من اجل تحديد المستوى الذي ينبغي ان تكون معلوماتك الموثقه والمعتمدة ، وهناك سبعة معايير يجب عليك ان تأخذ في الاعتبار :
■ السرية
■ سلامة
■ توافر
■ الترابط الدولة
■ تجهيز الدولة
■ تعقيد الدولة
■ بعثة الحرجيه
انا ذاهب الى تبين لكم كيف لتحديد الجهة التى تتحمل المخاطرة والتأثير على مستويات هذه الخصائص من اجل تحديد ما المستوى الذي ج & ا لنظام المعلومات الخاص بك. ا & ج بعض البرامج قد تفضل استخدام اكثر من سبعة والمعايير قد تختلف على درجات المخاطر ، ولكن جميع ج & مستوى تحديدات ينبغي ان تتخذ نهجا مماثلا.
الحفاظ على السرية ، والنزاهه ، وتوافر نظم المعلومات الخاص بك هو أحد الأهداف الرئيسية للfisma. تجهيز 199 يساعدك على فهم كيفية تصنيف السرية ، والنزاهه ، وتوافر نظم المعلومات الخاصة بك حتى يمكنك ان تأخذ المعلومات وتحديد أ ج أ & مستوى.
السرية
|
|
ووفقا لتجهيز 199 ، السرية هو المصطلح القانوني الذي يعرف بأنه :
... اذن الحفاظ على القيود المفروضة على الوصول والكشف عنها ، بما في ذلك وسائل لحمايه الخصوصيه الشخصيه والمعلومات الخاصة بالملكيه...
من الناحية القانونية جانبا ، والسرية تعني ان الناس الذين ليسوا من المفترض أن أنظر إلى البيانات الحساسة لا ينتهي رؤيتها. خرق سرية يمكن في العديد من الطرق ، بما فى الكتف التجوال ، واستولت على شبكة رزم بروتوكول مع المحلل (يشار اليها احيانا باسم "الشم") ، وأسر ضربات المفاتيح مع ضربة المفتاح المسجل ، والهندسه الاجتماعية ، أو الغوص سلة المهملات. ويمكن ايضا ان تكون سرية تماما اخل به مصادفه ، على سبيل المثال ، اذا نظم عرضا الاداريين وفق اي طلب من هذا القبيل ان الناس الذين ليسوا من المفترض ان نرى بيانات الدخول اليها.
عادة هو الحفاظ على السرية من خلال استخدام التقنيات التالية :
■ التشفير
■ الادوار القائمة على مراقبة الدخول (rbac)
■ يستند الى قواعد وضوابط وصول
■ تصنيف البيانات على نحو ملائم
■ السليم ادارة التشكيل
■ تدريب المستخدمين النهائيين ونظم الإداريين
تحديد مستوى السرية
الصحيح في تحديد المستوى الذي يمكن لاشهد واعتماد نظام المعلومات الخاص بك ، انت بحاجة الى تحديد ما اثر خرق للسرية البيانات سيتعين على منظمتكم. وإذا اثر الكشف سيكون من نتيجة تذكر ، من تقدير منخفض ينبغي اختيارها. وإذا اثر الكشف عن الخطأ الى الافراد سيكون بمثابة كارثه ، وتقدير عاليه ينبغي ان تكون مختارة. وإذا كان تأثير ضار الافصاح من شأنه ان يكون في مكان ما بين المنخفضه والعالية ، من تقدير معتدل ينبغي اختيارها.
على سبيل المثال ، هو ان البيانات لتكون في متناول الجمهور على الشبكه العالمية سيكون له تقدير منخفض السرية. البيانات التي ينبغي ان ينظر اليه فقط من جانب مجموعة صغيرة جدا من الناس ، حيث كشف غير مصرح به الى المشاهدين سيكون حاسما العواقب ، وسوف تتطلب درجة عالية من السرية. البيانات التي ينبغي النظر اليها من جانب وسيط المبلغ من المستخدمين ، والتي قد يكون لها أثر سلبي المعتدله لو كانت خاطءه الى الكشف عن الافراد ، وسيكون له تقدير معتدل السرية.
