Was sind die CA Levels


  Share  
|


Es gibt vier verschiedene Ebenen, für die Informationssysteme zertifiziert und accredited.The vier Ebenen werden einfach als Level 1, Level 2, Level 3 oder Level 4.Die Informationssystem Eigentümer bekannt sind, können soll, auf welcher Ebene entscheiden, um die Informationen bestätigen, System, und erhalten dann Buy-in auf dieser Ebene von der Ermächtigung official.The ISSO und C & A prearation Team sollte das Informationssystem Eigentümer bei der Bestimmung der richtigen Ebene, auf der zu zertifizieren und akkreditieren des Informationssystems zu unterstützen.

Stufe 1 ist für Informationssysteme, die nicht empfindlich sind, und haben einige Sicherheitsanforderungen.
Level 2 ist für Informationssysteme, die etwas empfindlich sind, und haben einige Vertraulichkeit, Integrität oder Verfügbarkeit.
Level 3 ist für Systeme mit sensiblen Informationen, die erhebliche Vertraulichkeit, Integrität und Verfügbarkeit Anforderungen haben.
Level 4 ist für extrem sensible Informationen, die die höchsten Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit haben.

Meisten IT-Systeme werden in die Kategorie der Stufe 2 oder 3 fallen. Die Entscheidung, auf welcher Ebene zu zertifizieren und akkreditieren Ihren Informationssystemen-2-oder 3-kann etwas thoughtprovoking.

Stufe 1

Ein Level 1 C & A erfordert eine minimale Sicherheit zu überprüfen. Ein Level 1-Zertifizierung Paket erfordert nur einen Plan zur Gefahrenabwehr, ein Asset Inventory, und ein ausgefülltes

Security Self-Assessment. Zusätzlich müssen Sicherheitsrichtlinien klar definiert werden. Eine Probe Self-Assessment können in Anhang D. Einige Agenturen können abweichende Anforderungen an ein Level 1 haben, und Sie sollten natürlich immer an die bestehenden Agentur Leitlinien.

Informationssysteme, die typischerweise ein Level 1 C & A sind Systeme erfordern, dass:

■ Veröffentlichen allgemeinen Information der Öffentlichkeit
■ Liefern Schulungsunterlagen und Schulungsprogramme
■ Veröffentlichung von Angaben zu Produktinformationen
■ Veröffentlichung von Informationen am Arbeitsplatz Politik
■ Veröffentlichen Formen, Karten oder Tabellen, sind unempfindliche

Stufe 2

Ein Level 2 C & A erfordert eine grundlegende Überprüfung und Analyse der Sicherheit des Informationssystems. Ein Level 2 C & A setzt alles inklusive in einem Level 1, plus eine ganze Reihe von C & A-Dokumente und ein Security Test & Evaluation (ST & E), (aber nicht Testergebnisse). Sicherheitsrichtlinien müssen klar definiert und umgesetzt werden. Wenn eine Agentur erfordert etwas anderes als das, was ich hier empfehle, sollten Sie an die Agentur Empfehlungen zu verschieben.

Informationssysteme, die typischerweise ein Level 2 C & A verlangen kann, sind Systeme, die Informationen:

■ Sind für Verträge, Vorschläge und Gerichtsverfahren verwendet
■ Sind für Capital Budget Anwendungen
■ Serve-Office-Anwendungen
■ Betreiben Nutzen-Management-Anwendungen
■ Verwalten von Supply-Chain-Management-Transaktionen

Level 3

Ein Level 3 C & A erfordert eine genaue Überprüfung und Analyse der Sicherheit des Informationssystems. Ein Level 3 C & A setzt alles, was in einem Level 1 und 2 C & A erforderlich ist, sowie eine Netzwerk-Schwachstellen-Scan, sowie Tests, die haben richtig Sicherheitsrichtlinien implementiert zeigen. Einige Agenturen können abweichende Anforderungen an ein Level 3 haben, und Sie sollten jedoch stets die Agentur Leitlinien und die Empfehlungen in ihrem Handbuch.
Informationssysteme, die typischerweise ein Level 3 C & A sind Informationssysteme, die verlangen kann:

■ Monitor Informationen oder physische Sicherheit
■ Verwalten von Operationen von Finanztransaktionen
■ Betreiben Lohn-Management-Anwendungen
■ Übertragen nachrichtendienstlichen Informationen
■ Kommunizieren Sie Informationen über gefährliche Stoffe

Level 4

Eine Ebene 4 C & A erfordert eine umfassende Überprüfung und Analyse der Sicherheit des Informationssystems. Alle Artikel für Level 1, 2 erforderlich ist, und 3 sind für eine Level 4 erforderlich ist, plus einen Penetrationstest und Bestätigung, dass alle Sicherheitstests bestanden wurden. Einige Agenturen können abweichende Anforderungen an ein Level 4 haben und ebenso mit einem Level 1, 2 oder 3, sollten Sie immer an die Agentur Leitlinien zu verschieben.

Informationssysteme, die typischerweise ein Level 4 C & A verlangen kann, sind Systeme, die Informationen:

■ Bedienen und Beobachten Kernkraftwerke
■ Treffen Sie Entscheidungen darüber, wo eine Bombe fallen
■ Überwachung eines Patienten während der Operation
■ Bedienen und Beobachten ein großer Staudamm
■ Verwaltung und den Betrieb Massenverkehrsmittel Einrichtungen
■ Überwachung der Wasserqualität und die Sicherheit der öffentlichen Trinkwasserversorgung
■ Verwalten von top secret Department of Defense Projekte
■ Verhinderung von Terroranschlägen
■ Führen Sie große monetäre Transaktionen

Die Bestimmung der Höhe der Zertifizierung Paket vorne ist eine der am häufigsten übersehenen Teile von C & A. Es gibt zahlreiche Organisationen, die nicht durchführen diesen Schritt, bis die gesamte Zertifizierung Paket entwickelt worden, die die absolute falsche Weg ist über dieser. Einer der Gründe für die Bestimmung der Höhe vorne ist, weil die Ebene bestimmt, welche Arten von Informationen, die in der Zertifizierung Package.The Certification Package gibt Hinweise, dass Sicherheitsrisiken verstanden wurden und gemildert properly.The höheren Zertifizierung, dass man aufgenommen werden müssen sucht, desto mehr Beweise erforderlich. Zum Beispiel ist Netzwerk Schwachstellen-Scans für Level 3 Zertifizierung erforderlich, nicht aber für Level 2. Wenn Sie suchen Level 3 Zertifizierung, müssen Sie zur Vervollständigung eines Netzwerk-Schwachstellen-Scan und Anschrift der daraus resultierenden Risiken identifiziert und diese Informationen als Teil der Zertifizierung Paket.

Verfasst von Waine G. Fluen

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions