سیستم و الزامات شبکه برای مدیریت اطلاعات کنترل نشده (CUI)

مدیریت کنترل اطلاعات یکپارچه نیاز به سیستم ها و شبکه ها برای پاسخگویی به استانداردهای امنیتی متوسط تعریف شده در درجه اول توسط NIST SP 800-171، که نشان می دهد 110 کنترل در سراسر مناطق مانند کنترل دسترسی، پاسخ حادثه، مدیریت پیکربندی و یکپارچگی سیستم. این الزامات به طور معمول با محیط هایی که برای داده های فدرال میانه رو طراحی شده اند، مطابقت دارند، به این معنی که سازمان ها باید معماری های امن شبکه را پیاده سازی کنند، دسترسی به حداقل حق را اجرا کنند، ورود حسابرسی را حفظ کنند و هر دو را در حمل و نقل و استراحت تضمین کنند. در عمل، این مربوط به سطح صدور گواهینامه مدل امنیت سایبری 2 برای پیمانکارانی است که با وزارت دفاع ایالات متحده کار می کنند، منعکس کننده یک رویکرد ساختار یافته و قابل حسابرسی برای محافظت از اطلاعات دولتی حساس اما غیر طبقه بندی شده است.

الزامات سیستم برای کنترل اطلاعات یکپارچه (CUI)

سیستم هایی که پردازش، ذخیره یا انتقال اطلاعات غیر طبقه بندی شده کنترل شده (CUI) برای اجرای کنترل های امنیتی مطابق با استانداردهای مانند NIST SP 800-171، که 110 کنترل در سراسر مناطق مانند کنترل دسترسی، پاسخ حادثه و یکپارچگی سیستم را مشخص می کند. این الزامات در درجه اول به سازمان های غیر تغذیه ای اعمال می شود، از جمله پیمانکاران و تامین کنندگان که با داده های دولت ایالات متحده کار می کنند، بدون نیاز به پروتکل های سیستم طبقه بندی شده کامل، یک پایه ثابت حفاظت را تضمین می کنند. انطباق برای حفظ واجد شرایط بودن برای قراردادهای دولتی و محافظت از اطلاعات حساس اما طبقه بندی نشده از دسترسی یا نقض غیر مجاز ضروری است.

آموزش DoD که برنامه اطلاعات کنترل نشده (CUI) را اجرا می کند

برنامه اطلاعات یکپارچه کنترل شده (CUI) در وزارت دفاع ایالات متحده از طریق آموزش آنلاین 5200.48 اجرا می شود که سیاست ها و روش های شناسایی، علامت گذاری، توزیع، و کنترل اطلاعات حساس اما یکپارچه را ایجاد می کند. این دستورالعمل شیوه های DoD را با استانداردهای فدرال CUI هماهنگ می کند، اطمینان از حفاظت مداوم از اطلاعات است که نیاز به حفاظت دارد، اما با آستانه های طبقه بندی مطابقت ندارد، در نتیجه حمایت از امنیت ملی، انطباق قانونی و اشتراک گذاری اطلاعات در سراسر دولت و شرکای مجاز.

الزامات کلیدی برای انتقال اطلاعات محرمانه امن

هنگام ارسال اطلاعات محرمانه، الزامات امنیتی دقیق باید برای محافظت از محرمانه بودن و جلوگیری از دسترسی غیر مجاز دنبال شود. فقط افراد دارای مجوز مناسب و نیاز واضح به دانستن باید اطلاعات را دریافت کنند و باید از طریق کانال های ارتباطی امن و تایید شده به اشتراک گذاشته شوند. رمزگذاری به طور معمول برای محافظت از داده ها در هنگام انتقال، همراه با اقدامات احراز هویت هر دو فرستنده و گیرنده مورد نیاز است. حفاظت فیزیکی و دیجیتال باید اعمال شود، مانند اجتناب از شبکه های عمومی، استفاده از دستگاه های امن و جلوگیری از رهگیری یا نشت. علاوه بر این، تمام اقدامات باید مطابق با سیاست های تثبیت شده، مقررات قانونی و پروتکل های امنیتی سازمانی باشد تا اطمینان حاصل شود که اطلاعات حساس در همه زمان ها محافظت می شوند.