وعند النظر في اثر الكشف ، فهو يساعد إذا كانت البيانات داخل منظمتكم لديها خطة التصنيف. واذا فعلت ، يمكنك انشاء العدديه ووزنه استنادا الى بيانات نظام التصنيف التي هي الى حد ما اكثر تحديدا من احالات عالية ، متوسطة ، او منخفضه.
| بيانات التصنيف | الوزن | اثر الكشف |
| غير مصنف | 1 | منخفض |
| حساسه ولكن غير مصنف (sbu) | 2 | منخفض |
| سري | 3 | معتدل |
| سر | 5 | معتدل |
| سر | 6 | عاليه |
| مجزا / وصول خاصة | 8 | عاليه |
النزاهه
مثل السرية والسلامة كما هو المصطلح القانوني المحدد من قبل الرموز 199 وتنص على ما يلي :
… يعني حراسه لاءقه ضد تعديل المعلومات او تدميرها ، ويتضمن تأمين المعلومات nonrepudiation والاصاله...
المحافظة على سلامة البيانات يضمن ان تكون المعلومات موثوقه ولم تغير أما غير المرخص لهم ، او عمليات ذهبت بميل. على كل حال ، اذا كانت هذه البيانات ليست دقيقة ، وهو قليل الفاءده وفي الواقع يمكن ان يكون ضارا إذا كانت تستخدم لاتخاذ قرارات فيها حياتهم معرضة للخطر. المهاجمون قد عمد الى محاولة تغيير البيانات ، ولكن نظم الادارة الاخطاء والتسيب البرمجه يمكن ان تخلق أيضا البيانات التي تحتوي على معلومات خاطءه. اذا مدخلات المتغيرات في برامج ليست لفحص الذاكرة حدود ، ويمكن ان تحدث الفيضانات العازله ، التي لديها القدرة على تغيير بيانات جيدة.
في كثير من الاحيان هو الحفاظ على سلامة نفسه من خلال إستخدام تقنيات لكم المحافظة على السرية. بيد اضافية التقنيات التي تساهم في ضمان سلامة البيانات في ترك كياسه هي :
■ محيط الشبكه آليات الحمايه
■ المضيفه القائمة على التدخل لمنع نظم
■ الشبكه القائمة على نظم كشف الاقتحام
■ الحمايه ضد الفيروسات وغيرها من البرامج الضاره
■ الأمن المادي لنظم المعلومات
■ لضمان التقيد بالمبادئ الترميز
■ احتياطية وتخزينها خارج الموقع
■ ادارة التخطيط للطوارئ
تحديد مستوى سلامة
مماثلة لتحديد مستوى السرية ، عندما كنت في تحديد مستوى النزاهه ، انت بحاجة الى تحديد ما هو تأثير فقدان سلامة البيانات سيتعين على منظمتكم. واذا آثر تعديل بيانات دون اذن سيكون من نتيجة تذكر ، اختر تقدير منخفض. واذا كان من غير مأذون به اثر تعديل بيانات ستكون مدمره ، اختر عالية التصنيف. وإذا كان تأثير سلبي وغير مأذون بها تعديل البيانات ستكون فى مكان ما بين المنخفضه والعالية ، يجب عليك اختيار معتدل.
نتذكر ، وفقدان النزاهه يعني ان البيانات قد تم تعديلها من خلال قنوات غير مأذون بها ، واما عن قصد أو عن طريق الصدفة. اذا كانت شركة الإدخال في الرزنامه تطبيق هذا وقد اخل نزاهته ، وهذا لن يكون في اي مكان بالقرب من نفس النتائج كما لو كان المريض السجلات الطبية في مستشفى المحاربين القدماء. خرق للسلامة على السجل الطبي للمريض يمكن ان يكون حياة او موت وعواقب سلبية خطيرة تؤثر.
