Есть четыре различных уровнях информационных систем, которые могут быть сертифицированы и accredited.The четырех уровней, как известно просто как Уровень 1, Уровень 2, Уровень 3, или уровня 4.The информационной системы владелец должен решить, на каком уровне сертификации информации системы, а затем получить покупку - в том, что на уровне разрешение official.The ISSO и С и А prearation группа должна помочь владельцу информационной системы в определении надлежащего уровня, на котором сертификации и аккредитации информационной системы.
|
|
Уровень 1 для информационных систем, не чувствительных, и несколько требований безопасности.
Уровень 2 предназначен для информационных систем, которые довольно чувствительные, и некоторые конфиденциальности, целостности или наличие требований.
Уровень 3 предназначен для систем с чувствительной информации, которые оказывают значительное конфиденциальности, целостности и наличие потребности.
Уровень 4 является крайне чувствительным информационных систем, которые имеют высокие требования по конфиденциальности, целостности и наличие.
Большинство информационных систем попадают в категорию уровня 2 или 3. Решение на каком уровне сертификации и аккредитации Вашего информационных систем - 2 или 3, может быть несколько thoughtprovoking.
A Level 1 С и А требует минимальной безопасности обзора. A Level 1 сертификации пакета требует лишь Безопасности плана, один инвентаризации активов и завершен
Безопасности самопомощи оценки. Additionaly, политики безопасности должны быть четко определены. Образец самостоятельной оценки можно найти в Приложении D. Некоторые учреждения могут иметь различные требования для уровня 1, и вы, несомненно, должны всегда придерживаться существующих руководящих учреждений.
Информационные системы, что, как правило, может потребоваться Уровень 1 С и А, систем, которые:
■ Опубликовать общественности информации
■ Производите курсов и учебных программ
■ Публикация информации о информация о продукте
■ Публикация информации о рабочем политики
■ Опубликовать формы, карты и схемы, которые nonsensitive
A Level 2 C A и требует основных обзор и анализ безопасности информационных систем. A Level 2 C A и требует все включены в уровень 1, а также полный набор С и А документы и безопасности испытаний и оценки (ST и E), (но не результаты тестирования). Политики безопасности должны быть четко определены и реализованы. Если агентство требует нечто иное, чем то, что я рекомендую здесь, вы должны отложить в агентство рекомендации.
Информационные системы, что, как правило, может потребовать уровня 2, С и А, информационных систем, которые:
■ Есть использоваться для контракты, предложения, и судебные разбирательства
■ Есть использоваться для капитального бюджета заявки
■ Подавать офисных приложений
■ эксплуатация преимуществ управления заявок
■ Управление цепочкой операций по управлению
A Level 3 C A и требует подробного изучения и анализа безопасности информационных систем. A Level 3 C A и требует все, что требуется в Уровень 1 и 2 С и А, а также сеть уязвимости сканирования, а также тесты, которые показывают, что были правильно выполнены политики безопасности. Некоторые учреждения могут иметь различные требования для уровня 3, и вы всегда должны использовать руководящие учреждения и следовать рекомендациям в их руководства.
Информационные системы, что, как правило, может потребовать уровня 3 С и А, информационных систем, которые:
■ Монитор информации или физической безопасности
■ Управление операциями финансовых операций
■ эксплуатация заработной платы прикладные системы управления
■ передача разведывательной информации
■ Общение информацию об опасных веществ
A Level 4 C A и требует широкого обзора и анализа безопасности информационных систем. Все пункты, необходимые для уровней 1, 2 и 3 необходимы для уровня 4, а также испытание на проникновение, и подтверждение того, что все испытания безопасности были приняты. Некоторые учреждения могут иметь различные требования для уровня 4 и как с уровня 1, 2 или 3, вы всегда должны перенести на руководство учреждения.
Информационные системы, что, как правило, может потребовать уровня 4 С и А, информационных систем, которые:
■ эксплуатация и мониторинг атомных электростанций
■ Сделайте решения о том, где падение бомбы
■ Монитор пациента во время операции
■ эксплуатация и мониторинга крупных плотин
■ Управление и эксплуатацию транспортных средств массовой
■ мониторинг качества воды и охрану общественного питьевой воды
■ Управление верхней секрет Министерством обороны проекты
■ предупреждении террористических актов
■ Проверка крупных денежных сделок
Определение уровня сертификации Пакет авансом является одним из наиболее часто игнорируются частей C и A. Есть множество организаций, которые не выполняют этот шаг до тех пор, пока весь Сертификация Пакет был разработан, что является абсолютным неправильный путь сделать это. Одной из причин для определения уровня сразу потому, что уровень определяет, какие виды информации должны быть включены в сертификации Package.The Сертификация Пакет доказательства того, что угрозы безопасности были поняты и смягчить properly.The высокий уровень сертификации, что одна стремится, тем больше доказательств не требуется. Например, в сети уязвимости сканирования требуется для уровня 3 сертификации, но не для уровня 2. Если Вы ищете Уровень 3 сертификации, Вам необходимо заполнить сети уязвимости сканирования и решать связанные с ним риски, определить и включить эту информацию в рамках сертификации пакет.
Online: 772 users browsing the articles directory
|
|