Ce qui sont le C des niveaux


  Share  
|

Il y a quatre niveaux différents pour lesquels des systèmes d'information peuvent être certifiés et des niveaux d'accredited.The quatre sont connus simplement en tant que de niveau 1, 2 de niveau, de niveau 3, ou le propriétaire de système d'information du niveau 4.The est censé décider à quel niveau pour certifier le système d'information, et puis à l'obtenir achetez à ce niveau de l'official.The d'autorisation ISSO et équipe de prearation de C&A devrait aider le propriétaire de système d'information en déterminant le niveau approprié auquel pour certifier et accréditer le système d'information.

Le niveau 1 est pour les systèmes d'information qui ne sont pas sensibles, et a peu de conditions de sécurité.
Le niveau 2 est pour les systèmes d'information qui sont quelque peu sensibles, et a quelques conditions de confidentialité, d'intégrité, ou de disponibilité.
Le niveau 3 est pour les systèmes avec l'information sensible qui ont des conditions significatives de confidentialité, d'intégrité, et de disponibilité.
Le niveau 4 est pour les systèmes d'information extrêmement sensibles qui ont les conditions les plus élevées pour la confidentialité, l'intégrité, et la disponibilité.

La plupart des systèmes d'information entreront dans la catégorie du niveau 2 ou 3. Décider à quel niveau certifier et accréditer vos systèmes d'information—2 ou 3—peuvent légèrement thoughtprovoking.

Niveau 1

Un niveau 1 C&A exige une revue minimale de sécurité. Un paquet de certification du niveau 1 exige seulement un plan de sécurité, un inventaire de capitaux, et accompli

Sécurité art de l'auto-portrait-assessment. Additionaly, politiques de sécurité doit être clairement défini. Un échantillon art de l'auto-portrait-assessment peut être trouvé dans l'annexe D. Quelques agences peuvent avoir différentes conditions pour un niveau 1 et vous devriez naturellement toujours suivre les directives existantes d'agence.

Les systèmes d'information qui typiquement peuvent exiger un niveau 1 C&A sont des systèmes cela :

■ ; Éditez l'information de grand public
■ ; Fournissez le courseware et les programmes de formation
■ ; Éditez l'information sur l'information de produit
■ ; Éditez l'information sur des politiques de lieu de travail
■ ; Éditez les formes, les cartes, ou les diagrammes qui sont nonsensitive

Niveau 2

Un niveau 2 C&A exige une revue et une analyse de base de la sécurité du système d'information. Un niveau 2 C&A exige tout inclus à un niveau 1, plus un ensemble complet des documents de C&A, et un essai de sécurité et une évaluation (ST&E), (mais pas des résultats d'essai). Des politiques de sécurité doivent être clairement définies et mises en application. Si une agence exige quelque chose de différent que ce que je recommande ici, vous devriez reporter aux recommandations d'agence.

Les systèmes d'information qui typiquement peuvent exiger un niveau 2 C&A sont des systèmes d'information cela :

■ ; Sont employés pour des contrats, des propositions, et l'instance judiciaire
■ ; Sont employés pour des applications de budget d'investissement d'investissement
■ ; Applications de bureau de service
■ ; Actionnez les applications de gestion d'avantages
■ ; Contrôlez les transactions de gestion de chaîne d'approvisionnements

Niveau 3

Un niveau 3 C&A exige une revue et une analyse détaillées de la sécurité du système d'information. Un niveau 3 C&A exige tout qui est exigé à un niveau 1 et 2 C&A, plus un balayage de vulnérabilité de réseau, aussi bien que les essais qui montrent cela ont été des politiques correctement mises en application de sécurité. Quelques agences peuvent avoir différentes conditions pour un niveau 3 et vous devriez toujours employer les directives d'agence et suivre les recommandations en leur manuel.
Les systèmes d'information qui typiquement peuvent exiger un niveau 3 C&A sont des systèmes d'information cela :

■ ; Surveillez l'information ou la sécurité physique
■ ; Contrôlez les opérations des transactions financières
■ ; Actionnez les applications de gestion de livre de paie
■ ; Transmettez l'information d'intelligence
■ ; Communiquez les informations sur les substances dangereuses

Niveau 4

Un niveau 4 C&A exige une revue et une analyse étendues de la sécurité du système d'information. Tous les articles exigés pour les niveaux 1, 2, et 3 sont exigés pour un niveau 4, plus un essai de pénétration, et la confirmation que tous les essais de sécurité ont été passés. Quelques agences peuvent avoir différentes conditions pour un niveau 4 et juste comme avec un niveau 1, 2, ou 3, vous devriez toujours reporter aux conseils d'agence.

Les systèmes d'information qui typiquement peuvent exiger un niveau 4 C&A sont des systèmes d'information cela :

■ ; Actionnez et surveillez les centrales nucléaires
■ ; Prenez les décisions dessus où laisser tomber une bombe
■ ; Surveillez un patient pendant la chirurgie
■ ; Actionnez et surveillez un grand barrage
■ ; Contrôlez et actionnez les équipements de moyens de transport de masse
■ ; Surveillez la qualité de l'eau et la sûreté de l'eau potable publique
■ ; Contrôlez le département secret supérieur des projets de la défense
■ ; Empêchez les attaques de terroriste
■ ; Effectuez les grandes transactions monétaires

La détermination du niveau du paquet de certification vers le haut de l'avant est l'une des parties de C&A.There souvent-données sur sont de nombreux organismes qui mettent’t exécutent cette étape jusqu'à ce que le paquet entier de certification ait été développé, qui est la manière fausse absolue d'aborder ceci. Une des raisons de déterminer le niveau vers le haut de l'avant est parce que le niveau détermine quels types de besoin de l'information d'être inclus dans le paquet de certification de la certification Package.The est l'évidence que des risques de sécurité ont été compris et le niveau plus élevé atténué de properly.The de la certification qu'on cherche, plus d'évidence est exigé. Par exemple, le balayage de vulnérabilité de réseau est exigé pour la certification du niveau 3, mais pas pour le niveau 2. Si vous cherchez la certification de niveau 3, vous devez accomplir un balayage de vulnérabilité de réseau et adresser résulter risque identifié et inclut cette information en tant qu'élément du paquet de certification.

c'est un article supplémentaire par Waine G. Fluen


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions