결정하기위한 기준을 사용하도록 인증 및 인증 레벨

어떤 수준에서 결정하기 위해 귀하의 정보를하여야한다 인증 및 인증에는 7 개의 기준을 고려하셔야합니다 :
■ 기밀 유지
■ 무결성
■ 용성
■ 상호 접속 상태
■ 처리 상태
■ 복잡도 상태
■ 임무 임계

저는 이동을 할당하는 방법을 보여줍니다 위험과 충격 수준을 결정하기 위해 어떤 수준에서 이러한 특징을 c & a 귀하의 정보 시스템입니다. 일부 c & a 프로그램은 700 개 이상을 사용하도록 선택 기준과 다를 수있습니다 자신의 위험 등급 그러나 모든 c & 한 수준 결정하는 유사한 접근 방식을 져야한다.

기밀성, 무결성, 그리고 용성

보존 기밀, 무결성, 그리고 귀하의 정보 시스템을 사용할 수있다는 하나의 주요 목표 중 fisma. fips 199 데 도움이됩니다 이해를 분류하는 방법 기밀, 무결성, 그리고 귀하의 정보 시스템을 사용할 수있다는 정보를 확인할 수 있도록 걸릴 c & 한 수준입니다.

기밀 유지

에 따르면 fips 199, 기밀 정보는 법률 용어로 정의합니다 :

… 보존 승인된 제한에 대한 액세스 및 공개를 포함한 개인의 개인 정보 보호와 독점 정보를 보호하는 방법에 대해…

법률 용어를 간단히 설명하는 사람이 없다는 것을 의미하는 기밀 유지에 민감한 데이터를하지 말을 보려면 보는 것이있습니다. 기밀 유지하실 수있습니다 위반한은 수많은 방법을 포함 어깨 서핑을 캡처하는 네트워크 패킷을 프로토콜 분석기 (라고도 "스니핑"), 캡처 키는 키 로거, 사회 공학, 또는 dumpster 다이빙. 기밀 유지 수도있습니다 위반한 완전히 실수, 예를 들면, 만약 시스템 관리자가 실수로 구성하는 응용 프로그램이 그러한 것을지지 않은 사람들이 그것을 볼의 데이터가 로그인 액세스 권한을합니다.
기밀 유지 일반적으로이 보존의 사용을 통해 다음과 같은 기술 :

■ 암호화
■ 역할 - 기반 액세스 제어 (rbac)
■ 규칙 - 기반 액세스 제어
■ 분류 데이터를 적절
■ 적절한 구성 관리
■ 훈련 끝 - 사용자와 시스템 관리자가

결정 기밀 수준

이 결정이 적절한 수준을 증명하고 생태 귀하의 정보 시스템을해야하는 결정의 기밀 유지에 어떤 영향을 위반하여 조직에 대한 데이터를했을 것이다. 공개 될 경우에 미치는 영향은 거의 결과를 등급이 낮은 선택해야한다. 경우에 미치는 영향은 유출을 잘못된 개인이 될 재앙을 등급의 높은 선정하여야한다. 경우에 미치는 영향은 나쁜 공개 될 사이 낮고 높음을 등급은 보통이 선택되어 있어야합니다.

예를 들어, 데이터는 공개적으로 사용할 수있는 웹 공간에서 이루어질 것이다 기밀 등급이 낮습니다. 데이터를 조회해야하는 유일한는 아주 작은 그룹의 사람, 여기서 공개를 무단으로 시청자 것이 중요 결과,이 요구하는 높은 수준의 비밀 유지합니다. 데이터를 조회해야하는 중간 규모의 사용자를이 될 수있는 온건 나쁜 영향 마치 공개된을 잘못된 개인, 온건 기밀 등급이있는 것이다.

미치는 영향을 고려할 때 공개를하면 도움 이내에 귀하의 조직이있는 경우에 데이터 분류 체계를합니다. 만약 그렇지, 수치를 만들 수있습니다 무게를 기반으로 데이터를 분류 체계가보다 약간 더 구체적인 과제의 높음, 보통, 또는 낮은.

