conocido oficialmente como el NIAP Commons Criteria Evaluation and Validation Scheme (CCEVS) para la seguridad de TI, es una asociación entre los sectores público y privado.
El plan fue implementado para ayudar a los consumidores comerciales estándar (COTS) TI productos selectos que satisfagan sus requerimientos de seguridad y para ayudar a los fabricantes de estos productos aumento de aceptación en el mercado global. Uno de los principales objetivos de la plataforma es mejorar la disponibilidad de productos evaluados.
El otro elemento clave de 8500.2 de la instrucción es la inclusión de definiciones para los niveles genéricos "resistencia" y la asignación de "niveles de base" de servicios de IA a esos niveles de lustiness, dependiendo del valor de la y el entorno en el que la utiliza. Asistencia de descripciones de superficie horizontal de robustez que la ISSE y DAA determinarán en qué nivel de confianza CC se evaluó un mustiness. Esto pasa al vendedor de costumbre en el desarrollo de un puente de contrato de servicios de calificación con un CCTL.
El ISSE y DAA además deben considerar lo siguiente cuando se selecciona el grado de confianza de valoración: el valor del organismo activos protegido; el riesgo de los beingness de activos comprometidos; los recursos de los que se podría tratar de poner en peligro los activos; y el "requisitos de misión y las necesidades del cliente."
Instrucción 8500.2 aumenta demasiado puntos clave de la Directiva 8500.1. Productos disponibles "contratos nether programación múltiple-premio o no - defensa Departamento todo el Gobierno adquisición contratos adjudicados antes de 01 de julio de 2002, moldiness evaluarse cuando y si a la versión de la disposición por debajo de la toma." En pocas palabras, esto significa que productos que acaba la existencia recibida por los contratos del Departamento de defensa de Estados Unidos otorgó antes de 01 de julio de 2002, evaluados y validación el CC.
La instrucción afirma asimismo "aunque esa persona rica no satisfactoriamente terminados de productos puede utilizarse, exigirán contratos. ser completado satisfactoriamente dentro de un período de tiempo especificado." Esta declaración permite restringir oficiales truncar la tarea de garantizar la compra incluye disposiciones que requieren proveedores completar el CC. Proveedores no pueden simplemente presentar sus productos y entonces no completar el proceso.
Lata de proveedores puede trabajar con su CCTL y la defensa para determinar un período razonable de tiempo para el, que podría ser cualquier número de meses depende principalmente de la complejidad, preparación de pruebas de vender, grado de confianza en sí mismo electo y familiaridad del laboratorio con la ciencia aplicada. Por último, la instrucción indica que la original abreviar como sigue precisar que "validación se mantendrá actual" donde se prevé la utilización para las versiones posteriores de que.
Mantenimiento certificado CC es otra tarea que requiere esfuerzo y planificación por parte del traficante porque CC certificados se aplican a una versión específica y la configuración de una. Los requisitos para el mantenimiento de dicho certificado en futuras versiones de lo descrito en un documento titulado "Aseguramiento de la continuidad: CCRA requisitos", emitido en febrero de 2004 por la for(p) responsable del organismo internacional para mantener los criterios de verde.
Inodoro obtener una copia de este documento de cualquier CCTL o la CCEVS NIAP. acortar oficiales deben asegurar sus proveedores conscientes de la terminación y certificado de cláusulas en sus contratos de mantenimiento para que no dejar de productos satisfacer y mantener los requisitos de certificación de CC para ejercicio continuo. Como 8500.1 de la Directiva, los jefes de componentes confiado con las responsabilidades para asegurar sistemas emplean soluciones de conformidad con las 8500,2 secciones que describe las evaluaciones.
Además haciendo hincapié en la importancia que el gobierno federal y colocar en las evaluaciones, derecho público incluye disposiciones para las evaluaciones y las renuncias a menudo-buscado-después a tales necesidades políticas. Subtítulo F: Ciencias de la ingeniería de la información, sección 352 de la ley pública 107-314, aprobada en diciembre de 2002, dirige el Secretario de defensa para establecer una política para limitar la habilidad de los productos de autoridad a aquellos productos que se han evaluado y validado con arreglo a criterios adecuados, planes o programas. Tales criterios o esquemas incluyen la CCEVS NIAP y el CC desarrollado internacionalmente.
Proveedores experimentados se afirman lavabo de requisitos de realización política a veces renunciar, la cláusula de renuncia en la ley pública 107-314 autoriza el Secretario de defensa para proporcionar tales exenciones sólo para Estados Unidos Por lo tanto, esta ley hace difícil obtener exenciones a las políticas de adquisición que requieren evaluaciones de CC. Claramente, las evaluaciones independientes importantes tanto del gobierno federal y, como NSTISSP #11, 8500.1, 8500.2 y la ley pública 107-314 confirmaron.
Estas evaluaciones permiten el entregar la confianza que los productos compra satisfacen las reclamaciones del Departamento de seguridad hechas por los vendedores. Mientras que el grueso de la obra para la obtención de estas evaluaciones se cae al, el es solvente para asegurar que los productos evaluaron y validarán según los requisitos de reducir declaró en de la propio políticas.
El es así para ayudar a los con la selección de la capa de seguridad para el desde ese estrato de promesa es elegido basado en las necesidades de protección y la aplicación de propósito.
El entender que dichas evaluaciones y su posterior mantenimiento tareas no triviales: llevan semanas o meses dependiendo de la etapa, la preparación de la para suministrar las pruebas necesarias y la complejidad de la. Evaluaciones de criterios habituales desempeñan un papel importante en la protección. Por esta razón, oficiales de adquisiciones oficiales estrechos y proveedores deben familiarizarse con los criterios y el proceso.
No hay comentarios:
Publicar un comentario