Quali sono le differenze tra DIACAP e RMF?

Naviga le tue risposte
3

Attualmente certifico sistemi (prodotti) in base a DIACAP (processo di certificazione e accreditamento DoD Information Assurance). In futuro avremo bisogno di utilizzare RMF (Risk Management Framework).

  • Quali sono le differenze chiave tra questi due processi?
  • Quali sono le somiglianze (ad esempio usano entrambi un POA & M)
  • Esiste una transizione definita e documentata dal vecchio processo al nuovo? (Qualcosa con più carne delle diapositive al link )
  • L'aspetto di reciprocità di RMF ha funzionato nella pratica, tra diversi rami del DoD eo servizi?
posta Lindsay Morsillo 01.06.2015 - 16:19
fonte

1 risposta

1
  • Concetto di operazioni (CONOPS)
  • Porte, protocolli e amp; Gestione dei servizi (PPSM)
    • Elenco hardware / software
    • Diagramma di rete
  • Piano di sicurezza del sistema (SSP) / Piano di sicurezza delle applicazioni (precedentemente DIP / SIP)
  • Rapporto di valutazione della sicurezza (SAR) alias. Rapporto di valutazione del rischio (RAR)
  • Piano di monitoraggio continuo della sicurezza delle informazioni (ISCM)
  • Piano di azione e pietre miliari (POA & M)
  • Configuration Management Plan (CMP)
  • Scheda di controllo della configurazione (CCB)
  • Piano di risposta agli incidenti (IRP)
  • Regole di comportamento (ROB) / Politica d'uso accettabile (AUP)
  • Manuale di amministrazione dei sistemi (SAM)
  • Continuità del piano operativo (COOP) o Business Continuity Plan (BCP)
  • Piano di disaster recovery (DRP)
  • Piano di emergenza (CP)
  • Accordi sul livello di sistema (SLA), memorandum of agreements (MOA) o memorandum d'intesa (MOU)

Differenze di artefatto da DIACAP a RMF:

  • SSP sostituisce System Identification Profile (SIP) e DIACAP Implementation Plan (DIP)
  • SAR sostituisce Scorecard, Rapporto sui rischi di valutazione (ERR)
  • Security Control Assessor (SCA) sostituisce Validator o ACA
  • Security Authorization Package (SAP) sostituisce il pacchetto DIACAP
  • Responsabile della sicurezza del sistema informativo (ISSO) / Manager (ISSM) sostituisce IAM / IAO
risposta data 17.12.2015 - 16:44
fonte

Leggi altre domande sui tag

Puoi consentire agli utenti di creare in modo sicuro le macchine virtuali sulle loro workstation Le preferenze di cifratura personale / digest ignorate durante la generazione di una nuova coppia di chiavi in GnuPG