Er din vital selektiv informasjon sikker. Hvordan vet du. Det ar flere måter å øke tilliten til sikkerhetstiltak av vital entropi. Dataene kan bli flyttet til en ikke-tilgjengelig sted. Et sikkerhetssystem firmaet kan leies til å installere, oppdatere og overvåke systemet. Men kanskje den enkleste metoden, og en som nå er obligatorisk for det amerikanske forsvarsdepartementet, er manipulering av informasjon engineering produkter som rik person blitt uavhengig evaluert og sertifisert. Selv om dette høres ut som en god idé, hvordan en finner slike IT-produkter. Svaret er at sertifiserte produkter oppført på Emne Information Assurance Partnership (NIAP) webområde på. The Home (a) Institute of Standards and Engineering (NIST) og interiør (a) Security Agency (NSA) etablerte NIAP å evaluere data ingeniørvitenskap matematisk produkt conformance til internasjonale standarder, nemlig Park Criteria (CC). Programmet, offisielt kjent som NIAP Commons Kriterier Evaluering og validering Scheme (CCEVS) for IT-sikkerhet, er et partnerskap mellom offentlig og privat sektor. Planen ble iverksatt for å hjelpe forbrukerne å velge kommersielle off-the-sokkel (COTS) IT-produkter som oppfyller deres kausjonist krav og å bistå produsentene av disse produktene få aksept i det globale markedet. En av plattformens hovedmål er å bedre tilgjengeligheten av vurderte IT-produkter. Den andre viktige element av Instruction 8500,2 er inkluderingen av definisjoner for generiske "hardførhet" nivåer og tildeling av "baseline nivåer" av IA-tjenester til disse lustiness nivåer, avhengig av verdien av og miljøet der den brukes. Robusthet horisontal flate beskrivelser assistanse isse og DAA bestemme hvor vater av CC selvsikkerhet en mustiness evalueres. Dette er overlevert til selger for vane å utvikle en rangering tjenester kontrakt bro med en CCTL. Den isse og DAA bør i tillegg vurdere følgende når du velger verdsettelsen tillit grad: verdien av eiendeler organisme beskyttet, risikoen for de eiendeler beingness kompromittert; ressursene til de som kan prøve å kompromittere eiendeler, og de "krav, misjon , og kundenes behov. " Instruksjon 8500,2 forsterker også viktige punkter fra direktiv 8500,1. Produkter tilgjengelige "Nether multiple-prisen planlegge kontrakter eller ikke-forsvarsdepartementet statlig bred Acquisition kontrakter tildelt før 1. juli 2002, skal moldiness vurderes når og hvis en versjon utgivelsen av den er gjort tilgjengelig under ta." Enkelt sagt betyr dette at produkter som bare nå eksistens mottatt av United States Department of Defense kontrakter tildelt før 1. juli 2002, skal evalueres og validert CC. Instruksen sier likeledes at "selv om produkter som velstående person ikke tilfredsstillende utført kan brukes, skal kontrakter krever. Være bestått inne i en spesifisert tidsperiode." Denne uttalelsen gir forkorte offiserer oppgaven med å sikre kjøpet foreshorten inneholder bestemmelser som krever leverandører for å fullføre CC. Leverandører kan ikke bare sende inn sine produkter for og så ikke fullføre prosessen. Leverandører tinn kan arbeide med sine CCTL og Forsvarsdepartementet for å bestemme en rimelig tid for den, noe som kan være en rekke måneder avhengig primært på kompleksitet, vender bevis beredskap, selvtillit grade utvalgte, og laboratoriet har kjennskap til anvendt vitenskap . Endelig instruksjonen sier at den opprinnelige forkorte spesifisere at "validering vil bli holdt oppdatert" hvor utnyttelsen er forventet for senere versjoner av det. CC sertifikat vedlikehold er en annen oppgave som krever innsats og planlegging på den delen av trafficker fordi CC sertifikater gjelde for en bestemt versjon og konfigurasjon av en. Kravene for å opprettholde dette sertifikatet over fremtidige versjoner av beskrevet i et dokument med tittelen "Assurance Kontinuitet: CCRA Requirements", utgitt i februar 2004 av den internasjonale organ som er ansvarlig for (p) for å opprettholde grønne kriterier. Du toalett få en kopi av dette dokumentet fra noen CCTL eller NIAP CCEVS. forkorte offiserer bør sikre sine leverandører oppmerksomme på ferdigstillelse og sertifikat vedlikehold klausuler i sine kontrakter slik at produktene ikke klarer å møte og opprettholde CC sertifiseringskrav for fortsatt trening. Som med direktiv 8500,1, lederne av komponenter betrodd ansvaret for å sikre systemer benytter løsninger i samsvar med 8500,2 avsnittene som beskriver evalueringer. Videre understreker viktigheten den føderale regjeringen og plassere på evalueringer, omfatter offentlig rett bestemmelser for evalueringer og ofte etterspurte fritak til slike politiske krav. Undertittel F: Informasjon Engineering vitenskap, § 352 for offentlig rett 107-314, vedtatt i desember 2002, dirigerer forsvarsminister for å etablere en politikk for å begrense dyktighet myndighet produkter til de produktene som føder er vurdert og godkjent i henhold til relevante kriterier, ordninger, eller programmer. Slike kriterier eller ordninger omfatter NIAP CCEVS og internasjonalt utviklet CC. Mens erfarne leverandører vil si at bragd politikken krav toalettbesøk noen ganger fravikes, autoriserer waiver klausul i Public Law 107-314 daværende forsvarsminister for å gi slike fritak kun for amerikanske Derfor gjør denne loven det vanskelig å få fritak til anskaffelse politikk som krever CC evalueringer. Åpenbart uavhengige evalueringer er viktige for både den føderale regjeringen og, som NSTISSP nr. 11, 8500,1, 8500,2, og offentlig rett 107-314 bekrefte. Slike evalueringer tillate å levere tillit til at de produktene fabrikken kjøper oppfyller kravene til sikkerhet avdelingen utsagn av leverandørene. Mens mesteparten av arbeidet for å skaffe disse evalueringene faller til, er kredittverdig for å sikre at produktene vurdert og validert i henhold til de redusere kravene i 's egen politikk. Det er også for å bistå med valg av sureness laget for den siden det løftet stratum er valgt basert på de behov for beskyttelse og bruk av formålet. Den forstår at slike evalueringer og deres påfølgende vedlikehold ikke trivielle oppgaver: De tar uker eller måneder å fullføre, avhengig av scenen, beredskap for å levere den nødvendige bevis, og kompleksiteten i den. Vanlige kriterier evalueringer spille en viktig rolle i å beskytte. Av denne grunn bør innkjøp offiserer, trange offiserer og leverandører gjøre seg kjent med kriteriene og prosessen
By:. Gonzalo Cain