무결성

같은 기밀성, 무결성은 또한 법률 용어를 정의하여 다음과 같이 fips 199을 읽습니다 :

…을 의미 경계 부적 절한 정보를 수정 또는 파괴, 그리고 포함합니다 정보 nonrepudiation 및 신뢰성을 보장…

보존 데이터의 무결성을 보장하는 정보가 신뢰성과가되지 않았습니다 중 하나를 통해 인증되지 않은 사용자가 변경, 또는 프로세스가 사라짐 띠고있습니다. 결국, 데이터가없는 경우 정확하고, 그것은 거의 사용 및 사실 수있습니다 나쁜 경우이 사용되고있는 생활을하고있는 지분을 결정합니다. 공격자 5월 시도를 고의로 변경 데이터가 있지만 시스템 관리 오류와 홍기 프로그래밍에 잘못된 정보가 들어있는 데이터를 만들 수도있습니다. 입력 변수에 프로그램이없는 경우 위탁에 대한 메모리 범위, 버퍼 오버플로우가 발생할 수있는가 능성이 좋은 데이터를 변경합니다.

이 같은 기법을 통해 무결성을 자주가 보존 기밀성을 유지하기 위해 사용할 수있습니다. 그러나, 부 기법의 무결성을 보장하는 데 도움이되는 데이터가 남아는 그대로는 다음과 같습니다 :

■ 외곽 네트워크 보호 메커니즘
■ 호스트 - 기반 침입 방지 시스템
■ 네트워크 - 기반 침입 탐지 시스템
■ 바이러스 및 기타 악성 프로그램으로부터 보호
■ 물리적 보안은 정보 시스템
■ 준수를 확보 코딩 원칙
■ 백업 및 오프 - 사이트에 저장
■ 비상 경영 계획

결정의 무결성 수준

기밀 유지와 비슷한 수준으로 결정하는 경우가 무결성 수준을 결정하실 필요가를 결정했다면 어떤 영향을 손실의 데이터 무결성에 대한 귀하의 조직입니다. 무단 데이터 수정 될 경우에 미치는 영향은 거의 결과, 낮은 등급을 선택합니다. 경우에 미치는 영향은 무단 데이터 수정 될 재앙, 높은 등급을 선택합니다. 경우에 미치는 영향은 나쁜 및 무단 데이터 수정 될 사이 낮고 높음, 보통을 선택합니다.

기억 상실의 무결성을 의미있는 데이터가 수정을 통해 인증되지 않은 채널을 하나의 목적이나 사고입니다. 일정 관리 응용 프로그램이있는 경우이 회사는 그 무결성을 위반한 경우이이 근처 어디에서도 동일한 결과가없는 것처럼 환자의 의료 기록은 베테랑의 병원입니다. 을 위반의 무결성에 환자의 의료 기록을 수있는 생명 또는 사망 결과와이 심각한 나쁜 영향을 미칩니다.

무결성 수준을 할당해야합니다을 기반으로하는 규모가를 알려주는 위험에 무결성을 상실합니다.

용성

fips 199 규정의 법적 정의는 용성 수 :

… 수단 확보의 정보를 신속하고 안정적인 접근을하고 사용합니다.

되지 않는 모든 데이터가이 같은 요구 사항에 대한 용성입니다. 데이터가있는가 인간의 삶에 미치는 영향이 그 용성 요구되는 데이터를보다 높은 수준에서 보장하기위한 사소한 목적으로 (e.g., 구내 식당 점심 메뉴). 데이터가 높은 용성 요구 사항이 요구를 더 정교한 안전 장치 및 제어를 보장하는 용성은 손상되지 않습니다. 데이터가 낮은 용성 요구 사항이없는 안전 장치 또는 컨트롤을 필요로 할 수도있습니다.

