As táticas de segurança Cybersecurity protegem suas conexões com a Internet contra intrusos indesejados. Mas a garantia de informações (IA) vai um passo além para proteger melhor os sistemas e dados em sua rede.
O termo "garantia da informação" foi usado pela primeira vez pelo governo dos Estados Unidos, mas desde então tornou-se de uso comum. O termo descreve os componentes técnicos e gerenciais da informação, principalmente mantendo o controle sobre ela e garantindo que seja acessível apenas para quem tem autorização.1 Cumprir com os padrões de Garantia da Informação (IA) é um requisito obrigatório para o pessoal de segurança com acesso privilegiado ao monitoramento, controle do sistema e funções administrativas.
Existem muitos tipos de padrões de garantia da informação (IA): Common Criteria, NIAP, EAL e TEMPEST, por exemplo. Neste artigo, explicaremos essas disposições de IA e o que cada uma significa para sua rede segura.
O Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação (CC) acompanhado do acompanhante Metodologia Comum para Avaliação de Segurança de Tecnologia da Informação (CEM) são a base técnica para o Acordo de Reconhecimento de Critérios Comuns (CCRA), que é um acordo internacional que verifica:
O CC é o padrão ouro para o reconhecimento de produtos de TI seguros em todo o mundo.
A National Information Assurance Partnership (NIAP) implementa o Common Criteria nos EUA e gerencia o processo de validação do NIAP Common Criteria Evaluation and Validation Scheme (CCEVS).
Em parceria com o Instituto Nacional de Normas e Tecnologia (NIST), o NIAP também aprova Laboratórios de Teste de Critério Comum para conduzir essas avaliações de segurança em operações do setor privado nos EUA
Um padrão internacional introduzido em 1999 define o nível de garantia de avaliação (EAL1 a EAL7) de um produto ou sistema de TI. O nível EAL mede o nível de garantia de segurança de um produto ou sistema de TI registrado durante um Critérios Comuns avaliação de segurança. Níveis mais altos de segurança indicam que os principais recursos de segurança do sistema atendem a parâmetros de garantia mais rigorosos. O nível EAL não mede a segurança do sistema em si, ele simplesmente indica em que nível o sistema foi testado.
Os requisitos para EAL envolvem documentação de design, análise de design, teste funcional ou teste de penetração. Os EALs mais altos incluem documentação, análise e testes mais detalhados do que os níveis mais baixos. Alcançar uma certificação EAL mais alta geralmente custa mais dinheiro e leva mais tempo do que alcançar um nível inferior. O número EAL atribuído a um sistema certificado indica que o sistema completou todos os requisitos para aquele nível.
O que é um alvo de segurança (ST)?
Cada produto e sistema deve atender aos mesmos requisitos de garantia para atingir um determinado nível de EAL, mas não precisa atender aos mesmos requisitos funcionais. As características funcionais de cada produto certificado são estabelecidas no Alvo de segurança documento feito sob medida para a avaliação daquele produto. Um produto com um EAL mais alto pode não ser "mais seguro" em um aplicativo específico do que um com um EAL mais baixo, porque eles podem ter recursos funcionais diferentes em suas metas de segurança. A adequação de um produto para um aplicativo de segurança específico depende de quão bem os recursos listados na meta de segurança do produto atendem aos requisitos de segurança do aplicativo. Se os Alvos de segurança de dois produtos contiverem os recursos de segurança necessários, o EAL mais alto revelará um produto mais seguro para esse aplicativo.
Com origem no final dos anos 1960, “TEMPEST” é o codinome de um projeto classificado (secreto) do governo dos EUA para proteger informações confidenciais de hackers externos. A sigla significa Material eletrônico de telecomunicações protegido contra transmissões espúrias emanadas. A especificação TEMPEST (designada pela Agência de Segurança Nacional dos EUA) mede o risco de roubo de dados de computadores e dispositivos de telecomunicações. Dispositivos compatíveis com TEMPEST protegem contra vazamentos não intencionais de rádio ou sinais elétricos, sons e vibrações que podem fornecer uma porta para hackers comprometerem sistemas seguros.
Agora que você conhece os fundamentos do Information Assurance, você está pronto para colocar os padrões Common Criteria, NIAP, EAL e TEMPEST para trabalhar para ajudá-lo a proteger seus dados confidenciais em sua rede do setor público ou privado. Faça o download do white paper gratuito, “Enfrentando ameaças de Cybersecurity com switches Secure KVM ” para saber mais sobre o Secure KVM e esses padrões de segurança.
Baixar papel branco: https://goto.blackbox.com/l/770423/2021-05-21/fp39vz
Precisa de mais informação? Podemos fornecer mais conselhos, responder às suas perguntas e/ou consultar você sobre sua aplicação específica. Contacte-nos em 877-877-2269 ou info@blackbox.com
Referências
