برنامه اطلاعات یکپارچه کنترل شده (CUI) در وزارت دفاع ایالات متحده از طریق آموزش آنلاین 5200.48 اجرا می شود که سیاست ها و روش های شناسایی، علامت گذاری، توزیع، و کنترل اطلاعات حساس اما یکپارچه را ایجاد می کند. این دستورالعمل شیوه های DoD را با استانداردهای فدرال CUI هماهنگ می کند، اطمینان از حفاظت مداوم از اطلاعات است که نیاز به حفاظت دارد، اما با آستانه های طبقه بندی مطابقت ندارد، در نتیجه حمایت از امنیت ملی، انطباق قانونی و اشتراک گذاری اطلاعات در سراسر دولت و شرکای مجاز.
الزامات سیستم برای کنترل اطلاعات یکپارچه (CUI)
سیستم هایی که پردازش، ذخیره یا انتقال اطلاعات غیر طبقه بندی شده کنترل شده (CUI) برای اجرای کنترل های امنیتی مطابق با استانداردهای مانند NIST SP 800-171، که 110 کنترل در سراسر مناطق مانند کنترل دسترسی، پاسخ حادثه و یکپارچگی سیستم را مشخص می کند. این الزامات در درجه اول به سازمان های غیر تغذیه ای اعمال می شود، از جمله پیمانکاران و تامین کنندگان که با داده های دولت ایالات متحده کار می کنند، بدون نیاز به پروتکل های سیستم طبقه بندی شده کامل، یک پایه ثابت حفاظت را تضمین می کنند. انطباق برای حفظ واجد شرایط بودن برای قراردادهای دولتی و محافظت از اطلاعات حساس اما طبقه بندی نشده از دسترسی یا نقض غیر مجاز ضروری است.
سیستم و الزامات شبکه برای مدیریت اطلاعات کنترل نشده (CUI)
مدیریت کنترل اطلاعات یکپارچه نیاز به سیستم ها و شبکه ها برای پاسخگویی به استانداردهای امنیتی متوسط تعریف شده در درجه اول توسط NIST SP 800-171، که نشان می دهد 110 کنترل در سراسر مناطق مانند کنترل دسترسی، پاسخ حادثه، مدیریت پیکربندی و یکپارچگی سیستم. این الزامات به طور معمول با محیط هایی که برای داده های فدرال میانه رو طراحی شده اند، مطابقت دارند، به این معنی که سازمان ها باید معماری های امن شبکه را پیاده سازی کنند، دسترسی به حداقل حق را اجرا کنند، ورود حسابرسی را حفظ کنند و هر دو را در حمل و نقل و استراحت تضمین کنند. در عمل، این مربوط به سطح صدور گواهینامه مدل امنیت سایبری 2 برای پیمانکارانی است که با وزارت دفاع ایالات متحده کار می کنند، منعکس کننده یک رویکرد ساختار یافته و قابل حسابرسی برای محافظت از اطلاعات دولتی حساس اما غیر طبقه بندی شده است.
راهنمای طبقه بندی امنیت چیست و چرا استفاده می شود
راهنمای طبقه بندی امنیتی یک سند رسمی است که توسط سازمان ها، به ویژه در بخش های دولتی و دفاعی مورد استفاده قرار می گیرد تا مشخص کند که چگونه اطلاعات باید بر اساس حساسیت و تاثیر بالقوه آن طبقه بندی شوند. این قوانین روشنی را برای برچسب گذاری داده ها به عنوان محرمانه، محرمانه یا محرمانه بالا، همراه با دستورالعمل هایی برای رسیدگی، ذخیره و به اشتراک گذاری این اطلاعات فراهم می کند. با تصمیم گیری های طبقه بندی استاندارد، خطر خطای انسانی را کاهش می دهد، انطباق با سیاست های امنیتی را تضمین می کند و به محافظت از اطلاعات حساس از دسترسی غیرمجاز یا سوء استفاده کمک می کند.
هدف ثبت ISO / IEC CUI
ثبت نام منحصر به فرد ISO / IEC (CUI) برای ارائه یک سیستم استاندارد برای اختصاص شناسه های منحصر به فرد به مفاهیم در سراسر سیستم های مختلف اطلاعات طراحی شده است، امکان تفسیر مداوم و قابلیت همکاری داده ها. با اطمینان از اینکه همان مفهوم به طور یکنواخت بدون در نظر گرفتن زبان، پلت فرم یا زمینه، رجیستری از ادغام داده ها، کاهش ابهام و بهبود ارتباط بین سیستم ها در زمینه هایی مانند مراقبت های بهداشتی، فن آوری و مدیریت دانش پشتیبانی می کند.