결정의가 용성 수준

이 결정 용성, 필요를 이해하는 시급하다 (또는 아닙니다), 해당 데이터가 존재의 일상 생활 상태입니다. 될까가 될 사용할 수없는 경우에 데이터가됐다 기간 동안 한가? 라고 없음의 데이터가 중요한 의사 결정을 막을 수있게됩니까? 인간의 생명을가 될 것이다 언제 지분을가? 라고 어느 누구도 규정이나 치료가? 일부 c & a 전문 주장하는 위험을 공급하여야한다 우려에서만 보안 및 않는 성능입니다. 그러나, 보안 취약점에 대한 공격을 자주들이 착취를 통해 실적, 따라서 복용 성능을 고려해이 중요한다고 생각합니다. 경우 서비스 거부 공격을 방지합니다되고에서 데이터를 사용할 수있는 시스템 성능의 저하로 인해, 그것이 신중한 성능에 미치는 영향을 고려하여 공격에 의한 보안입니다.

여러 개의 데이터 세트를 분류하는 방법

계획을 증명하고 인증하는 경우에는 여러 개의 애플 리케이션을 함께, 또는 어플 리케이션에 대한 여러 노선의 비즈니스 또는 여러 개의 작전 지역을하셔야 할 몇가 지 추가 업무를 파악하여 기밀성, 무결성, 그리고 용성 점수입니다. 그러나, 그것이 훨씬 더 효율적으로 c 및 여러 응용 프로그램을 함께, 그리고 여러 개의 라인의 비즈니스를 함께,보다 두 개의 완전히 별도 c & a 패키지를 개발합니다.

먼저 파악하면 기밀성, 무결성, 그리고 용성 질적 등급을 개별적으로 각 응용 프로그램, 라인의 비즈니스, 또는 작전 영역입니다. 이 작업을 마치면, 당신의 최종 점수를 넣어 각각의 개별 지역으로 요약 표입니다. 서로 다른 각각의 지역들은 각기 다른 점수에 대한 기밀성, 무결성, 그리고 용성입니다. 그러나 귀하의 c & 한 패키지해야 할 대상을 향해 한 수준입니다. 최종 기밀 유지를 구하는, 무결성, 그리고 용성 등급, 너는가가 장 높은 등급의 모든 카테고리를 선택하고 사용하는 중 하나입니다. 예를 들어, 3 개의 라인이있는 경우의 사업, 그리고 그들이 기밀 등급은 높음, 보통, 낮음, 너는 고에 대한 귀하의 최종 기밀 등급을 선택합니다.

경영

파악 기밀성, 무결성, 그리고 용성을 사용하여 접근 나는 방금 설명한는 이상적인 방법을 그림 기밀성, 무결성, 그리고 용성 성적이 다른 경우는 같은 서버를 공유하는 부서입니다. 확실히 당신을 함께하려하지 않습니다 동일한 서버에 대한 3 개의 서로 다른 인증 패키지입니다. 로 인해 다량의 시간과 자원이 소요 함께 넣으려면 인증 패키지를하고자하는 커버를 한 많은 정보 기술 자산을 하나의 패키지로 할 수있습니다.

임팩트 수준 및 시스템 임계

fips 199 요약한 요청의 기밀성, 무결성, 그리고 용성 나쁜 영향에 따르면 이번 행사의 보안 사건입니다. 낮음, 보통, 또는 높은 영향을 미칩니다 fips에 의해 설명됩니다.

무결성, 또는 용성 될 것으로 예상하는 데 한계가 나쁜 영향에 대한 조직의 운영, 조직의 자산, 또는 개인이있습니다.

기밀성, 무결성, 또는 용성 될 것으로 예상이 심각한 나쁜 영향에 대한 조직의 운영, 조직의 자산, 또는 개인이있습니다.

무결성, 또는 용성 될 것으로 보인다이있는 중증 또는 치명적인 나쁜 영향에 대한 조직의 운영, 조직의 자산, 또는 개인이있습니다.

이러한 지침은 다음과 같은 내용이 중요합니다을 정당화할 수있게되고 근거 배후의 범주를 선택 낮음, 보통, 또는 높이에 대한 귀하의 정보 시스템입니다. 질문을하는 것입니다 - 하우스 주제에 요청 할 수 있도록 도와주는 전문 기밀 정보를 확인, 무결성, 그리고 용성 미치는 영향 수준은 :

■ 이러한 정보 시스템을 수행할 필요가있는 작업이 인간의 생명을 언제 지분을 넣으니까?
■는 데이터 읽기 - 전용 데이터가 있습니까?
■ 사전의 데이터를 구성 실행 프로그램입니까?
■ 사람은 주주의 데이터가 있습니까?
■ 경우에 데이터가 사라진 완전하고 영원에 미치는 영향은 무엇입니까?
■ 데이터가 사라진 경우에 1 시간 동안에 미치는 영향은 무엇입니까?
■ 경우에 데이터가 사라져에 미치는 영향에 대해 하루가 어떤 것이 있습니까?
■ 사전에 정보 시스템을 연결하는 어떤 다른 시스템이나 네트워크가?

최종 기밀성, 무결성, 그리고 용성 등급을 계산을 요약해을 모두 시스템에 c & 한 패키지가 호출의 보안 프로필을합니다.

시스템 특성 특징

외에도 기밀성, 무결성, 용성,이 4 개의 다른 시스템 특성을 고려되어야하는 금액을 확인하려면 c & a level.those 4 개의 특성은 알려진으로 상호 접속 상태, 처리 상태,의 복잡 상태, 그리고 임무 임계 . 수치가 위험 수준을 할당하여 이러한 특성과 골목길 최대의 합계를하실 수있습니다 수정하여 보안 특성과 정당화의 c & 한 수준입니다.

상호 접속 상태 (인터페이스 모드)

가 상호 접속 상태를 자주가 추천을 대행사로 인터페이스 모드에서 문서, 그리고 연결의 정보를 의미합니다 시스템이가 다른 네트워크, 장비, 데이터베이스, 그리고 시스템입니다. 제를 선호하는 용어를 "상호 접속 상태"이므로 인터페이스 모드에 비해 더 많은 내용을 잘 덜 암호입니다. 많은 보안 전문가 모르는 더 이상 연구를 수행하지 않고 어떤 인터페이스 모드를 의미합니다. 만약 인터페이스 모드에서 볼 수있습니다 c & a 간행물 진화
에 의해 연방 정부 기관, 무엇이 용어의 상태를 나타냅니다입니다 용도의 서로 다른 네트워크 구성 요소, 그리고 당신은이로 생각해야한다 같은 생각으로 상호 접속 상태입니다.

을 이해가 무엇을 상호 접속 상태가를 봅시다 고려하는 보안 사건입니다. 보안 사고가 발생하는 경우,이 사건은 하나의 정보 시스템 내에 포함되어이나 것이 그것 자국민 아웃을 다른 시스템을합니까? 을 이해하는 상호 접속 상태를해야하는지 확인하려면 위험을 contained.to 수있습니다 위험 여부를 확인하실 수있습니다 들어, 여러분이 알아야 할 상호 접속의 네트워크 장치가 존재하지 않는 경우, 수동, 또는 활성입니다. 가 존재하지 않는 상호 접속 상태라고 나타낼 아니오 물리적 또는 논리적으로 연결됩니다. a 수동적 상호 접속 상태라고 나타낼 논리적으로 또는 물리적 연결되는 강력히 제어합니다. 예를 들어,이 시스템을 수도있습니다을 받도록 설정만을 특정 유형의 데이터를 특정 포트입니다. 능동 상호 접속 상태라고 나타내지는 직접적인, 그리고 상대적으로 열기, 상호 작용을하며 다른 시스템, 데이터 구조, 그리고 네트워크입니다.

