¿Cuáles son los niveles de CA


  Share  
|

Hay cuatro niveles diferentes para que los sistemas de información pueden ser certificados y accredited.The cuatro niveles son conocidos simplemente como Nivel 1, Nivel 2, Nivel 3 o Nivel 4.El propietario de la información del sistema se supone que debe decidir en qué nivel de la certificación de la información sistema, y luego obtener el buy-in en ese nivel desde el que se autoriza official.The ISSO y C & A prearation equipo debe ayudar a los propietarios de redes de información para determinar el nivel adecuado en el que para certificar y acreditar el sistema de información.

El nivel 1 es para los sistemas de información que no son sensibles, y tienen pocos requisitos de seguridad.
Nivel 2 es para los sistemas de información que son algo sensibles, y tener algo de Confidencialidad, Integridad, o los requisitos de disponibilidad.
Nivel 3 es para sistemas con información sensible que han Confidencialidad significativa, integridad, disponibilidad y requisitos.
Nivel 4 es para los sistemas de información extremadamente sensible que tienen los más altos requisitos de confidencialidad, integridad y disponibilidad.

Un Nivel 1 C & A requiere una revisión de seguridad mínima. Un Nivel 1 Paquete de certificación sólo requiere un Plan de Seguridad, un inventario de activos, y una completa

Seguridad de autoevaluación. Adicionalmente, las políticas de seguridad deben estar claramente definidas. Una muestra de auto-evaluación puede encontrarse en el Apéndice D. Algunas agencias pueden tener requerimientos diferentes para un nivel 1 y debe, por supuesto, siempre siga las directrices de los organismos existentes.

Los sistemas de información que pueden requerir típicamente un nivel de 1 C & A son los sistemas que:

■ publicación de información al público en general
■ Entregar los programas de cursos y formación
■ Publicar información sobre la información del producto
■ Publicar información sobre políticas laborales
■ Publicar formularios, mapas o gráficos que no sensibles

Nivel 2

Un Nivel 2 C & A requiere una revisión básica y el análisis de la seguridad del sistema de información. Un Nivel 2 C & A requiere todo incluido en un nivel 1, además de un conjunto completo de C & A documentos, y una prueba de seguridad y evaluación (ST & E), (pero no los resultados del examen). Las políticas de seguridad deben estar claramente definidas y aplicadas. Si una agencia requiere algo diferente a lo que yo recomiendo aquí, debe ceder ante las recomendaciones de la agencia.

Los sistemas de información que pueden requerir típicamente un nivel 2 de C & A son los sistemas de información que:

■ Se utilizan para los contratos, propuestas y acciones judiciales

■ Servir aplicaciones de oficina

Nivel 3

A nivel 3 C & A requiere una revisión detallada y el análisis de la seguridad del sistema de información. A nivel 3 C & A requiere todo lo que se requiere en un nivel C 1 y 2 y A, además de una vulnerabilidad de análisis de la red, así como las pruebas que muestran que se han aplicado correctamente las políticas de seguridad. Algunas agencias pueden tener requerimientos diferentes para un nivel 3 y que siempre debe utilizar las directrices de las agencias y siga las recomendaciones en su manual.
Sistemas de información que pueden requerir típicamente un nivel 3 de C & A los sistemas de información son las siguientes:

■ Monitor de información o la seguridad física
■ Gestión de las operaciones de las transacciones financieras
■ Utilice las aplicaciones de gestión de nóminas
■ Transmitir la información de inteligencia
■ Comunicar información sobre sustancias peligrosas

Nivel 4

A nivel 4 C & A requiere una revisión exhaustiva y análisis de la seguridad del sistema de información. Todos los artículos necesarios para los niveles 1, 2 y 3 son necesarios para un nivel 4, además de una prueba de penetración, y la confirmación de que todas las pruebas de seguridad se pasaron. Algunas agencias pueden tener requerimientos diferentes para un nivel 4 y al igual que con un nivel de 1, 2, ó 3, siempre debe ceder ante la dirección de la agencia.

Los sistemas de información que pueden requerir típicamente un nivel 4 de C & A son los sistemas de información que:

■ Operar y monitorear las plantas de energía nuclear
■ Tomar decisiones sobre dónde colocar una bomba

■ Operar y monitorear una gran presa
■ Administrar y operar las instalaciones de transporte masivo

■ Gestión de alto secreto del Departamento de Defensa de los proyectos
■ Prevenir ataques terroristas
■ Realizar transacciones monetarias grandes

La determinación del nivel de la Certificación del paquete adelantado es una de las partes más a menudo se pasa por alto de C & A. Hay numerosas organizaciones que no realizan este paso hasta que todo el Paquete de certificación se ha desarrollado, que es la forma absoluta errónea de este. Una de las razones para determinar el nivel en la delantera se debe a que el nivel se determina qué tipo de información deben ser incluidos en la Certificación de Certificación package.The paquete de pruebas de que los riesgos de seguridad han sido comprendidos y mitigados properly.The nivel más alto de certificación que un busca, más evidencia se requiere. Por ejemplo, la vulnerabilidad de escaneado en red se requiere para el nivel 3 de certificación, pero no para el nivel 2. Si usted está buscando el nivel 3 de certificación, lo que necesita para completar una vulnerabilidad de análisis de la red y la dirección como los riesgos identificados e incluir esta información como parte del Paquete de certificación.

framlagt Wain G. Mosca

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions