Algemene criteria
Is uw essentiële selectieve informatie veilig?Hoe weet je dat.Er zijn verschillende manieren om het vertrouwen in de veiligheidsmaatregelen van uw vitale entropie te vergroten.De gegevens kunnen naar een niet-toegankelijke locatie worden verplaatst.Er zou een beveiligingssysteembedrijf kunnen worden ingehuurd om het systeem te installeren, bij te werken en te monitoren.
Maar misschien wel de gemakkelijkste methode, en een die nu verplicht is voor het ministerie van Defensie, is de manipulatie van informatie-engineeringproducten die rijkepersoon onafhankelijk geëvalueerd en gecertificeerd.Dit klinkt misschien als een geweldig idee, maar hoe vind je zulke IT-producten?
Het antwoord is dat gecertificeerde producten vermeld staan op de website van het Subject Information Assurance Partnership (NIAP) op .Het Home(a) Institute of Standards and Engineering (NIST) en de Interior(a) Security Agency (NSA) hebben het NIAP opgericht om de conformiteit van wiskundige producten op het gebied van data-engineering aan internationale normen te evalueren, namelijk de Park Criteria (CC).Het programma, officieel bekend als het NIAP Commons Criteria Evaluation and Validation Scheme (CCEVS) voor IT-beveiliging, is een partnerschap tussen de publieke en private sector.
Het plan werd geïmplementeerd om consumenten te helpen bij het selecteren van commerciële off-the-artShelf (COTS) IT-producten die aan hun zekerheidsvereisten voldoen en om fabrikanten van die producten te helpen acceptatie te verkrijgen op de wereldmarkt.Een van de belangrijkste doelstellingen van het platform is het verbeteren van de beschikbaarheid van geëvalueerde IT-producten.
Het andere belangrijke element van Instructie 8500.2 is het opnemen van definities voor generieke “hardheid”-niveaus en de toewijzing van “hardheid”-niveaus.”basisniveaus” van IA-services tot die lustniveaus, afhankelijk van de waarde van de en de omgeving waarin deze wordt gebruikt.Robuustheid horizontale oppervlaktebeschrijvingen helpen de ISSE en DAA te bepalen op welk niveau van CC-zelfzekerheid een mustiness moet worden beoordeeld.Dit wordt als gewoonte doorgegeven aan de verkoper bij het ontwikkelen van een contractbrug voor ratingservices met een CCTL.
De ISSE en DAA moeten bovendien rekening houden met het volgende bij het selecteren van de betrouwbaarheidsgraad van de waardering: de waarde van de beschermde activa;het risico dat deze activa in gevaar komen;de middelen van degenen die zouden kunnen proberen de bezittingen in gevaar te brengen;en de “vereisten, missie en klantbehoeften.”
Ook Instructie 8500.2 is een aanvulling op de belangrijkste punten uit Richtlijn 8500.1.Beschikbare producten “noch meervoudige contracten of overheidsbrede acquisitiecontracten die niet door het ministerie van Defensie zijn toegekend vóór 1 juli 2002, de schimmeligheid wordt geëvalueerd wanneer en als een versieversie van de versie beschikbaar wordt gesteld onder de take.” Eenvoudig gezegd:Dit betekent dat producten die zojuist zijn ontvangen door het Amerikaanse ministerie van Defensie en contracten hebben gekregen die vóór 1 juli 2002 zijn toegekend, door de CC worden geëvalueerd en gevalideerd.
In de instructie staat ook dat “hoewel producten die rijke mensen nietDeze verklaring geeft Abridge-functionarissen de taak om ervoor te zorgen dat de aankoop wordt verkort en omvat bepalingen die van verkopers eisen dat ze de CC voltooien.Leveranciers kunnen hun producten niet zomaar indienen en het proces vervolgens niet voltooien.
