Criteri Comuni: Un Fattore Primario Nella Sicurezza Delle Informazioni Per Il Dipartimento Della Difesa
Criteri Comuni: Un Fattore Primario Nella Sicurezza Delle Informazioni Per Il Dipartimento Della Difesa
Le tue informazioni selettive vitali sono sicure. Come fai a saperlo? Ci sono diversi modi per aumentare la fiducia nelle misure di sicurezza della tua entropia vitale. I dati potrebbero essere spostati in una posizione non accessibile. Una società di sistemi di sicurezza potrebbe essere assunto per installare, aggiornare e monitorare il sistema.
Ma forse il metodo più semplice, e uno che è ora obbligatorio per il Dipartimento della Difesa, è la manipolazione di informazioni prodotti di ingegneria che persona ricca stato valutato in modo indipendente e certificato. Mentre questo suona come una grande idea, come si fa a trovare tali prodotti IT.
La risposta è che i prodotti certificati elencati sul soggetto Information Assurance Partnership (NIAP) sito web all'indirizzo . L'Home (A) Institute of Standards and Engineering(NIST) e L'Interior (a) Security Agency (NSA) hanno istituito il NIAP per valutare la conformità matematica dei prodotti di ingegneria dei dati agli standard internazionali, vale a dire i criteri del Parco (CC). Il programma, ufficialmente noto come NIAP Commons Criteria Evaluation and Validation Scheme (CCEVS) per la sicurezza IT, è una partnership tra il settore pubblico e privato.
Il piano è stato implementato per aiutare i consumatori a selezionare prodotti IT commerciali pronti all'uso (COTS) che soddisfano i loro requisiti di garanzia e per aiutare i produttori di tali prodotti a ottenere l'accettazione nel mercato globale. Uno degli obiettivi principali della piattaforma è quello di migliorare la disponibilità dei prodotti it valutati.
L'altro elemento chiave dell'istruzione 8500.2 è l'inclusione di definizioni per i livelli generici di "resistenza" e l'assegnazione di "livelli di base" dei servizi IA a quei livelli di lussuria, a seconda del valore del e dell'ambiente in cui viene utilizzato. Robustezza descrizioni delle superfici orizzontali assistenza IS e DAA determinano a quale livello di spirito di CC auto-assurance deve essere valutata una mustiness. Questo viene trasmesso al venditore per lo sviluppo di un ponte Contratto di servizi di rating con un CCTL.
L'IS e il DAA dovrebbero inoltre considerare quanto segue quando si seleziona il grado di fiducia della valutazione: il valore dell'organismo attivo protetto; il rischio che tali attività siano compromesse; le risorse di coloro che potrebbero provare a compromettere le attività; e i " requisiti, la missione e le esigenze dei clienti."
Anche l'istruzione 8500.2 aumenta i punti chiave della Direttiva 8500.1. Prodotti disponibili " nether contratti di pianificazione a più premi o contratti di acquisizione a livello governativo del Dipartimento della Difesa assegnati prima del 1 ° luglio 2002, moldiness essere valutati quando e se una versione del rilascio è reso disponibile sotto il take."In poche parole, questo significa che i prodotti che solo ora esistenza ricevuto dal Dipartimento della Difesa degli Stati Uniti contratti assegnati prima del 1 luglio 2002, essere valutati e convalidati il CC.
L'istruzione afferma Allo stesso modo che " anche se i prodotti che persona ricca non soddisfacente completato possono essere utilizzati, i contratti devono richiedere. essere completato in modo soddisfacente entro un determinato periodo di tempo."Questa dichiarazione dà ufficiali abridge il compito di garantire l'acquisto scorcio comprende disposizioni che richiedono ai fornitori di completare il CC . I fornitori non possono semplicemente inviare i loro prodotti e quindi non completare il processo.
I fornitori di latta possono lavorare con il loro CCTL e la difesa per determinare un periodo di tempo ragionevole per la, che potrebbe essere qualsiasi numero di mesi a seconda principalmente complessità, vender prove di preparazione, fiducia in se stessi grado eletto, e la familiarità del laboratorio con la scienza applicata. Infine, l'istruzione afferma che l'abbreviazione originale specifica che "la convalida verrà mantenuta corrente" in cui è previsto l'utilizzo per le versioni successive di tale.
La manutenzione dei certificati CC è un'altra attività che richiede impegno e pianificazione da parte del trafficante poiché i certificati CC si applicano a una versione e configurazione specifiche di un . I requisiti per il mantenimento di tale certificato nelle future versioni del descritto in un documento intitolato "Assurance Continuity: CCRA Requirements", rilasciato nel febbraio 2004 dall'organismo internazionale responsabile(p) per il mantenimento dei criteri verdi.
È Toilette ottenere una copia di questo documento da qualsiasi CCTL o il NIAP CCEVS. i funzionari di shorten dovrebbero garantire che i loro fornitori siano consapevoli delle clausole di completamento e manutenzione dei certificati nei loro contratti in modo che i prodotti non manchino di soddisfare e mantenere i requisiti di certificazione CC per l'esercizio continuato. Come per la direttiva 8500.1, i responsabili dei componenti incaricati di garantire i sistemi utilizzano soluzioni conformi alle sezioni 8500.2 che descrivono le valutazioni.
Sottolineando ulteriormente l'importanza del governo federale e mettendo su valutazioni, diritto pubblico include disposizioni per le valutazioni e le rinunce spesso ricercati a tali requisiti di politica. Sottotitolo f: Scienza Dell'Ingegneria dell'informazione, sezione 352 del Diritto Pubblico 107-314, approvata nel dicembre 2002, dirige il segretario della difesa per stabilire una politica per limitare l'abilità dei prodotti di autorità a quei prodotti che partoriscono stati valutati e convalidati in conformità con criteri appropriati, schemi o programmi. Tali criteri o schemi includono i CCEV NIAP e i CC sviluppati a livello internazionale.
Mentre i fornitori esperti affermeranno che i requisiti della politica di realizzazione del bagno a volte vengono revocati, la clausola di rinuncia nel diritto pubblico 107-314 autorizza il segretario della difesa a fornire tali deroghe solo per gli Stati Uniti Pertanto, questa legge rende difficile ottenere deroghe alle politiche di acquisizione che richiedono valutazioni CC. Chiaramente, valutazioni indipendenti importanti sia per il governo federale e la, come nstissp #11, 8500.1, 8500.2, e il diritto pubblico 107-314 confermano.
Tali valutazioni consentono di fornire la fiducia che i prodotti acquistati soddisfano le richieste del Dipartimento di sicurezza fatte dai fornitori. Mentre la maggior parte del lavoro per ottenere queste valutazioni cade al , il è meritevole di credito per garantire che i prodotti valutati e convalidati in conformità con i requisiti di ridurre indicati nel 'S proprie politiche.
L 'è anche per assistere l' con la selezione dello strato di sicurezza per il poiché tale strato di impegno viene scelto in base alle esigenze di protezione e all'applicazione dello scopo.
Il capire che tali valutazioni e la loro successiva manutenzione compiti non banali: ci vogliono settimane o mesi per completare a seconda della fase , la preparazione della per fornire le prove richieste, e la complessità della . Le valutazioni dei criteri usuali svolgono un ruolo importante nella protezione . Per questo motivo, procurement officers, narrow officers e vendors dovrebbero familiarizzare con i criteri e il processo.