Er din vitale selektive oplysninger sikre. Hvordan kan du vide. Der ar flere måder at øge tilliden til de sikkerhedsmæssige foranstaltninger af dine vitale entropi. Dataene kunne flyttes til en ikke-tilgængeligt sted. Et sikkerhedssystem firma kunne være hyret til at installere, opdatere og overvåge systemet. Men måske den nemmeste metode, og en, der er nu obligatorisk for Department of Defense, er manipulation af info tekniske produkter, som rig person uafhængigt blevet vurderet og certificeret. Selvom det lyder som en rigtig god idé, hvordan gør man finde sådanne IT-produkter. Svaret er, at certificerede produkter noteret på Emne Information Assurance Partnership (NIAP) websted på. The Home (a) Institut for Standarder og Teknologi (NIST) og Interior (a) Security Agency (NSA) etablerede NIAP at evaluere data ingeniørvidenskab matematiske produkt overensstemmelse med internationale standarder, nemlig Park Criteria (CC). Programmet officielt kendt som NIAP Commons Kriterier Evaluering og validering Scheme (CCEVS) for it-sikkerhed, er et partnerskab mellem den offentlige og private sektor. Planen blev gennemført for at hjælpe forbrugerne vælger kommercielle off-the-shelf (COTS) IT-produkter, der opfylder deres kaution krav og for at hjælpe producenter af disse produkter opnå accept på den globale markedsplads. En af platformens hovedmålsætninger er at forbedre tilgængeligheden af ​​evaluerede IT-produkter. Det andet centrale element i Instruktion 8500,2 er inddragelsen af ​​definitioner for generiske "hårdførhed" niveauer og tildeling af "baseline niveauer" af IA ydelser til dem lustiness niveauer, afhængig af værdien af ​​og det miljø, som de er brugt. Robusthed vandret overflade beskrivelser assistance til Isse og DAA afgøre på hvilket vaterpas CC selvsikkerhed en mustiness evalueres. Dette er givet videre til sælgeren for vane at udvikle en bedømmelse tjenesteydelsesaftale bro med en CCTL. Den Isse og DAA bør foruden overveje følgende, når du vælger værdiansættelsen tillid grad: værdien af ​​aktiverne organisme beskyttes risikoen for disse aktiver væren kompromitteret, ressourcerne hos dem, der måtte forsøge at kompromittere aktiver, og de "krav, mission , og kundernes behov. " Instruktion 8500,2 også øger nøglepunkter fra direktiv 8500,1. Produkter tilgængelige "Neder multiple-tildeling tidsplan kontrakter eller ikke-Defense Department regerings-Wide Acquisition Kontrakter tildelt før den 1. juli 2002, skal moldiness evalueres, når og hvis en version frigivelse af stilles til rådighed under tage." Kort sagt, betyder det, at produkter, der netop eksistens modtaget af United States Department of Defense kontrakter indgået før den 1. juli 2002, skal evalueres og valideres CC. Instruktionen ligeledes, at "selv om produkter, som velhavende person ikke tilfredsstillende gennemført, kan anvendes, skal kontrakterne kræver. Være tilfredsstillende gennemført i en specificeret periode." Denne erklæring giver forkorte officerer til opgave at sikre købet foreshorten indeholder bestemmelser om, leverandører til at fuldføre CC. Sælgere kan ikke bare sende deres produkter til og så ikke fuldføre processen. Sælgere tin kan arbejde med deres CCTL og Defense at fastlægge en rimelig periode til, hvilket kan være et vilkårligt antal måneder afhængigt primært på kompleksitet, vender beviser beredskab, selvtillid kvalitet udvalgte, og laboratoriet har kendskab til anvendt videnskab . Endelig instruktion, at den oprindelige forkorte præcisere, at "validering vil blive holdt løbende", hvor udnyttelsen forventes for efterfølgende versioner af det. CC certifikat vedligeholdelse er en anden opgave, der kræver en indsats og planlægning på den del af menneskehandler, fordi CC certifikater gælder for en bestemt version og konfiguration af en. Kravene for at opretholde dette certifikat på tværs fremtidige versioner af er beskrevet i et dokument med titlen "Assurance Kontinuitet: CCRA Krav", udsendt i februar 2004 af det internationale organ, der er ansvarlig for (p) for at opretholde de grønne kriterier. Du toilet få en kopi af dette dokument fra enhver CCTL eller NIAP CCEVS. forkorte officerer bør sikre deres leverandører opmærksomme på færdiggørelse og certifikat vedligeholdelse klausuler i deres kontrakter, således at produkterne ikke undlader at opfylde og vedligeholde CC certificeringskrav for fortsat øvelse. Som i direktiv 8500,1, beskæftiger lederne af komponenter har fået overdraget ansvaret for at sikre systemløsninger i overensstemmelse med de 8500,2 afsnittene evalueringer. Yderligere at understrege den betydning, den føderale regering og anbringelse på evalueringer, offentlig ret indeholder bestemmelser om evalueringer og den ofte efterspurgte dispensationer til sådanne politiske krav. Subtitle F: Information Engineering science, afsnit 352 i Public Law 107-314, der blev vedtaget i december 2002 dirigerer sekretær for forsvaret at etablere en politik at begrænse dygtighed myndighed produkter til de produkter, der giver fødsel er blevet evalueret og godkendt i overensstemmelse med passende kriterier, ordninger eller programmer. Sådanne kriterier eller ordninger omfatter NIAP CCEVS og internationalt udviklede CC. Mens erfarne leverandører vil angive, at realisering politiske krav wc undertiden fraviges, den undtagelsesbestemmelse i Public Law 107-314 bemyndiger forsvarsministeren til at levere sådanne dispensationer kun for USA Derfor er denne lov gør det vanskeligt at opnå dispensationer erhvervelse politikker, der kræver CC evalueringer. Det er klart, uafhængige evalueringer er vigtige for både den føderale regering og som NSTISSP # 11, 8500,1, 8500,2, og Public Law 107-314 bekræfte. Disse evalueringer tillader for at skabe tillid, at de produkter, det køb opfylde de sikkerhedsmæssige afdeling anprisninger af leverandører. Mens hovedparten af ​​arbejdet for at opnå disse evalueringer falder til, at er kreditværdig for at sikre, at produkter evalueres og valideres i overensstemmelse med de reducerer kravene i den 's egen politik. Det er lige så godt for at bistå med udvælgelsen af ​​sureness laget for da det løfte stratum er valgt på grundlag af de behov for beskyttelse og anvendelse af formålet. Den forstår, at sådanne evalueringer og deres efterfølgende vedligeholdelse ikke trivielt opgaver: De tage uger eller måneder at fuldføre, afhængigt af scenen, at beredskab til at levere den krævede dokumentation, og kompleksiteten af. Sædvanlige kriterier evalueringer spiller en vigtig rolle i at beskytte. Af denne grund bør indkøbere, smalle officerer og leverandører gøre sig bekendt med de kriterier og den proces
Af:. Gonzalo Cain