1 . Producten " onderwereld verschillende malen onderscheiden schema contracten of niet- ministerie van Defensie rijksbrede Acquisitie Opdrachten gegund vóór 1 juli 2002 , beschimmeling worden geëvalueerd wanneer en als een uitgebrachte versie van de beschikking wordt onder de overname maakte . " Eenvoudig gezegd betekent dit dat producten die juist nu bestaan ontvangen door het Amerikaanse ministerie van Defensie contracten die vóór 1 juli 2002 , worden geëvalueerd en gevalideerd de CC . De instructie stelt ook dat " hoewel de producten die rijk persoon niet naar tevredenheid afgerond mag worden gebruikt , contracten eisen . Bevredigend worden afgerond binnen een bepaalde periode van tijd . " Deze verklaring geeft verkorten officieren de opdracht om de aankoop foreshorten bevat bepalingen die leveranciers om de CC te voltooien . Leveranciers kunnen hun producten niet alleen indienen en dan niet het proces te voltooien . Vendors tin kunnen werken met hun CCTL en de Defensie om een redelijke termijn vast te stellen voor de , die een willekeurig aantal maanden voornamelijk afhankelijk van complexiteit , paraatheid vender bewijs , zelfvertrouwen graad uitverkorenen , en vertrouwdheid van het lab met de toegepaste wetenschap zou kunnen zijn . Ten slotte is de instructie dat de oorspronkelijke korten aangeven dat " validatie zal worden gehouden huidige " waarbij gebruik wordt voorzien voor volgende versies van dat . CC certificaat onderhoud is een andere taak die inspanning en planning van de kant van de mensenhandelaar vereist omdat CC certificaten van toepassing zijn op een specifieke versie en configuratie van een . De eisen voor het behoud van het certificaat over toekomstige versies van de beschreven in een document getiteld " Assurance Continuity : CCRA Eisen, " uitgegeven in februari 2004 door de internationale organisatie die verantwoordelijk is voor ( p ) voor het behoud van de groene criteria . Je wc een kopie van dit document vanuit elke CCTL of de NIAP CCEVS . verkorten ambtenaren moeten ervoor zorgen dat hun leveranciers op de hoogte van de voltooiing en certificaat onderhoud clausules in hun contracten zodat de producten niet nalaten om de CC certificatie-eisen voor verdere oefening te ontmoeten en te onderhouden. Zoals bij Richtlijn 8500,1 , de hoofden van onderdelen belast met de verantwoordelijkheid om systemen te waarborgen gebruiken oplossingen in overeenstemming met de 8.500,2 rubrieken waarin evaluaties. Verder benadrukken van het belang van de federale overheid en het in evaluaties , publiekrechtelijke bevat bepalingen voor evaluaties en de vaak gewilde ontheffingen dit beleid eisen . Ondertitel F : Information Engineering wetenschap, Sectie 352 van Public Law 107-314 , aangenomen in december 2002 , leidt de minister van Defensie een beleid om de vaardigheid van autoriteit producten te beperken tot die producten die bevallen vestigen geëvalueerd en gevalideerd overeenkomstig geschikte criteria , schema's, of programma's. Dergelijke criteria of regelingen zijn de NIAP CCEVS en de internationaal ontwikkelde CC . Terwijl meer ervaren verkopers die prestatie beleid eisen toilet zal worden bepaald soms worden afgeweken , het afzien clausule in Public Law 107-314 machtigt de minister van Defensie om dergelijke vrijstellingen voorzien alleen in de VS Daarom is deze wet maakt het moeilijk om ontheffingen te verkrijgen tot het verwerven beleid vereist CC evaluaties. Het is duidelijk , onafhankelijke evaluaties belangrijk om zowel de federale overheid en de , als NSTISSP # 11 , 8500,1 , 8500,2 , en Public Law 107-314 bevestigen . Dergelijke evaluaties laten het om het vertrouwen dat de producten die zij koopt voldoen aan de security-afdeling beweringen van de verkopers te leveren. Terwijl het grootste deel van het werk voor het verkrijgen van deze evaluaties valt op de , de kredietwaardig is om ervoor te zorgen dat de producten geëvalueerd en gevalideerd in overeenstemming met het verminderen eisen genoemd in de 's eigen beleid . Het is ook voor de ondersteuning van de met de selectie van de zekerheid laag voor de sinds die belofte stratum is gekozen op basis van de behoeften aan bescherming en de toepassing van het doel . Het begrijpen dat dergelijke evaluaties en hun latere onderhoud niet triviale taken : Ze nemen weken of maanden in beslag nemen afhankelijk van het stadium , de bereidheid van de aan het vereiste bewijs te leveren , en de complexiteit van de . Gebruikelijke criteria evaluaties spelen een belangrijke rol in de bescherming . Om deze reden , moeten inkopers , smalle officieren en leveranciers zich vertrouwd maken met de criteria en het proces
Door: . Gonzalo Cain
-
Het belang van gemeenschappelijke criteria Dod Information Security
Is uw vitale selectieve informatie te beveiligen . Hoe weet je . Er AR verschillende manieren om het vertrouwen in de veiligheidsmaatregelen van uw vitale entropie toenemen . De gegevens kunnen worden verplaatst naar een niet - toegankelijke locatie . Een beveiligingssysteem onderneming zou kunnen worden ingehuurd om te installeren , updaten en bewaken van het systeem. Maar misschien is de eenvoudigste methode , en een die is nu verplicht voor het Ministerie van Defensie , is het manipuleren van informatie technische producten die rijk persoon onafhankelijk zijn beoordeeld en gecertificeerd . Hoewel dit klinkt als een geweldig idee , hoe vindt men een dergelijke IT-producten . Het antwoord is dat vermeld op het onderwerp Information Assurance Partnership ( NIAP ) website op gecertificeerde producten . The Home ( a ) Instituut voor Standaarden en Technologie ( NIST ) en Binnenlandse Zaken ( a) Security Agency ( NSA ) is de NIAP om gegevens engineering science wiskundige product conform te evalueren aan de internationale normen , namelijk het Park Criteria ( CC ) . Het programma, officieel bekend als de NIAP Commons Criteria Evaluation and Validation Scheme ( CCEVS ) voor IT Security , is een samenwerkingsverband tussen de publieke en private sector . Het plan werd uitgevoerd om te helpen de consument te kiezen commerciële off-the - shelf ( COTS ) IT- producten die hun borg eisen te voldoen en om de fabrikanten van deze producten helpen acceptatie te krijgen op de wereldmarkt . Een van de belangrijkste doelstellingen van het platform is om de beschikbaarheid van geëvalueerde IT-producten te verbeteren. Een ander belangrijk element van Instructie 8500,2 is de opname van definities voor generieke " hardheid " niveau en bepaalt van " basislijn niveaus " van IA die lustiness niveau , afhankelijk van de waarde van de en de omgeving waarin het wordt gebruikt . Robuustheid horizontale beschrijvingen oppervlak hulp van de Isse en DAA bepalen op welk waterpas van CC zelfverzekerdheid een schimmel worden geëvalueerd. Dit wordt doorgegeven aan de verkoper voor gewoon in het ontwikkelen van een waardering services contract brug met een CCTL . De Isse en DAA moet bovendien rekening houden met de volgende bij het selecteren van het vertrouwen waardering graad: de waarde van de activa organisme beschermd en het risico van deze activa beingness gecompromitteerd , de middelen van degenen die zou kunnen proberen om de activa in gevaar brengen , en de "eisen, missie en behoeften van de klant . " Instructie 8500,2 ook vergroot belangrijkste punten uit richtlijn 8500,