Il y a quatre niveaux différents pour lesquels des systèmes d'information peuvent être certifiés et des niveaux d'accredited.The quatre sont connus simplement en tant que de niveau 1, 2 de niveau, de niveau 3, ou le propriétaire de système d'information du niveau 4.The est censé décider à quel niveau pour certifier le système d'information, et puis à l'obtenir achetez à ce niveau de l'official.The d'autorisation ISSO et équipe de prearation de C&A devrait aider le propriétaire de système d'information en déterminant le niveau approprié auquel pour certifier et accréditer le système d'information.
|
|
Le niveau 1 est pour les systèmes d'information qui ne
sont pas sensibles, et a peu de conditions de sécurité.
Le niveau 2 est pour les systèmes d'information qui sont
quelque peu sensibles, et a quelques conditions de confidentialité,
d'intégrité, ou de disponibilité.
Le niveau 3 est pour les systèmes avec l'information sensible
qui ont des conditions significatives de confidentialité,
d'intégrité, et de disponibilité.
Le niveau 4 est pour les systèmes d'information extrêmement
sensibles qui ont les conditions les plus élevées pour la
confidentialité, l'intégrité, et la disponibilité.
La plupart des systèmes d'information entreront dans la
catégorie du niveau 2 ou 3. Décider à quel niveau certifier
et accréditer vos systèmes d'information—2 ou 3—peuvent légèrement thoughtprovoking.
Un niveau 1 C&A exige une revue minimale de sécurité. Un paquet de certification du niveau 1 exige seulement un plan de sécurité, un inventaire de capitaux, et accompli
Sécurité art de l'auto-portrait-assessment. Additionaly, politiques de sécurité doit être clairement défini. Un échantillon art de l'auto-portrait-assessment peut être trouvé dans l'annexe D. Quelques agences peuvent avoir différentes conditions pour un niveau 1 et vous devriez naturellement toujours suivre les directives existantes d'agence.
Les systèmes d'information qui typiquement peuvent exiger un niveau 1 C&A sont des systèmes cela :
■ ; Éditez l'information de grand
public
■ ; Fournissez le courseware et les
programmes de formation
■ ; Éditez l'information sur
l'information de produit
■ ; Éditez l'information sur des
politiques de lieu de travail
■ ; Éditez les formes, les cartes, ou
les diagrammes qui sont nonsensitive
Un niveau 2 C&A exige une revue et une analyse de base de la sécurité du système d'information. Un niveau 2 C&A exige tout inclus à un niveau 1, plus un ensemble complet des documents de C&A, et un essai de sécurité et une évaluation (ST&E), (mais pas des résultats d'essai). Des politiques de sécurité doivent être clairement définies et mises en application. Si une agence exige quelque chose de différent que ce que je recommande ici, vous devriez reporter aux recommandations d'agence.
Les systèmes d'information qui typiquement peuvent exiger un niveau 2 C&A sont des systèmes d'information cela :
■ ; Sont employés pour des contrats,
des propositions, et l'instance judiciaire
■ ; Sont employés pour des
applications de budget d'investissement d'investissement
■ ; Applications de bureau de service
■ ; Actionnez les applications de
gestion d'avantages
■ ; Contrôlez les transactions de
gestion de chaîne d'approvisionnements
Un niveau 3 C&A exige une revue et une analyse
détaillées de la sécurité du système d'information. Un
niveau 3 C&A exige tout qui est exigé à un niveau 1 et 2 C&A, plus
un balayage de vulnérabilité de réseau, aussi bien que les essais
qui montrent cela ont été des politiques correctement mises en
application de sécurité. Quelques agences peuvent avoir
différentes conditions pour un niveau 3 et vous devriez toujours
employer les directives d'agence et suivre les recommandations en leur
manuel.
Les systèmes d'information qui typiquement peuvent exiger un
niveau 3 C&A sont des systèmes d'information cela :
■ ; Surveillez l'information ou la
sécurité physique
■ ; Contrôlez les opérations des
transactions financières
■ ; Actionnez les applications de
gestion de livre de paie
■ ; Transmettez l'information
d'intelligence
■ ; Communiquez les informations sur
les substances dangereuses
Un niveau 4 C&A exige une revue et une analyse étendues de la sécurité du système d'information. Tous les articles exigés pour les niveaux 1, 2, et 3 sont exigés pour un niveau 4, plus un essai de pénétration, et la confirmation que tous les essais de sécurité ont été passés. Quelques agences peuvent avoir différentes conditions pour un niveau 4 et juste comme avec un niveau 1, 2, ou 3, vous devriez toujours reporter aux conseils d'agence.
Les systèmes d'information qui typiquement peuvent exiger un niveau 4 C&A sont des systèmes d'information cela :
■ ; Actionnez et surveillez les
centrales nucléaires
■ ; Prenez les décisions dessus où
laisser tomber une bombe
■ ; Surveillez un patient pendant la
chirurgie
■ ; Actionnez et surveillez un grand
barrage
■ ; Contrôlez et actionnez les
équipements de moyens de transport de masse
■ ; Surveillez la qualité de l'eau et
la sûreté de l'eau potable publique
■ ; Contrôlez le département secret
supérieur des projets de la défense
■ ; Empêchez les attaques de
terroriste
■ ; Effectuez les grandes transactions
monétaires
La détermination du niveau du paquet de certification vers le haut de l'avant est l'une des parties de C&A.There souvent-données sur sont de nombreux organismes qui mettent’t exécutent cette étape jusqu'à ce que le paquet entier de certification ait été développé, qui est la manière fausse absolue d'aborder ceci. Une des raisons de déterminer le niveau vers le haut de l'avant est parce que le niveau détermine quels types de besoin de l'information d'être inclus dans le paquet de certification de la certification Package.The est l'évidence que des risques de sécurité ont été compris et le niveau plus élevé atténué de properly.The de la certification qu'on cherche, plus d'évidence est exigé. Par exemple, le balayage de vulnérabilité de réseau est exigé pour la certification du niveau 3, mais pas pour le niveau 2. Si vous cherchez la certification de niveau 3, vous devez accomplir un balayage de vulnérabilité de réseau et adresser résulter risque identifié et inclut cette information en tant qu'élément du paquet de certification.
Online: 816 users browsing the articles directory
|
|