L'importance des critères communs dans l'information Dod sécurité
Votre information est sélective vital sécurisé. Comment savez-vous. Il ar plusieurs façons d'augmenter la confiance dans les mesures de sécurité de votre entropie vital. Les données pourraient être déplacés vers un endroit non accessible. Une entreprise de système de sécurité pourrait être embauché pour installer, mettre à jour et surveiller le système. Mais peut-être la méthode la plus simple, et qui est maintenant obligatoire pour le ministère de la Défense, est la manipulation de produits d'ingénierie d'information que personne riche été indépendamment évalué et certifié. Bien que cela ressemble à une bonne idée, comment peut-on trouver ces produits informatiques. La réponse est que les produits certifiés figurent sur le Partenariat site sous réserve de la sûreté de l'information (NIAP) Web. The Home (a) Institute of Standards and Engineering (NIST) et de l'Intérieur (a) Security Agency (NSA) a établi le NIAP pour évaluer les données d'ingénierie scientifique conformité des produits mathématique aux normes internationales, à savoir les critères de parc (CC). Le programme, officiellement connu sous le nom NIAP communes critères d'évaluation et le schéma de validation (CCEVS) pour la sécurité informatique, est un partenariat entre les secteurs public et privé. Le plan a été mis en place pour aider les consommateurs à choisir off-the-shelf (COTS) produits commerciaux informatiques qui répondent à leurs exigences en matière de cautionnement et d'aider les fabricants de ces produits pour faire accepter sur le marché mondial. L'un des principaux objectifs de la plate-forme est d'améliorer la disponibilité des produits informatiques évalués. L'autre élément clé de l'instruction 8500.2 est l'inclusion des définitions des niveaux génériques "rusticité" et l'attribution des «niveaux de référence» des services d'aide sociale à ces niveaux de lustiness, en fonction de la valeur de la et de l'environnement dans lequel l'on utilise. Robustesse horizontale aide des descriptions de surface à l'IEES et DAA déterminer à quel niveau de l'esprit de CC confiance en soi une odeur de moisi être évaluée. Ceci est transmis au vendeur pour habitude de développer un service Ratio pont de contrat avec un CCTL. L'IEES et DAA devraient en outre considérer les points suivants lors du choix du degré d'évaluation de la confiance: la valeur de l'organisme d'actifs protégé, le risque de ces actifs beingness compromise, les ressources de ceux qui pourraient tenter de compromettre les actifs et les «exigences, la mission , et les besoins des clients ». Instruction 8500.2 augmente aussi les points clés de la directive 8500.1. Produits disponibles "contrats de calendrier multiples prix enfers ou non-Département de la Défense à l'échelle gouvernementale des contrats d'acquisition accordées avant le 1er Juillet 2002, moldiness être évalués quand et si une sortie de version de la mise à disposition est en dessous de la prendre." En termes simples, cela signifie que les produits que tout à l'heure existence reçu par le ministère de contrats de défense attribués avant le 1er Juillet 2002, les États-Unis, seront évalués et validés le CC. L'instruction précise également que «bien que les produits que personne riche n'est pas satisfaisante peut être utilisé, le contrat prévoit. Être complété de manière satisfaisante à l'intérieur d'une période de temps spécifiée." Cette déclaration donne aux agents abréger la tâche d'assurer l'achat foreshorten comprend des dispositions imposant aux fournisseurs de remplir le CC. Les vendeurs ne peuvent pas simplement présenter leurs produits et ensuite ne pas terminer le processus. Les vendeurs étain peuvent travailler avec leurs CCTL et la défense afin de déterminer une période de temps raisonnable pour l', qui pourrait être n'importe quel nombre de mois, en fonction principalement de la complexité, de la préparation vender de preuve, élu grade confiance en soi, et la familiarité du laboratoire avec la science appliquée . Enfin, les états d'instruction que l'original abréger précise que «validation sera tenu à jour" où l'utilisation est prévue pour les versions ultérieures de cela. Entretien de certificat CC est une autre tâche qui exige un effort et de planification de la part du trafiquant parce que les certificats CC s'appliquent à une version spécifique et la configuration d'un. Les exigences pour le maintien de ce certificat dans les futures versions de l'décrite dans un document intitulé «Assurance Continuity: CCRA Requirements», publié en Février 2004 par l'organisme international chargé de (p) pour maintenir les critères écologiques. Vous toilettes obtenir une copie de ce document à partir de n'importe quel CCTL ou les CCEVS NIAP. officiers raccourcir devraient s'assurer que leurs fournisseurs au courant de l'achèvement et les clauses relatives aux certificats dans leurs contrats ainsi que les produits ne parviennent pas à respecter et maintenir les exigences de certification CC pour l'exercice continu. Comme avec la directive 8500.1, les chefs des composantes qui lui sont confiées des responsabilités de s'assurer que les systèmes utilisent des solutions en conformité avec les 8500.2 sections décrivant évaluations. Soulignant en outre l'importance que le gouvernement fédéral et la mise sur évaluations, droit public comprend des dispositions pour les évaluations et les renonciations souvent convoités à ces exigences de la politique. Sous-titre F: Information Science de l'ingénierie, Section 352 de la Public Law 107-314, adoptée en Décembre 2002 dirige le secrétaire à la Défense de mettre en place une politique visant à limiter la compétence de produits d'autorité aux produits qui accouchent été évalué et validé conformément à critères appropriés, des programmes ou des programmes. Ces critères ou des systèmes comprennent les CCEVS NIAP et le CC développé internationalement. Alors que les vendeurs expérimentés affirmer que la politique accomplissement des exigences toilettes parfois être levée, la clause de renonciation en droit public 107-314 autorise le secrétaire à la Défense de fournir de telles dérogations uniquement pour les Etats-Unis Par conséquent, cette loi, il est difficile d'obtenir des dérogations aux politiques d'acquisition nécessitant évaluations CC. De toute évidence, des évaluations indépendantes importantes à la fois le gouvernement fédéral et la, comme NSTISSP n ° 11, 8500.1, 8500.2, et le droit public 107-314 confirment. Ces évaluations permettent de livrer la confiance que les produits qu'il achète rencontrer le département de la sécurité réclamations faites par les vendeurs. Alors que le gros du travail pour obtenir ces évaluations tombe à l'est solvable pour s'assurer que les produits évalués et validés conformément aux exigences énoncées à réduire ses propres politiques »de l'. L'est ainsi d'aider le avec la sélection de la couche de sûreté pour la strate depuis cette promesse est choisie en fonction des besoins de protection et l'application de but. Le comprendre que ces évaluations et leur entretien ultérieur des tâches non triviales: Ils prennent des semaines ou des mois à compléter en fonction de la scène, la préparation de la de fournir la preuve requise, et la complexité de l'. Évaluations des critères habituels jouent un rôle important dans la protection. Pour cette raison, les agents d'approvisionnement, les agents étroites, et les vendeurs doivent se familiariser avec les critères et le processus
par:. Gonzalo Cain