DITSCAP由DISA(国防信息系统局)开发,用于鉴定和评估属于国防部的系统。DITSCAP为国防部系统使用以基础设施为中心的方法。它是所有国防机构收集、存储和处理信息(机密或非机密)的强制性要素。有一个名为DoDI 5200.40的文档指导DITSCAP方法。有关更多信息和参考,您可以从http://www.enpointe.com/assets/pdf/i520040p.pdf.
类似于NIACAP,共分四个阶段:
1.定义
2.验证
3.验证
4.岗位资格认证
在这些阶段中,第二点是最重要的。根据阶段2,DITSCAP方法的主要分析领域是:
1.信息系统的体系结构分析
2.网络连接分析符合实际规章制度。
3.软件设计分析
4.验证规则满足安全标准
5.产品脆弱性评价
6.产品完整性分析
7.产品生命周期分析
国防部有许多程序和指令(以5200开头的数字命名),DITSCAP必须遵守。所有这些指令中最重要的是5200.28-AIS(自动化信息系统安全要求)http://csrc.nist.gov/groups/SMA/fasp/documents/c&a/DLABSP/d520028p.pdf.在1988年发布的5200.28指令中,还提到了许多其他指令。DITSCAP必须遵守所有这些规定。
以下是DITSCAP过程的解释: