Hay cuatro diversos niveles para los cuales los sistemas de información pueden ser certificados y los niveles de accredited.The cuatro se conocen simplemente como llano 1, 2 llanos, llano 3, o suponen al dueño del sistema de información del nivel 4.The decidir en qué nivel para certificar el sistema de información, y después a obtenerlo compre en ese nivel del official.The que autoriza ISSO y equipo del prearation de C&A debe asistir al dueño del sistema de información en la determinación del nivel apropiado en el cual certificar y acreditar el sistema de información.
|
|
El nivel 1 está para los sistemas de información que no
son sensibles, y tiene pocos requisitos de la seguridad.
El nivel 2 está para los sistemas de información que son algo
sensibles, y tiene algunos requisitos del secreto, de la integridad, o
de la disponibilidad.
El nivel 3 está para los sistemas con la información sensible
que tienen requisitos significativos del secreto, de la integridad, y
de la disponibilidad.
El nivel 4 está para los sistemas de información
extremadamente sensibles que tienen los requisitos más altos para el
secreto, la integridad, y la disponibilidad.
La mayoría de los sistemas de información caerán en la
categoría del nivel 2 o 3. El decidir en qué nivel pueden
thoughtprovoking algo certificar y—acreditar sus sistemas—de información 2 o 3.
Un nivel 1 C&A requiere una revisión mínima de la seguridad. Un paquete de la certificación del nivel 1 requiere solamente un plan de la seguridad, un inventario del activo, y terminado
Autovaloración De la Seguridad. Additionaly, políticas de la seguridad debe ser definido claramente. Una autovaloración de la muestra se puede encontrar en el apéndice D. Algunas agencias pueden tener diversos requisitos para un nivel 1 y usted debe por supuesto siempre seguir las pautas existentes de la agencia.
Los sistemas de información que pueden requerir típicamente un nivel 1 C&A son sistemas eso:
■ Publique la información del público
en general
■ Entregue el courseware y los
programas de entrenamiento
■ Publique la información sobre la
información de producto
■ Publique la información sobre
políticas del lugar de trabajo
■ Publique las formas, los mapas, o
las cartas que son nonsensitive
Un nivel 2 C&A requiere una revisión y un análisis básicos de la seguridad del sistema de información. Un nivel 2 C&A requiere todo incluido en un nivel 1, más un sistema completo de documentos de C&A, y una prueba de la seguridad y una evaluación (ST&E), (pero no resultados de la prueba). Las políticas de la seguridad deben ser definidas y ser puestas en ejecucio'n claramente. Si una agencia requiere algo diferente que qué recomiendo aquí, usted debe diferir a las recomendaciones de la agencia.
Los sistemas de información que pueden requerir típicamente un nivel 2 C&A son sistemas de información eso:
■ Se utilizan para los contratos, las
ofertas, y los procesos jurídicos
■ Se utilizan para los usos del
presupuesto en capitales
■ Usos de la oficina del servicio
■ Funcione los usos de la gerencia de
las ventajas
■ Maneje las transacciones de la
gerencia de la cadena de fuente
Un nivel 3 C&A requiere una revisión y un
análisis detallados de la seguridad del sistema de información.
Un nivel 3 C&A requiere todo que se requiera en un nivel 1 y 2
C&A, más una exploración de la vulnerabilidad de la red, así como
las pruebas que demuestran eso han sido políticas correctamente
puestas en ejecucio'n de la seguridad. Algunas agencias pueden
tener diversos requisitos para un nivel 3 y usted debe utilizar las
pautas de la agencia y seguir siempre las recomendaciones en su
manual.
Los sistemas de información que pueden requerir típicamente un
nivel 3 C&A son sistemas de información eso:
■ Supervise la información o la
seguridad física
■ Maneje las operaciones de
transacciones financieras
■ Funcione los usos de la gerencia de
la nómina de pago
■ Transmita la información de la
inteligencia
■ Comunique la información sobre
sustancias peligrosas
Un nivel 4 C&A requiere una revisión y un análisis extensos de la seguridad del sistema de información. Todos los artículos requeridos para los niveles 1, 2, y 3 se requieren para un nivel 4, más una prueba de penetración, y la confirmación que todas las pruebas de la seguridad fueran pasadas. Algunas agencias pueden tener diversos requisitos para un nivel 4 y justo como con un nivel 1, 2, o 3, usted debe diferir siempre a la dirección de la agencia.
Los sistemas de información que pueden requerir típicamente un nivel 4 C&A son sistemas de información eso:
■ Funcione y supervise las plantas de
energía atómica
■ Tome las decisiones encendido donde
caer una bomba
■ Supervise a paciente durante
cirugía
■ Funcione y supervise una presa
grande
■ Maneje y funcione las instalaciones
de la tranportación en masa
■ Supervise la calidad del agua y la
seguridad del agua potable pública
■ Maneje el departamento secreto
superior de los proyectos de la defensa
■ Prevenga los ataques del
terrorista
■ Realice las transacciones
monetarias grandes
La determinación del nivel del paquete de la certificación encima del frente es una de las partes a menudo-pasadas por alto de C&A.There es las organizaciones numerosas que ponen’t realizan este paso hasta que se ha desarrollado el paquete entero de la certificación, que es la manera incorrecta absoluta de ir sobre esto. Una de las razones de determinar el nivel encima del frente es porque el nivel se determina qué tipos de necesidad de información de ser incluido en el paquete de la certificación de la certificación Package.The es la evidencia que se han entendido los riesgos de la seguridad y el nivel más alto atenuado de properly.The de la certificación que uno busca, más evidencia está requerido. Por ejemplo, la exploración de la vulnerabilidad de la red se requiere para la certificación del nivel 3, pero no para el nivel 2. Si usted está buscando la certificación llano 3, usted necesita terminar una exploración de la vulnerabilidad de la red y tratar resultar arriesga identificado e incluye esta información como parte del paquete de la certificación.
Online: 670 users browsing the articles directory
|
|