Verkopers kunnen samenwerken met hun CCTL en de verdediging om een redelijke termijn voor de aanvraag vast te stellen. Dit kan een willekeurig aantal maanden zijn, voornamelijk afhankelijk vancomplexiteit, paraatheid van leveranciersbewijs, zelfvertrouwen, en de bekendheid van het laboratorium met de toegepaste wetenschap.Ten slotte stelt de instructie dat de oorspronkelijke afkorting specificeert dat “validatie actueel blijft” waar gebruik wordt verwacht voor volgende versies daarvan.
Het onderhoud van CC-certificaten is een andere taak die inspanning en planning van de kant vereist.van de trafficker omdat CC-certificaten van toepassing zijn op een specifieke versie en configuratie van een .De vereisten voor het behoud van dat certificaat in toekomstige versies van het document zijn beschreven in een document met de titel ‘Assurance Continuity: CCRA Requirements’, uitgegeven in februari 2004 door de internationale instantie die verantwoordelijk is voor(p) het handhaven van de Groene Criteria.
U kunt een kopie van dit document verkrijgen bij elke CCTL of de NIAP CCEVS.Shorten-functionarissen moeten ervoor zorgen dat hun leveranciers op de hoogte zijn van de voltooiings- en certificaatonderhoudsclausules in hun contracten, zodat producten niet nalaten te voldoen aan de CC-certificeringsvereisten voor voortgezette uitoefening.Net als bij Richtlijn 8500.1 gebruiken de hoofden van componenten die zijn belast met de verantwoordelijkheden om ervoor te zorgen dat systemen oplossingen gebruiken in overeenstemming met de 8500.2-secties waarin evaluaties worden beschreven.
Het publiekrecht benadrukt nog meer het belang dat de federale overheid aan evaluaties hecht en bevat bepalingen voorevaluaties en de vaak gevraagde ontheffingen van dergelijke beleidsvereisten.Ondertitel F: Informaticawetenschap, Sectie 352 van Publiekrecht 107-314, aangenomen in december 2002, draagt de minister van Defensie op om een beleid vast te stellen om de vaardigheid van autoriteitsproducten te beperken tot die producten die bevallen, geëvalueerd en gevalideerd in overeenstemming metpassende criteria, schema’s of programma’s.Tot dergelijke criteria of regelingen behoren onder meer de NIAP CCEVS en de internationaal ontwikkelde CC.
Hoewel ervaren verkopers zullen beweren dat er soms wordt afgezien van de vereisten van het uitvoeringsbeleid voor het toilet, machtigt de ontheffingsclausule in Publiekrecht 107-314 de minister van Defensie om te voorzien indergelijke vrijstellingen alleen voor de VS. Daarom maakt deze wet het moeilijk om vrijstellingen te verkrijgen voor het acquisitiebeleid dat CC-evaluaties vereist.Het is duidelijk dat onafhankelijke evaluaties belangrijk zijn voor zowel de federale overheid als de , zoals NSTISSP #11, 8500.1, 8500.2 en Public Law 107-314 bevestigen.
Dergelijke evaluaties geven de overheid het vertrouwen dat de producten die ze kopen voldoen aan declaims van de beveiligingsafdeling van de leveranciers.Hoewel het grootste deel van het werk voor het verkrijgen van deze evaluaties voor rekening komt van de , is het verdienstelijk om ervoor te zorgen dat producten worden geëvalueerd en gevalideerd in overeenstemming met de verminderde vereisten die zijn vermeld in het eigen beleid.
Dit geldt ook voorze assisteren bij de selectie van de zekerheidslaag voor de omdat die beloftelaag wordt gekozen op basis van de beschermingsbehoeften en de toepassing van het doel.
Ze begrijpen dat dergelijke evaluaties en het daaropvolgende onderhoud geen triviale taken zijn: ze duren wekenof maanden om te voltooien, afhankelijk van de fase, de bereidheid van de organisatie om het vereiste bewijsmateriaal te leveren en de complexiteit van de .Gebruikelijke criteria-evaluaties spelen een belangrijke rol bij het beschermen van .Om deze reden moeten inkoopfunctionarissen, smalle functionarissen en leveranciers zich vertrouwd maken met de criteria en het proces.