قانون فدرال در نقش و مسئولیت افسران محرک
تحت قوانین فدرال ایالات متحده، مقامات دولتی مجاز به تایید پرداخت از وجوه عمومی هستند و از نظر قانونی مسئول اطمینان از این هستند که این پرداخت ها درست، قانونی و به درستی مستند شده اند. آنها باید تأیید کنند که وجوه در دسترس هستند، پرداخت مطابق با مقررات و مقررات قابل اجرا است و مستندات پشتیبانی دقیق است. اگر یک افسر گواهی نامه یک پرداخت نامناسب یا غیر قانونی را تایید کند، ممکن است شخصا مسئول از دست دادن باشند مگر اینکه از طریق فرایندهای اداری تثبیت شده تسکین داده شود، تقویت پاسخگویی دقیق در مدیریت مالی فدرال.
الزامات کلیدی برای انتقال اطلاعات محرمانه امن
هنگام ارسال اطلاعات محرمانه، الزامات امنیتی دقیق باید برای محافظت از محرمانه بودن و جلوگیری از دسترسی غیر مجاز دنبال شود. فقط افراد دارای مجوز مناسب و نیاز واضح به دانستن باید اطلاعات را دریافت کنند و باید از طریق کانال های ارتباطی امن و تایید شده به اشتراک گذاشته شوند. رمزگذاری به طور معمول برای محافظت از داده ها در هنگام انتقال، همراه با اقدامات احراز هویت هر دو فرستنده و گیرنده مورد نیاز است. حفاظت فیزیکی و دیجیتال باید اعمال شود، مانند اجتناب از شبکه های عمومی، استفاده از دستگاه های امن و جلوگیری از رهگیری یا نشت. علاوه بر این، تمام اقدامات باید مطابق با سیاست های تثبیت شده، مقررات قانونی و پروتکل های امنیتی سازمانی باشد تا اطمینان حاصل شود که اطلاعات حساس در همه زمان ها محافظت می شوند.
الزامات برای یک سند برای در نظر گرفتن یک رکورد رسمی
برای به رسمیت شناختن یک رکورد رسمی، یک سند باید توسط یک نهاد مجاز در دوره فعالیت های رسمی، به درستی معتبر یا تایید شده ایجاد شود و با توجه به استانداردهای قانونی یا سازمانی حفظ شود. این باید به طور دقیق اطلاعاتی را که نشان می دهد، منعکس کند، به جز از طریق روش های مستند، و در یک سیستم ذخیره شود که یکپارچگی، دسترسی و ردیابی آن را در طول زمان تضمین می کند، و آن را برای استفاده قانونی، اداری یا تاریخی مناسب می کند.
قطعنامه ۱۶۷۴ شورای امنیت سازمان ملل و حمایت از غیرنظامیان
قطعنامه ۱۶۷۴ شورای امنیت سازمان ملل که در سال ۲۰۰۶ تصویب شد، تعهد جامعه بین المللی برای حفاظت از غیرنظامیان در درگیری های مسلحانه را تأیید کرد و اصل مسئولیت حفاظت از جمعیت ها از نسل کشی، جنایات جنگی، پاکسازی قومی و جرایم علیه بشریت را تأیید کرد. امروز قابل توجه است، زیرا چارچوب حقوقی و اخلاقی را تقویت می کند که دولت و اقدامات بین المللی را در موقعیت های درگیری هدایت می کند و بر چگونگی عملکرد دولت ها، ماموریت های حفظ صلح و نهادهای جهانی در پاسخ به بحران های بشردوستانه و پاسخگویی به نقض قوانین بین المللی بشردوستانه تأثیر می گذارد.
منابع عمومی مجرمان سایبری برای جمع آوری اطلاعات شخصی و سازمانی استفاده می کنند
مجرمان سایبری اغلب اطلاعات را از منابع قابل دسترس عمومی مانند پروفایل های رسانه های اجتماعی، وب سایت های شرکت، انتشار مطبوعات و دایرکتوری های آنلاین، و همچنین از نقض داده ها و پایگاه های داده های نشتی جمع آوری می کنند؛ این عمل، که اغلب به عنوان هوش منبع باز شناخته می شود، مهاجمان را قادر می سازد تا حملات بسیار هدفمند فیشینگ یا مهندسی اجتماعی را با استفاده از جزئیات در مورد افراد، نقش ها، روابط، و ساختار سازمانی، به نظر می رساند و به نظر می رسد ارتباط قانونی و متقاعد کننده احتمال دستیابی به خطر موفقیت آمیز.
چک های امنیتی پایان روز با استفاده از یک اوراق امنیتی یا Checklist Form ثبت می شوند
چک های امنیتی پایان روز معمولا با استفاده از یک فرم ثبت یا چک لیست امنیتی ثبت می شوند که به کارکنان اجازه می دهد تا تأیید و مستندسازی کنند که تمام روش های ایمنی و امنیتی مورد نیاز تکمیل شده است. این فرم ها به طور معمول شامل مواردی مانند قفل درب، چک کردن زنگ هشدار، بازرسی تجهیزات و نادیده گرفتن هر گونه حوادث یا بی نظمی، کمک به سازمان ها برای حفظ پاسخگویی، حمایت از حسابرسی و اطمینان از انطباق مداوم با پروتکل های امنیتی است.