مستويات النزاهه وينبغي ان تكلف على أساس مقياس يكون مؤشرا الى خطر فقدان النزاهه.
| مستوى النزاهه المطلوبة | الوزن | اثر الخسارة |
| لا ينطبق | 0 | منخفض |
| تقريبي | 3 | معتدل |
| بالضبط | 6 | عاليه |
توفر
تجهيز 199 وينص التعريف القانوني للتوافر لتكون :
… يعني ضمان موثوق بها في الوقت المناسب والحصول على المعلومات واستخدامها.
جميع البيانات لا يكون لها نفس الاحتياجات لتوافر. البيانات التى قد تؤثر على حياة البشر يحتاج الى ان يكون في ضمان توافر مستويات أعلى مما هي البيانات التي يقصد لأغراض تافهه (سياسي ، المطعم قائمة طعام الغداء). ان البيانات قد عالية توافر المتطلبات يحتاج الى مزيد من الضمانات ووضع ضوابط لضمان توافر لا يثير الشبهه. ان البيانات قد تدنى توافر الشروط قد لا يحتاج الى ضمانات او ضوابط.
تحديد توفر مستوى
في تحديد مدى توافر ، انت بحاجة الى ان نفهم كيف عاجلة ومن (أو لا) ، ان البيانات موجودة في اعماله اليوميه للدولة. ما الذي سيحدث اذا كانت البيانات الى ان تصبح متوفره لفترة من الزمن؟ من شأنه ان عدم توافر البيانات منع الحرجه المقررات التي ستصدر؟ وسوف تصبح حياة البشر في خطر؟ سيكون اي شخص حتى اشعار او الرعايه؟ ا & ج بعض الخبراء يدعون ان المخاطر الى توافر ينبغي أن يهتم فقط مع الأمن ، وليس الأداء. ولكن الامن في كثير من الاحيان يتعرضون لاستغلال نقاط الضعف من خلال الهجمات على الاداء ، وبالتالي ، اعتقد انه اخذا في الاعتبار اداء امر هام. واذا رفض الخدمة الهجوم يمنع من ان تصبح البيانات المتاحة بسبب التدهور في أداء النظام ، فانه سيكون من الحكمة النظر في اداء الأثر الناجم عن الهجوم الذى وقع على الامن.
| مستوى توافر | الوزن المطلوب | اثر الخسارة |
| عندما سمح الوقت | 1 | منخفض |
| قريبا | 2 | معتدل |
| في اقرب وقت ممكن (في أسرع وقت ممكن) | 4 | معتدل |
| دائم | 7 | عاليه |
اذا كنت تخطط لاشهد واعتماد التطبيقات المتعددة معا ، أو لتطبيقات متعددة الخطوط التجارية او متعددة المجالات التنفيذية ، انك ستحتاج الى القيام ببعض الاعمال الاضافيه الى الرقم الخاص بك من اصل السرية ، والنزاهه ، وتوافر عشرات. ومع ذلك ، فمن اكثر كفاءه بكثير الى ا & ج التطبيقات المتعددة معا ، وخطوط متعددة من الاعمال معا ، من اجل وضع اثنان منفصلة تماما & ج أ الطرود.
اولا لكم الشكل من اصل السرية ، والنزاهه ، وتوافر تقديرات النوعي لكل طلب على حدة ، خط التجارية ، او منطقة العمليات. متى فعلتم ذلك ، قمت بوضع عشرات النهائي لكل من الفرد الى المناطق جدولا موجزا. مختلف المجالات الفرديه قد تعتمد وسائل مختلفة لعشرات السرية ، والنزاهه ، وتوافر. ولكن ، يا ج & حزمة بحاجة الى ان توجه نحو مستوى واحد. للحصول على النهائي السرية ، والنزاهه ، وتوافر تقدير ، انكم تريد اختر اعلى تقدير في جميع الفئات وذلك باستخدام احد. فعلى سبيل المثال ، اذا كانت لديك ثلاث خطوط الأعمال ، ولها درجات السرية العالية ، معتدلة ، ومنخفضه ، وانت سوف تختار العالية لجهودكم النهائي السرية تقدير.