분명히이 더 활성화된 상호 접속과 관련된 위험 상태, 덜 위험을 수동적 상호 접속 상태를, 그리고 리스크가 존재하지 않는 상호 접속 상태가없습니다. 비록 몇몇 c & a 프로그램을 양도할 수있습니다 다른 수치 무게가 이러한 상호 접속 상태, 나는 무게 아래 나타나는 것을 권해에 사용될 :

접속 상태 (처리 모드)

귀하의 정보를 시스템에 대한 액세스 상태를 나타냅니다의 복잡하여 어떤 데이터에 액세스, 전송 및 저장합니다. 에 대한 액세스 상태를 자주라고합니다 처리 모드에서 대행사 c & a 문서입니다. 그러나, 나는 무엇을 믿는가 공 모드는 오해를 불러일으킬 있기 때문에 우리가 정말 시도는 수준의 사용자 액세스를 결정합니다. 을 이해하는 접근 상태, 고려의 수준을 승인을 필요에 액세스할 수있는 데이터입니다. 얼마나 많은 기술적인 보안 컨트롤 및 구성 매개 변수가 구현 및 조작을 위해 액세스 권한 부여가? 하실 필요가를 확인하는 다양한 수준의 사용자 권한과 복잡성을 구성하고 이들에 액세스 상태를 구현합니다.

책임 상태 (속성 모드)

책임 상태를 나타냅니다 귀하의 정보 시스템을 어떻게 책임진다해야합니다. 이 정보는 상태를 자주가 추천을의 대행사 c & a 문서의 속성 모드입니다. 그러나이 용어를 속성 모드가 다시 암호 - 아무도 모른다 무엇을 의미하고 그것의 시간을 더 쉬운 용어로 대체합니다. 용어에 "책임 상태"가 덜 혼란을합니다. 책임 상태를 이해하실 필요가 고려의 복잡의 책임을 필요로 식별, 유효성, 감사, 및 모니터링 시스템 엔티티와 구성을합니다. 하지가 시스템을 겪고 c & a가 필요 단순하거나 복잡한 감사 메커니즘을합니까? 이 침입 탐지, 침입 방지 시스템을 필요합니까? 보안 이벤트를 수행할 필요가 상호연관된있는 보안 정보 관리 (sim) 콘솔니까? 에 저장된 데이터는 얼마나 많은 환경을해야합니까? 얼마나 많은 모니터링 시스템이 필요합니까? 여러 개의 지리적 위치에 모니터링 시스템이 필요합니까? 을 확인하려면 복잡한 상태, 그것이 상당 고려하고있는 데이터에 대해 누가 주주들이있습니다. 이 대통령은 미국의 것이 있습니까? 나가 주주 데이터 입력 사무원니까? 알 사람은 데이터 주주들이하고 어떤 이들은 약물을 사용하여 데이터를 입금해 필요가있을 수도 주주, 개발자, 그리고 정보 시스템 소유자를 위해 그들이 사용하는 데이터에 대해 알아보십시오.

복잡도의 책임을 요구하는 방법을 결정하기 위해이 정보 시스템, 본인을 설정하는 스케일, 굵은 표를 참조하십시오. 질적 의사 결정을 만듭니다에서 얻을 수있는 정보를 기반으로 주주, 정보 시스템 소유자, 그리고 개발자입니다.

미션 임계

하나의 방법 게이지의 중요성을 비판하는 방식을 이해하는 정보 시스템은 특정 정보 시스템은 귀하의 비즈니스에있습니다. '71는 귀하의 비즈니스를하는 방법에 정보 시스템이 최고에 대한 c & a가? 이 4 개 카테고리의 신뢰도를해야한다하려고하는 맞춤 귀하의 정보 시스템과 함께 :

■ 아니오 신뢰성
■ cursory 신뢰성
■ 부분 의존
■ 완벽한 신뢰도

이 정보 시스템 소유자가 있어야 좋은 아이디어의 임무 임계의 정보 시스템이 최고에 대한 c & 대답 내주의와의 인터뷰가 끝날 사용자의 정보를 시스템에 임무 임계 때문에 종종 과장된 관점에서 임무를 부여 임계. 확인해야의 정보 시스템 소유자의 관점으로이 - 하우스 개발자와 주제 전문입니다.