L'importanza di criteri comuni in DOD Information Security

È il vostro informazioni selettive vitale sicuro. Come fai a sapere. Ci ar diversi modi per aumentare la fiducia nelle misure di sicurezza della vostra entropia vitale. I dati potrebbero essere spostati in un luogo non accessibile. Una società di sistema di sicurezza potrebbe essere assunto per installare, aggiornare e monitorare il sistema. Ma forse il metodo più semplice, e uno che è ora obbligatorio per il Dipartimento della Difesa, è la manipolazione di prodotti di informazioni di ingegneria che persona ricca stata valutata in modo indipendente e certificato. Anche se questo suona come una grande idea, come si fa a trovare questi prodotti IT. La risposta è che i prodotti certificati elencati sul soggetto (NIAP) Sito Web Information Assurance Partnership a. La casa (a) Istituto di Standard and Engineering (NIST) e dell'Interno (a) Security Agency (NSA) ha istituito il NIAP per valutare i dati di ingegneria scienza matematica la conformità del prodotto agli standard internazionali, vale a dire i criteri Parco (CC). Il programma, ufficialmente conosciuta come la NIAP Commons criteri di valutazione e di Programma di convalida (CCEVS) per la sicurezza IT, è un partenariato tra il settore pubblico e privato. Il piano è stato realizzato per aiutare i consumatori a scegliere off-the-shelf (COTS) prodotti informatici commerciali che soddisfino le loro esigenze fideiussione e per aiutare i produttori di tali prodotti di guadagno accettazione nel mercato globale. Uno dei principali obiettivi della piattaforma è quello di migliorare la disponibilità dei prodotti valutati IT. L'altro elemento chiave di Istruzione 8500,2 è l'inclusione di definizioni per i livelli generici "robustezza" e l'assegnazione di "livelli di base" dei servizi di IA a quei livelli lustiness, a seconda del valore della e l'ambiente in cui la si utilizza. Robustezza superficie orizzontale assistenza descrizioni della ISSE e DAA determinare a quale livello di spirito di CC di sé una muffa da valutare. Questa è trasmessa al venditore per abitudine nello sviluppo di un servizio Valutazione bridge contratto con un CCTL. L'ISSE e DAA dovrebbero inoltre considerare quanto segue quando si seleziona il grado di valutazione fiducia: il valore dell'organismo patrimonio protetto, il rischio di tali attività senso di essere compromessa, le risorse di coloro che potrebbero tentare di compromettere il patrimonio, e dei "requisiti, la missione , e le esigenze dei clienti ". Istruzione 8.500,2 troppo aumenta i punti chiave da direttiva 8500,1. Prodotti disponibili "inferi multipla aggiudicare contratti di programma o di non-Dipartimento della Difesa a livello governativo contratti di acquisto stipulati prima del 1 ° luglio 2002, moldiness essere valutati quando e se una versione del è reso disponibile sotto la prendere." In parole povere, questo significa che i prodotti che solo ora l'esistenza ricevuto dagli Stati Uniti Dipartimento della Difesa contratti stipulati prima del 1 ° luglio 2002, saranno valutati e convalidati la CC. L'istruzione allo stesso modo si afferma che "anche se i prodotti che la persona ricca non è completato in modo soddisfacente può essere utilizzato, contratti esigono. Essere completato in modo soddisfacente all'interno di un periodo di tempo specificato." Questa affermazione dà agenti di abbreviare il compito di assicurare l'acquisto foreshorten comprende disposizioni che impongono ai fornitori di completare il CC. I venditori non possono semplicemente presentare i loro prodotti e quindi non completare il processo. I venditori di latta può lavorare con loro CCTL e la difesa di determinare un ragionevole periodo di tempo per la, che potrebbe essere un qualsiasi numero di mesi a seconda principalmente sulla complessità, vender prove di preparazione, grado eletto fiducia in se stessi, e la familiarità del laboratorio con la scienza applicata . Infine, gli stati di istruzioni che l'originale abbreviare specificare che "convalida sarà sempre valido", dove l'utilizzo è previsto per le versioni successive di questo. CC manutenzione certificato è un altro compito che richiede impegno e programmazione da parte del trafficante perché i certificati CC applicano a una versione e configurazione di uno specifico. I requisiti per il mantenimento di tale certificato attraverso le future versioni del descritto in un documento intitolato «Assurance Continuità: Requisiti CCRA", rilasciato nel febbraio 2004, l'organismo internazionale responsabile di (p) per il mantenimento dei criteri verdi. È toilette ottenere una copia di questo documento da qualsiasi CCTL o le CCEVS NIAP. ufficiali di accorciare dovrebbero garantire loro fornitori a conoscenza del completamento e clausole di manutenzione certificati nei loro contratti in modo che i prodotti non riescono a soddisfare e mantenere i requisiti di certificazione CC per continuare l'esercizio. Come per la direttiva 8500,1, le teste dei componenti incaricati con le responsabilità di assicurare sistemi impiegano soluzioni in conformità con i 8.500,2 sezioni che descrivono le valutazioni. Ulteriormente sottolineando l'importanza che il governo federale e l'immissione in valutazioni, diritto pubblico comprende disposizioni per le valutazioni e le rinunce spesso ricercati a tali esigenze politiche. Sottotitolo F: Ingegneria scienza, Sezione 352 della Public Law 107-314, approvata nel dicembre 2002, dirige il segretario della difesa di stabilire una politica per limitare l'abilità dei prodotti di autorità a quei prodotti che partoriscono stati valutati e convalidati in conformità criteri adeguati, schemi, o programmi. Tali criteri o schemi comprendono le CCEVS NIAP e la CC sviluppata a livello internazionale. Mentre i venditori esperti potranno affermare che la realizzazione politica requisiti gabinetto a volte essere omessa la clausola di rinuncia in Public Law 107-314 autorizza il segretario della difesa di fornire tali deroghe solo per gli Stati Uniti Quindi, questa legge rende più difficile ottenere deroghe alle politiche di acquisizione che richiedono valutazioni cc. Chiaramente, valutazioni indipendenti importanti sia per il governo federale e la, come NSTISSP # 11, 8500,1, 8500,2, e Public Law 107-314 confermano. Tali valutazioni consentono di consegnare la fiducia che i prodotti acquista soddisfare il dipartimento di sicurezza affermazioni fatte dai venditori. Mentre il grosso del lavoro per l'ottenimento di queste valutazioni cade a, l'è meritevole di credito per garantire che i prodotti valutati e convalidati in conformità con i requisiti indicati nel ridurre la propria politica del 's. Lo è anche per assistere il con la selezione del livello di certezza per il dato che il pegno strato viene scelto in base alle esigenze di protezione e l'applicazione di scopo. Il capire che tali valutazioni e la loro successiva manutenzione non compiti banali: prendono settimane o mesi per completare a seconda della fase, la preparazione del di fornire le prove richieste, e la complessità del. Valutazioni consueti criteri svolgono un ruolo importante nella protezione. Per questo motivo, gli addetti agli appalti, funzionari strette e fornitori dovrebbero familiarizzarsi con i criteri e il processo
By:. Gonzalo Cain