الادارة
| أعلى تصنيف | عاليه | معتدل معتدل |
الاعتقاد بها السرية والسلامة ، وتوافر باستخدام النهج التي وصفتها للتو هو الطريقة المثلى لالرقم السرية والسلامة ، وتوفر عشرات اذا كان لديك الادارات المختلفة التى تشترك فى نفس الخادم. أنت بالتأكيد لن نريد ان نضع معا ثلاث مجموعات مختلفة الشهاده لنفس الخادم. ونظرا لكمية كبيرة من الموارد والوقت الذي تستغرقه يضعوا معا حزمة اصدار الشهادات ، التي تريد تغطية اكبر عدد اصول تكنولوجيا المعلومات في مجموعة واحدة كما يمكنك.
تأثير مستويات النظام والحرجيه
تجهيز 199 يلخص خصائص السرية والسلامة ، وفقا لتوافر أثر ضار في حالة حدوث اي حادث امني. منخفض ، معتدل ، او ارتفاع الآثار وصفها منظم.
| منخفض | الأثر المحتمل هو تدني اذا كان فقدان السرية ، |
النزاهه ، او توافر يمكن ان يتوقع ان يكون له اثر سلبي محدود على العمليات التنظيمية ، والاصول التنظيمية ، او الافراد.
| معتدل | الأثر المحتمل هو معتدل واذا كان فقدان |
السرية والسلامة ، او توافر يمكن ان يتوقع أن يكون له اثر سلبى خطير على العمليات التنظيمية ، والاصول التنظيمية ، او الافراد.
| عاليه | الأثر المحتمل لارتفاع اذا هو فقدان السرية ، |
النزاهه ، او توافر يمكن ان يتوقع ان يكون حادا أو كارثيه اثر سلبي على العمليات التنظيمية ، والاصول التنظيمية ، او الافراد.
والمهم في هذه المبادئ التوجيهيه التالية هي قادرة على تبرير والأساس المنطقي لاختيار الفئة المنخفضه ، معتدل ، أو عالية لنظام المعلومات الخاص بك. الاسءله بأنكم نريد ان نسأل في هذا الموضوع - دار الخبراء للمساعدة فى تحديد لكم السرية والسلامة ، وإثر توافر مستويات هي :
■ هل هذه المعلومات أداء نظم العمليات التي تعرض حياة الانسان للخطر؟
■ البيانات هو للقراءة فقط البيانات؟
■ هل تشكل البيانات قابل للتنفيذ البرامج؟
■ من هم اصحاب المصلحه من البيانات؟
■ اذا كانت البيانات اختفى تماما والى الابد ماذا سيكون التأثير؟
■ اذا كانت البيانات اختفى لمدة ساعة واحدة ماذا سيكون التأثير؟
■ اذا كانت البيانات اختفى لمدة يوم واحد ماذا سيكون التأثير؟
■ هل نظام توصيل المعلومات الى أي نظم او الشبكات الاخرى؟
النهائي السرية ، والنزاهه ، وتوافر درجة انك تحسب لتلخيص كل النظم الخاصة بك في ج & حزمة يسمى الأمن نبذه.
| نظام الحرجيه | منخفض ، معتدل ، او عاليه |
| السرية | معتدل |
| النزاهه | منخفض |
| توفر | معتدل |
وبصرف النظر عن السرية ، والنزاهه ، وتوافر ، وهناك اربعة اخرى في منظومة الصفات التي ينبغي ان تؤخذ في الاعتبار لتحديد الخاصة بك & ج أ level.those بصفات اربع هي المعروفة باسم الترابط الدولة ، وتجهيز الدولة ، تعقد الدولة ، وبعثة الحرجيه . بتكليف العددي المخاطر الى مستويات هذه الصفات وتدوين ما يصل المجاميع ، يمكنك صقل امنكم والخصائص الخاصة بك تبرير ج & مستوى.
