¿Cuáles son las diferencias entre DIACAP y RMF?

3

Actualmente estoy certificando sistemas (productos) bajo DIACAP (Proceso de Certificación y Acreditación de Aseguramiento de la Información DoD). En el futuro, necesitaremos utilizar RMF (Marco de gestión de riesgos).

  • ¿Cuáles son las diferencias clave entre estos dos procesos?
  • ¿Cuáles son las similitudes (por ejemplo, ambos usan un POA & M)
  • ¿Existe una transición definida y documentada del proceso anterior al más reciente? (Algo con más carne que las diapositivas en )
  • ¿El aspecto de reciprocidad de RMF ha funcionado en la práctica, entre diferentes sucursales del DoD y / o servicios?
pregunta Lindsay Morsillo 01.06.2015 - 16:19
fuente

1 respuesta

1
  • Concepto de Operaciones (CONOPS)
  • Puertos, Protocolos, & Gestión de servicios (PPSM)
    • Lista de hardware / software
    • diagrama de red
  • Plan de seguridad del sistema (SSP) / Plan de seguridad de la aplicación (anteriormente DIP / SIP)
  • Informe de evaluación de seguridad (SAR) alias. Informe de evaluación de riesgos (RAR)
  • Plan de Monitoreo Continuo de Seguridad de la Información (ISCM)
  • Plan de acción e hitos (POA & M)
  • Plan de gestión de la configuración (CMP)
  • Carta de la Junta de Control de Configuración (CCB)
  • Plan de respuesta a incidentes (IRP)
  • Reglas de comportamiento (ROB) / Política de uso aceptable (AUP)
  • Manual de administración de sistemas (SAM)
  • Continuidad del Plan de Operaciones (COOP) o Plan de Continuidad del Negocio (BCP)
  • Plan de recuperación de desastres (DRP)
  • Plan de contingencia (CP)
  • Acuerdos a nivel del sistema (SLA), Memorandum of Agreements (MOA) o Memorandum of Understanding (MOU)

Diferencias de artefactos de DIACAP a RMF:

  • El SSP reemplaza el perfil de identificación del sistema (SIP) y el plan de implementación de DIACAP (DIP)
  • SAR reemplaza a Scorecard, Evaluation Risk Report (ERR)
  • El Asesor de control de seguridad (SCA) reemplaza al Validador o ACA
  • El paquete de autorización de seguridad (SAP) reemplaza el paquete DIACAP
  • El Oficial de seguridad del sistema de información (ISSO) / Administrador (ISSM) reemplaza a IAM / IAO
respondido por el test 17.12.2015 - 16:44
fuente

Lea otras preguntas en las etiquetas