Význam spoločné kritériá Dod informačnej bezpečnosti

Je vaše životne dôležité selektívne informácie v bezpečí . Ako viete . Tam ar niekoľko spôsobov , ako zvýšiť dôveru v bezpečnostné opatrenia svojho zásadný entropia . Tieto údaje by mohli byť presunuté do non - prístupnom mieste . Bezpečnostný systém firmy by mohol byť najatý na inštaláciu , aktualizáciu a sledovanie systému . Ale možno najjednoduchší spôsob , a ten , ktorý je teraz povinné pre ministerstvo obrany , je manipulácia info strojárskych výrobkov , ktoré bohatý človek bol nezávisle vyhodnotená a certifikované . Aj keď to znie ako skvelý nápad , ako sa dá nájsť také produkty . Odpoveď je , že certifikované výrobky uvedené na tému Information Assurance Partnership ( NIAP ) webovej stránky na . Home ( a ) inštitút štandardov a technológie ( NIST ) a interiér ( a ) agentúra pre bezpečnosť ( NSA ) založená na NIAP vyhodnotiť údaje inžinierske vedy matematické zhodu produktu s medzinárodnými normami , najmä kritérií Park ( CC ) . Program , oficiálne známy ako NIAP Commons kritériá hodnotenia a overovania programu ( CCEVS ) pre IT Security , je partnerstvo medzi verejným a súkromným sektorom . Plán bol realizovaný na pomoc spotrebiteľom zvoliť komerčné off - the - shelf ( COTS ) IT produkty , ktoré spĺňajú ich požiadavky ručenie a pomáhať výrobcom takýchto výrobkov , ich prijatie na globálnom trhu . Jedným z hlavných cieľov tejto platformy je zlepšiť dostupnosť vyhodnotených IT produktov . Ďalším kľúčovým prvkom pokynov 8.500,2 je zahrnutie definícií pre všeobecné úrovne " otužilosti " a priradenie " východiskovými hodnotami " služieb IA na týchto úrovniach vitalita , v závislosti na hodnote a prostredie , v ktorom sa používa . Robustnosť horizontálne popisy povrchovej pomoc Issey a DAA zistiť , na akej úrovni duch CC sebaistotou plesnivost byť hodnotené. To je odovzdaná predajcovia pre náchylného na vypracovanie zmluvy ratingové služby most s CCTL . Issey a DAA by okrem toho vziať do úvahy nasledujúce pri výbere mieru spoľahlivosti ocenenie : hodnota organizmu majetku chránenej , riziko týchto aktív bytia ohrozená ; zdroje z tých , ktorí by sa mohli pokúsiť ohroziť majetok a " požiadavky misie , a zákazník potrebuje . " Návod 8500,2 príliš zvyšuje kľúčové body smernice 8500,1 . Produkty k dispozícii " Nether viac ocenení plán zmluvy alebo non - Defense Department vláda - Wide Obstarávacia Zákazky zadávané pred 1. júlom 2002 , plesnivost hodnotiť , kedy a či verzie vydaní je k dispozícii pod záberu. " Jednoducho povedané to znamená , že výrobky , ktoré práve existencie dostal od amerického ministerstva obrany zákaziek zadávaných pred 1. júlom 2002 budú vyhodnotené a overené CC . Inštrukcie tiež uvádza , že " aj keď môžu byť použité produkty , ktoré bohatý človek nie je uspokojivo dokončené , sa ukladajú zmluvy . Byť uspokojivo dokončený v zadanom časovom období . " Toto vyhlásenie dáva skrátiť úradníkom za úlohu zaistiť nákup skratke obsahuje ustanovenia požadujúce dodávateľa na dokončenie CC . Predajcovia nemožno jednoducho predložiť svoje produkty pre a nie dokončiť proces . Predajcovia plechovka pracovať s ich CCTL a obrany stanoviť primeranú lehotu na , ktoré by mohli byť ľubovoľný počet mesiacov predovšetkým v závislosti na zložitosti , pripravenosť predavač dôkaz , sebavedomie stupňa vyvolených , a v laboratóriu je oboznámenosť s aplikovanej vedy . Konečne , inštrukcie uvádza , že pôvodný skrátiť upresniť , že " bude validácia byť aktuálne " , kde je využitie predpokladá pre ďalšie verzie , ktoré . Údržba certifikát CC je ďalšia úloha, ktorá si vyžaduje úsilie a plánovanie na strane páchateľa , pretože CC ocenenia sa vzťahujú na konkrétnu verziu a konfiguráciu . Požiadavky na vedenie tohto osvedčenia v rámci budúcich verziách popísaná v dokumente s názvom " Zabezpečenie kontinuity : Požiadavky obcí a regiónov Afriky , " vydala vo februári 2004 na medzinárodnom subjektom zodpovedným za ( p ) pre zachovanie kritériami green . Tie WC získať kópiu tohto dokumentu z akéhokoľvek CCTL alebo NIAP CCEVS . skrátiť pracovníci musia zabezpečiť svoje dodávateľa povedomie o dokončení a ustanovenia o údržbe certifikátu v ich zmluvách , takže výrobky nie sú nepodarí splniť a udržiavať požiadavky na certifikačné CC pre pokračujúce cvičenie . Ako sa smernicou 8500,1 , vedúci zložiek poverené zodpovednosťou zaistiť , systémy používajú riešenia v súlade s 8500,2 sekciách popisujúcich hodnotenie . Ďalej zdôrazňuje význam federálnej vlády a ich uvádzanie na hodnotenie , verejné právo obsahuje ustanovenia pre hodnotenie a často vyhľadávaným odpustenie týchto požiadaviek politiky . Titulky F : Inžinierska informatika veda , § 352 Public Law 107-314 , prešiel v decembri 2002 , riadi ministra obrany zaviesť politiku k obmedzeniu schopnosti autoritatívnych produktov na tie výrobky , ktoré rodia boli hodnotené a validované v súlade s príslušné kritériá , programy , alebo programy . Tieto kritériá alebo programy zahŕňajú NIAP CCEVS a medzinárodne vyvinuté CC . Zatiaľ čo skúsení predajcovia sa konštatovať , že požiadavky na splnenie politických toalety niekedy byť odpustená, doložka o vzdaní sa Public Law 107-314 oprávňuje ministra obrany , aby takéto výnimky iba pre USA teda tento zákon sťažuje získať výnimku Získanie politiky , ktoré vyžadujú hodnotenie CC . Je zrejmé , že nezávislé hodnotenie dôležité ako federálnej vlády a ako NSTISSP # 11 , 8500,1 , 8500,2 , a Public Law 107-314 potvrdzujú . Takéto hodnotenie umožní dodať dôveru , že výrobky , ktoré nakupuje spĺňať požiadavky bezpečnostnej oddelenia zo strany dodávateľov . Zatiaľ čo prevažná časť prác pre získanie týchto hodnotení spadne , je bonitný pre zabezpečenie toho , aby výrobky hodnotené a validované v súlade s zníženie požiadaviek uvedených v ' s vlastnými politikami . Je tiež za pomoc s výberom istotu vrstvy pre , pretože to sľub vrstva je volená s ohľadom na potreby ochrany a uplatňovania účelu . Pochopiť, že takéto hodnotenie a ich následná údržba nie je triviálne úlohy: Majú trvať týždne alebo mesiace dokončiť v závislosti na fáze , pripravenosť poskytnúť potrebné dôkazy , a zložitosť . Obvyklá hodnotenia Kritériá zohrávajú dôležitú úlohu pri ochrane . Z tohto dôvodu by úradníci obstarávania , úzke dôstojníci , a predajcovia sa zoznámiť s kritériami a proces
By : . Gonzalo Cain