Wat zijn de CA Niveaus


  Share  
|


Er zijn vier verschillende niveaus voor welke informatie-systemen kunnen worden gecertificeerd en accredited.The vier niveaus zijn gewoon bekend als Level 1, Level 2, Level 3, of Level 4.Het informatiesysteem eigenaar wordt geacht om te beslissen op welk niveau om de informatie te certificeren systeem, en dan krijgen de buy-in op dat niveau van de machtiging official.The ISSO en C & A prearation team moet helpen het informatiesysteem eigenaar bij het bepalen van het juiste niveau is om te certificeren en de informatie systeem accrediteren.

Niveau 1 is voor informatie systemen die niet gevoelig zijn, en hebben weinig veiligheid.
Niveau 2 is voor informatiesystemen die enigszins gevoelig zijn, en hebben sommige vertrouwelijkheid, integriteit, beschikbaarheid of eisen.
Level 3 is voor systemen met gevoelige informatie die aanzienlijke vertrouwelijkheid, integriteit, beschikbaarheid en eisen.
Niveau 4 is voor zeer gevoelige informatie systemen die de hoogste eisen van vertrouwelijkheid, integriteit hebben, en Beschikbaarheid.

De meeste informatie systemen zullen vallen in de categorie van niveau 2 of 3. Bepalen op welk niveau te certificeren en accrediteren van uw informatiesystemen-2 of 3-kan enigszins thoughtprovoking worden.

Niveau 1

Een niveau 1 C & A vereist een minimale zekerheid worden herzien. Een niveau 1 Certificatie Pakket vereist alleen een veiligheidsplan, een Asset Inventory, en een ingevuld

Veiligheid Self-Assessment. Additionaly, moet een zekerheid beleid duidelijk worden omschreven. Een voorbeeld van een self-assessment is te vinden in Bijlage D. Sommige instanties kunnen verschillende eisen voor een niveau 1 en je moet natuurlijk altijd het bestaande agentschap richtlijnen volgen.

Informatie systemen die typisch is, kan een niveau 1 C & A zijn systemen die:

■ publiceren algemene publiek informatie
■ Leveren cursusmateriaal en trainingsprogramma's
■ publiceren van informatie over product informatie
■ publiceren van informatie over beleid werkplek
■ Publiceer formulieren, kaarten, of kaarten die nonsensitive

Niveau 2

Een niveau 2 C & A vereist een fundamentele herziening en analyse van de veiligheid van het informatiesysteem. Een niveau 2 C & A moet alles opgenomen in een niveau 1, vermeerderd met een volledige set van C & A documenten, en een Security Test & Evaluatie (ST & E), (maar niet testresultaten). Security beleid moet duidelijk worden gedefinieerd en geïmplementeerd. Indien een agentschap iets anders dan wat ik hier aanbevelen vereist, moet u uitstellen tot het agentschap aanbevelingen.

Informatie systemen die typisch is, kan een niveau 2 C & A zijn informatiesystemen die:

■ worden gebruikt voor contracten, voorstellen en juridische procedures
■ worden gebruikt voor Capital begroting toepassingen
■ Serve kantoortoepassingen
■ Gebruik voordelen management applicaties
■ Beheer supply chain management transacties

Niveau 3

Een Niveau 3 C & A is een gedetailleerd overzicht en analyse van de veiligheid van het informatiesysteem. Een Niveau 3 C & A vereist alles wat nodig is in een niveau 1 en 2 C & A, plus een netwerk kwetsbaarheid scannen, alsmede de tests die aantonen dat de juiste wijze zijn uitgevoerd veiligheidsbeleid. Sommige instanties kunnen verschillende eisen voor een niveau 3 en je moet altijd gebruik maken van het agentschap richtsnoeren en volg de aanbevelingen in hun handboek.
Informatie systemen die typisch is, kan een Niveau 3 C & A zijn informatiesystemen die:

■ Monitor informatie of fysieke beveiliging
■ Beheer uitvoering van financiële transacties
■ Gebruik payroll management applicaties
■ Transmit informatie van inlichtingendiensten
■ Communiceer informatie over gevaarlijke stoffen

Niveau 4

Een niveau 4 C & A vereist een uitgebreide evaluatie en analyse van de veiligheid van het informatiesysteem. Alle items die nodig zijn voor Niveau 1, 2 en 3 nodig zijn voor een niveau 4, plus een penetratie test, en de bevestiging dat alle zekerheid tests werden doorgegeven. Sommige instanties kunnen verschillende eisen voor een niveau 4 en net als met een niveau 1, 2 of 3, moet u altijd stellen aan de makelaar begeleiding.

Informatie systemen die typisch is, kan een niveau 4 C & A zijn informatiesystemen die:

■ bedienen en monitor kerncentrales
■ Zorg beslissingen over waar een bom laten vallen
■ Monitor een patiënt tijdens de operatie
■ bedienen en bewaken van een grote dam
■ beheren en exploiteren van massa transport faciliteiten
■ Monitor van de waterkwaliteit en de veiligheid van de openbare drinkwater
■ Beheer top secret ministerie van Defensie projecten
■ Voorkom terreur aanslagen
■ Voer grote monetaire transacties

Het bepalen van het niveau van de certificering pakket vooraan is een van de meest vaak vergeten delen van C & A. Er zijn tal van organisaties die niet uitvoeren van deze stap totdat het gehele pakket Certification is ontwikkeld, dat is de absolute verkeerde manier om te gaan dit. Een van de redenen voor de bepaling van het niveau voorin is omdat het niveau welke soorten informatie bepaalt moeten worden opgenomen in de Certificatie Package.The Certification Package is het bewijs dat de veiligheidsrisico's zijn begrepen en beheerst properly.The hoger niveau van de verklaring dat een beoogt, is het meer bewijs nodig. Is bijvoorbeeld de kwetsbaarheid van het netwerk scannen vereist voor niveau 3 certificering, maar niet voor Level 2. Als u op zoek zijn naar niveau 3 certificering, moet u een netwerk kwetsbaarheid scan te voltooien en de daaruit voortvloeiende geïdentificeerde risico's te pakken en deze informatie als onderdeel van de certificering pakket.

een artikel afkomstig van Waine G. Fluen

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions