Articles
Was sind die Unterschiede zwischen DIACAP und RMF?
On November 30, 2020 by adminIch zertifiziere derzeit Systeme (Produkte) nach DIACAP (DoD Information Assurance-Zertifizierungs- und Akkreditierungsprozess). In Zukunft müssen wir RMF (Risk Management Framework) verwenden.
- Was sind die Hauptunterschiede zwischen diesen beiden Prozessen?
- Was sind die Ähnlichkeiten (zum Beispiel sie) beide verwenden einen POA & M)
- Gibt es einen definierten, dokumentierten Übergang vom älteren zum neueren Prozess? (Etwas mit mehr Fleisch als die Folien unter http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2012-10/ispab_oct2012_dcussatt_dod-rmf-transition-brief.pdf )
- Hat den Reziprozitätsaspekt von RMF arbeitete in der Praxis zwischen verschiedenen Zweigen des Verteidigungsministeriums und / oder Diensten?
Antwort
- Concept of Operations (CONOPS)
- Ports, Protokolle , & Services Management (PPSM)
- Hardware- / Softwareliste
- Netzwerkdiagramm
- Systemsicherheitsplan (SSP) / Anwendungssicherheitsplan (früher DIP / SIP)
- Sicherheitsbewertungsbericht (SAR) aka. Risikobewertungsbericht (RAR)
- ISCM-Plan (Information Security Continuous Monitoring)
- Aktionsplan und Meilensteine (POA & M)
- Konfigurationsmanagementplan (CMP)
- Charta des Konfigurationskontrollausschusses (CCB)
- Incident Response Plan (IRP)
- Verhaltensregeln ( ROB) / Richtlinien zur akzeptablen Nutzung (AUP)
- Systemverwaltungshandbuch (SAM)
- Kontinuitätsplan (COOP) oder Geschäftskontinuitätsplan (BCP)
- Notfallwiederherstellungsplan (DRP)
- Notfallplan (CP)
- Vereinbarungen auf Systemebene (SLA), Memorandum of Agreements (MOA) oder Memorandum of Understanding (MOU)
/ ul>
Unterschiede zwischen DIACAP- und RMF-Artefakten:
- SSP ersetzt System Identification Profile (SIP) und DIACAP Implementation Plan (DIP)
- SAR ersetzt Scorecard, Evaluierungsrisiko Report (ERR)
- Security Control Assessor (SCA) ersetzt Validator oder ACA
- Security Authorization Package (SAP) ersetzt DI ACAP-Paket
- Sicherheitsbeauftragter für Informationssysteme (ISSO) / Manager (ISSM) a ersetzt IAM / IAO
Schreibe einen Kommentar