Há quatro níveis diferentes para que os sistemas de informação podem ser certificados e níveis de accredited.The quatro são sabidos simplesmente como ao nível 1, 2 nivelados, em nível 3, ou o proprietário do sistema de informação do nível 4.The é suposto decidir-se em que nível para certificar o sistema de informação, e a o obter então buy-in nesse nível do official.The autorizando ISSO e equipe do prearation de C&A deve ajudar ao proprietário do sistema de informação em determinar o nível apropriado em que para certificar e acreditar o sistema de informação.
|
|
O nível 1 é para os sistemas de informação que não
são sensíveis, e tem poucas exigências da segurança.
O nível 2 é para os sistemas de informação que são um tanto
sensíveis, e tem algumas exigências do confidentiality, da
integridade, ou da disponibilidade.
O nível 3 é para os sistemas com informação sensível que
têm exigências significativas do confidentiality, da integridade, e
da disponibilidade.
O nível 4 é para os sistemas de informação extremamente
sensíveis que têm as exigências as mais elevadas para o
confidentiality, a integridade, e a disponibilidade.
A maioria de sistemas de informação cairão na categoria do
nível 2 ou 3. Decidir-se em que nível certificar e acreditar
seus sistemas de informação—2 ou 3—podem um
tanto thoughtprovoking.
Um nível 1 C&A requer uma revisão mínima da segurança. Um pacote da certificação do nível 1 requer somente uma planta da segurança, um inventário do recurso, e terminado
Self-Assessment Da Segurança. Additionaly, políticas da segurança deve claramente ser definido. Um self-assessment da amostra pode ser encontrado no apêndice D. Algumas agências podem ter exigências diferentes para um nível 1 e você deve naturalmente sempre seguir os guidelines existentes da agência.
Os sistemas de informação que tipicamente podem reque um nível 1 C&A são sistemas isso:
■ Publique a informação do público
geral
■ Entregue o courseware e os
programas de treinamento
■ Publique a informação na
informação de produto
■ Publique a informação em
políticas do workplace
■ Publique formulários, mapas, ou
cartas que são nonsensitive
Um nível 2 C&A requer uma revisão e uma análise básicas da segurança do sistema de informação. Um nível 2 C&A requer tudo incluído em um nível 1, mais um jogo cheio de originais de C&A, e um teste da segurança & uma avaliação (ST&E), (mas não uns resultados de teste). As políticas da segurança devem claramente ser definidas e executado. Se uma agência requerer algo diferente do que o que eu recomendo aqui, você deve adiar para as recomendações da agência.
Os sistemas de informação que tipicamente podem reque um nível 2 C&A são sistemas de informação isso:
■ São usados para contratos,
propostas, e continuações legais
■ São usados para aplicações do
orçamento importante
■ Aplicações do escritório do
saque
■ Opere aplicações da gerência dos
benefícios
■ Controle transações da gerência
da corrente de fonte
Um nível 3 C&A requer uma revisão e uma análise
detalhadas da segurança do sistema de informação. Um nível 3
C&A requer tudo que é requerido em um nível 1 e 2 C&A, mais uma
varredura do vulnerability da rede, as.well.as os testes que mostram
aquele foram políticas corretamente executadas da segurança.
Algumas agências podem ter exigências diferentes para um
nível 3 e você deve sempre usar os guidelines da agência e seguir
as recomendações em seu manual.
Os sistemas de informação que tipicamente podem reque um
nível 3 C&A são sistemas de informação isso:
■ Monitore a informação ou a
segurança física
■ Controle operações de
transações financeiras
■ Opere aplicações da gerência da
folha de pagamento
■ Transmita a informação da
inteligência
■ Comunique a informação sobre
substâncias perigosas
Um nível 4 C&A requer uma revisão e uma análise extensivas da segurança do sistema de informação. Todos os artigos requeridos para os níveis 1, 2, e 3 são requeridos para um nível 4, mais um teste de penetração, e a confirmação que todos os testes da segurança estiveram passados. Algumas agências podem ter exigências diferentes para um nível 4 e justo como com um nível 1, 2, ou 3, você deve sempre adiar para a orientação da agência.
Os sistemas de informação que tipicamente podem reque um nível 4 C&A são sistemas de informação isso:
■ Opere e monitore plantas de poder
nuclear
■ Faça decisões sobre onde deixar
cair uma bomba
■ Monitore um paciente durante a
cirurgia
■ Opere e monitore uma represa
grande
■ Controle e opere facilidades do
transporte maciço
■ Monitore a qualidade de água e a
segurança da água bebendo pública
■ Controle o departamento secreto
superior de projetos da defesa
■ Impeça ataques do terrorista
■ Execute transações monetary
grandes
Determinar o nível do pacote da certificação acima da parte dianteira é uma das partes frequentemente-as mais negligenciadas de C&A.There é as organizações numerosas que don’t executam esta etapa até que o pacote inteiro da certificação esteja desenvolvido, que é a maneira errada absoluta ir sobre esta. Uma das razões para determinar o nível acima da parte dianteira é porque o nível determina que tipos de necessidade de informação ser incluído no pacote da certificação da certificação Package.The é a evidência que os riscos da segurança estiveram compreendidos e o nível mais elevado mitigated de properly.The da certificação que se procura, mais evidência está requerido. Para o exemplo, a exploração do vulnerability da rede é requerida para a certificação do nível 3, mas não para o nível 2. Se você estiver procurando a certificação ao nível 3, você necessita terminar uma varredura do vulnerability da rede e dirigir-se a resultar arrisca identificado e inclui esta informação como a parte do pacote da certificação.
Online: 656 users browsing the articles directory
|
|