الترابط دولة (طريقة التوصيل)
الترابط الدولة غالبا ما يشار اليها على انها طريقة التوصيل في وثائق الوكالة ، ويشير الى وصلات نظام المعلومات على الشبكات الاخرى ، والاجهزه ، وقواعد البيانات ، والنظم. انني افضل المصطلح "الترابط الدولة" لانها هي وصفية أكثر وأقل ألفاظا من التواصل واسطة. كثير من خبراء الأمن لا يعرفون طريقة التوصيل وسيلة كانت دون القيام بمزيد من البحوث. اذا كنت انظر في طريقة التوصيل ج & ا المنشورات اطفائها
من جانب الوكالات الاتحادية ، ما يشير الى المصطلحات هي دولة الترابط لمختلف مكونات الشبكه ، وعليك ان تفكر في ان هذا هو نفس الشىء كما الترابط الدولة.
لفهم ما هو الترابط الدولة ، وليأخذ في الاعتبار حادث امني. إذا وقع حادث أمني ، من شأنه ان يكون الحادث الواردة ضمن نظام معلومات او واحد من شأنه ان اصل الى ارتكاب غيرها من النظم؟ في فهم الترابط الدولة ، انت بحاجة الى تحديد ما اذا كانت المخاطر التي يمكن contained.to تحديد ما اذا كانت المخاطر التي يمكن احتواؤها ، انت بحاجة الى معرفة ما اذا كان الترابط شبكة من الاجهزه غير موجود ، السلبي ، او الايجابي. أ منعدمه الترابط من شأنه ان الدولة لم تبين الصلات الماديه او المنطقيه. الدولة سلبيا من شأنه ان يبين الترابط المنطقي او الصلات الماديه التي تخضع لرقابة مشددة. على سبيل المثال ، نظاما يمكن تشكيلها فقط لاستقبال انواع معينة من البيانات عن بعض الموانئ. نشط الترابط ما يدل على وجود الدولة المباشر ، ومنفتحة نسبيا ، والتفاعل مع النظم الأخرى ، وهياكل البيانات ، والشبكات.
ومن الواضح ان هناك ما هو أكثر من المخاطر المرتبطه نشط الترابط الدولة ، مع خطر أقل سلبية الترابط الدولة ، وليس الخطر غير موجود الترابط مع الدولة. وبالرغم من ان بعض البرامج ا & ج تنتدب العددي اوزان اخرى الى ترابط هذه الدول ، وأوصى بأن الاوزان التي يبدو انها ستستخدم ادناه :
| الترابط على مستوى الدولة للخطر | الوزن | |
| غير موجود | منخفض | 0 |
| سلبى | معتدل | 2 |
| الصيغة المعلوم | عاليه | 6 |
الوصول الدولة (تجهيز واسطة)
وصول الدولة الى معلوماتك نظام يشير الى تعقيد عن طريق البيانات التي يتم الحصول عليها ، واحال ، وتخزن. وصول الدولة غالبا ما يشار اليها على أنها تجهيز واسطة في وكالة ا & ج الوثائق. ومع ذلك ، واعتقد ان طريقة معالجة أمر مضلل لأن ما نحن حقا هو محاولة لتحديد مستوى دخول المستخدم. الوصول الى فهم الدولة ، وتأخذ في الاعتبار مستوى الموافقات اللازمة للوصول الى البيانات. وكم التقنيه الضوابط الامنية وتشكيل معالم تنفذ والتلاعب من اجل الوصول الى منحة؟ انت في حاجة الى تحديد عدد من المستويات المختلفة للمستخدم الامتيازات وتعقيد تشكيل وتنفيذ وصول تلك الدول.
