O que são o C níveis

Share

|

Há quatro níveis diferentes para que os sistemas de informação podem ser certificados e níveis de accredited.The quatro são sabidos simplesmente como ao nível 1, 2 nivelados, em nível 3, ou o proprietário do sistema de informação do nível 4.The é suposto decidir-se em que nível para certificar o sistema de informação, e a o obter então buy-in nesse nível do official.The autorizando ISSO e equipe do prearation de C&A deve ajudar ao proprietário do sistema de informação em determinar o nível apropriado em que para certificar e acreditar o sistema de informação.

O nível 1 é para os sistemas de informação que não são sensíveis, e tem poucas exigências da segurança.
O nível 2 é para os sistemas de informação que são um tanto sensíveis, e tem algumas exigências do confidentiality, da integridade, ou da disponibilidade.
O nível 3 é para os sistemas com informação sensível que têm exigências significativas do confidentiality, da integridade, e da disponibilidade.
O nível 4 é para os sistemas de informação extremamente sensíveis que têm as exigências as mais elevadas para o confidentiality, a integridade, e a disponibilidade.

A maioria de sistemas de informação cairão na categoria do nível 2 ou 3. Decidir-se em que nível certificar e acreditar seus sistemas de informação—2 ou 3—podem um tanto thoughtprovoking.

Nível 1

Um nível 1 C&A requer uma revisão mínima da segurança. Um pacote da certificação do nível 1 requer somente uma planta da segurança, um inventário do recurso, e terminado

Self-Assessment Da Segurança. Additionaly, políticas da segurança deve claramente ser definido. Um self-assessment da amostra pode ser encontrado no apêndice D. Algumas agências podem ter exigências diferentes para um nível 1 e você deve naturalmente sempre seguir os guidelines existentes da agência.

Os sistemas de informação que tipicamente podem reque um nível 1 C&A são sistemas isso:

■ Publique a informação do público geral
■ Entregue o courseware e os programas de treinamento
■ Publique a informação na informação de produto
■ Publique a informação em políticas do workplace
■ Publique formulários, mapas, ou cartas que são nonsensitive

Nível 2

Um nível 2 C&A requer uma revisão e uma análise básicas da segurança do sistema de informação. Um nível 2 C&A requer tudo incluído em um nível 1, mais um jogo cheio de originais de C&A, e um teste da segurança & uma avaliação (ST&E), (mas não uns resultados de teste). As políticas da segurança devem claramente ser definidas e executado. Se uma agência requerer algo diferente do que o que eu recomendo aqui, você deve adiar para as recomendações da agência.

Os sistemas de informação que tipicamente podem reque um nível 2 C&A são sistemas de informação isso:

■ São usados para contratos, propostas, e continuações legais
■ São usados para aplicações do orçamento importante
■ Aplicações do escritório do saque
■ Opere aplicações da gerência dos benefícios
■ Controle transações da gerência da corrente de fonte

Nível 3

Um nível 3 C&A requer uma revisão e uma análise detalhadas da segurança do sistema de informação. Um nível 3 C&A requer tudo que é requerido em um nível 1 e 2 C&A, mais uma varredura do vulnerability da rede, as.well.as os testes que mostram aquele foram políticas corretamente executadas da segurança. Algumas agências podem ter exigências diferentes para um nível 3 e você deve sempre usar os guidelines da agência e seguir as recomendações em seu manual.
Os sistemas de informação que tipicamente podem reque um nível 3 C&A são sistemas de informação isso:

■ Monitore a informação ou a segurança física
■ Controle operações de transações financeiras
■ Opere aplicações da gerência da folha de pagamento
■ Transmita a informação da inteligência
■ Comunique a informação sobre substâncias perigosas

Nível 4

Um nível 4 C&A requer uma revisão e uma análise extensivas da segurança do sistema de informação. Todos os artigos requeridos para os níveis 1, 2, e 3 são requeridos para um nível 4, mais um teste de penetração, e a confirmação que todos os testes da segurança estiveram passados. Algumas agências podem ter exigências diferentes para um nível 4 e justo como com um nível 1, 2, ou 3, você deve sempre adiar para a orientação da agência.

Os sistemas de informação que tipicamente podem reque um nível 4 C&A são sistemas de informação isso:

■ Opere e monitore plantas de poder nuclear
■ Faça decisões sobre onde deixar cair uma bomba
■ Monitore um paciente durante a cirurgia
■ Opere e monitore uma represa grande
■ Controle e opere facilidades do transporte maciço
■ Monitore a qualidade de água e a segurança da água bebendo pública
■ Controle o departamento secreto superior de projetos da defesa
■ Impeça ataques do terrorista
■ Execute transações monetary grandes

Determinar o nível do pacote da certificação acima da parte dianteira é uma das partes frequentemente-as mais negligenciadas de C&A.There é as organizações numerosas que don’t executam esta etapa até que o pacote inteiro da certificação esteja desenvolvido, que é a maneira errada absoluta ir sobre esta. Uma das razões para determinar o nível acima da parte dianteira é porque o nível determina que tipos de necessidade de informação ser incluído no pacote da certificação da certificação Package.The é a evidência que os riscos da segurança estiveram compreendidos e o nível mais elevado mitigated de properly.The da certificação que se procura, mais evidência está requerido. Para o exemplo, a exploração do vulnerability da rede é requerida para a certificação do nível 3, mas não para o nível 2. Se você estiver procurando a certificação ao nível 3, você necessita terminar uma varredura do vulnerability da rede e dirigir-se a resultar arrisca identificado e inclui esta informação como a parte do pacote da certificação.