| مستوى الوصول | الوزن |
| جميع المستخدمين | 1 |
| قلة من المستخدمين | 3 |
| الحاجة الى معرفة فقط | 5 |
| اختر المستخدمين | 6 |
مسؤولية الدولة (الاسناد واسطة)
مساءلة الدولة ويشير الى كيفية مساءلة كنت بحاجة الى علمكم ان يكون نظام. هذه المعلومات للدولة كثيرا ما يشار اليها في وكالة ا & ج الوثائق باعتبارها واسطة الاسناد. ومع ذلك ، فإن المصطلحات الاسناد واسطة هو تاويلي - مرة اخرى لا أحد يعلم ما يعني وحان الوقت لاستبداله مع صفية أكثر المصطلحات. المصطلحات "محاسبة الدولة" هي اقل الخلط. فهم مساءلة الدولة ، وانت بحاجة الى ان تأخذ في الاعتبار تعقيد المساءلة اللازمة لتحديد ، للمصادقة ، والمراجعه ، ونظام رصد التشكيلات والكيانات. هل يخضع لنظام ا & ج بسيطة أو معقدة تتطلب مراجعة الاليات؟ هي كشف الاقتحام او التدخل لمنع نظم المطلوبة؟ هل آمن الاحداث تحتاج الى علاقة تبادليه مع ادارة المعلومات الأمنية (سيم) تعزية؟ وكم من الاماكن ينبغي ان تكون البيانات المخزنه فى؟ وكم نظم الرصد هل انت بحاجة؟ هل انت بحاجة نظم الرصد في مواقع جغرافيه متعددة؟ تعقد لتحديد الدولة ، فانه يجدر النظر الذين هم اصحاب المصلحه للبيانات. هل هو رئيس الولايات المتحدة؟ او هم اصحاب المصلحه في إدخال البيانات كتبه؟ معرفة من هم اصحاب المصلحه هي البيانات وما هي انهم يستخدمون البيانات for.you قد تحتاج الى اجراء مقابلات مع اصحاب المصلحه ، ومطوري ، ونظام معلومات المالك من اجل معرفة ما هي عليه باستخدام البيانات ل.
لتحديد الطابع المعقد للمساءلة التي تحتاج اليها لنظام المعلومات ، ولقد أنشأت الحجم ، وصفت في الجدول ادناه. جعل نوعي قرار استنادا الى المعلومات التي عليك ان تحصل من اصحاب المصلحه ، ونظام المعلومات مالك ، ومطوري.
| مستوى المساءلة | الوزن |
| لا شيء | 0 |
| اولى | 1 |
| شامل | 3 |
| متطور | 6 |
بعثة الحرجيه
احدى الطرق لقياس أهمية وجود نظام للمعلومات هو ان نفهم كيف ان الحرجه وبخاصه نظام المعلومات هو عملك. كيف هو عملك الاعتماد على نظام المعلومات هذا متروك للج & ا؟ وهناك أربع فئات من الاعتماد يجب عليك أن تحاول التوفيق بين نظام المعلومات الخاص بك مع :
■ لا يعول
■ سريع الاعتماد
■ الاعتماد الجزئي
■ الاعتماد الكامل
نظام المعلومات مالك ينبغي ان يكون فكرة جيدة من حيث حساسيه بعثة من نظام المعلومات هذا متروك للج & آ. انني احذر من المقابلات مع المستخدمين النهائيين للنظام المعلومات الحرجيه على بعثة لأنهم غالبا ما تعطي مبالغ فيها وجهات النظر حول بعثة الحرجيه. يجب عليك التحقق من نظام معلومات للمالك مع وجهة نظر - في البيت ومطوري الموضوع الخبراء.
| بعثة الحرجيه | الوزن |
| لا شيء | 0 |
| سريع | 1 |
| جزئي | 3 |
| كامل | 7 |
Online: 830 users browsing the articles directory
|
|