راهنمای طبقه بندی امنیت چیست و چرا استفاده می شود

راهنمای طبقه بندی امنیتی یک سند رسمی است که توسط سازمان ها، به ویژه در بخش های دولتی و دفاعی مورد استفاده قرار می گیرد تا مشخص کند که چگونه اطلاعات باید بر اساس حساسیت و تاثیر بالقوه آن طبقه بندی شوند. این قوانین روشنی را برای برچسب گذاری داده ها به عنوان محرمانه، محرمانه یا محرمانه بالا، همراه با دستورالعمل هایی برای رسیدگی، ذخیره و به اشتراک گذاری این اطلاعات فراهم می کند. با تصمیم گیری های طبقه بندی استاندارد، خطر خطای انسانی را کاهش می دهد، انطباق با سیاست های امنیتی را تضمین می کند و به محافظت از اطلاعات حساس از دسترسی غیرمجاز یا سوء استفاده کمک می کند.

چک های امنیتی پایان روز با استفاده از یک اوراق امنیتی یا Checklist Form ثبت می شوند

چک های امنیتی پایان روز معمولا با استفاده از یک فرم ثبت یا چک لیست امنیتی ثبت می شوند که به کارکنان اجازه می دهد تا تأیید و مستندسازی کنند که تمام روش های ایمنی و امنیتی مورد نیاز تکمیل شده است. این فرم ها به طور معمول شامل مواردی مانند قفل درب، چک کردن زنگ هشدار، بازرسی تجهیزات و نادیده گرفتن هر گونه حوادث یا بی نظمی، کمک به سازمان ها برای حفظ پاسخگویی، حمایت از حسابرسی و اطمینان از انطباق مداوم با پروتکل های امنیتی است.

هدف ثبت ISO / IEC CUI

ثبت نام منحصر به فرد ISO / IEC (CUI) برای ارائه یک سیستم استاندارد برای اختصاص شناسه های منحصر به فرد به مفاهیم در سراسر سیستم های مختلف اطلاعات طراحی شده است، امکان تفسیر مداوم و قابلیت همکاری داده ها. با اطمینان از اینکه همان مفهوم به طور یکنواخت بدون در نظر گرفتن زبان، پلت فرم یا زمینه، رجیستری از ادغام داده ها، کاهش ابهام و بهبود ارتباط بین سیستم ها در زمینه هایی مانند مراقبت های بهداشتی، فن آوری و مدیریت دانش پشتیبانی می کند.

منابع عمومی مجرمان سایبری برای جمع آوری اطلاعات شخصی و سازمانی استفاده می کنند

مجرمان سایبری اغلب اطلاعات را از منابع قابل دسترس عمومی مانند پروفایل های رسانه های اجتماعی، وب سایت های شرکت، انتشار مطبوعات و دایرکتوری های آنلاین، و همچنین از نقض داده ها و پایگاه های داده های نشتی جمع آوری می کنند؛ این عمل، که اغلب به عنوان هوش منبع باز شناخته می شود، مهاجمان را قادر می سازد تا حملات بسیار هدفمند فیشینگ یا مهندسی اجتماعی را با استفاده از جزئیات در مورد افراد، نقش ها، روابط، و ساختار سازمانی، به نظر می رساند و به نظر می رسد ارتباط قانونی و متقاعد کننده احتمال دستیابی به خطر موفقیت آمیز.

خطرات امنیتی و حریم خصوصی اینترنت اشیا (IoT)

دستگاه های اینترنت اشیا (IoT) خطرات متعددی را در درجه اول مربوط به امنیت، حریم خصوصی و قابلیت اطمینان سیستم ایجاد می کنند، زیرا بسیاری از دستگاه ها با مکانیسم های حفاظت محدود طراحی شده و به طور مداوم به شبکه ها متصل هستند. احراز هویت ضعیف، نرم افزار قدیمی و عدم رمزگذاری می تواند این دستگاه ها را برای حملات سایبری، اجازه دسترسی غیر مجاز، سرقت داده ها یا کنترل سیستم های متصل آسان کند. علاوه بر این، دستگاه های IoT اغلب اطلاعات شخصی حساس را جمع آوری و انتقال می دهند و نگرانی های حریم خصوصی را افزایش می دهند اگر داده ها مورد سوء استفاده قرار گیرند یا افشا شوند. این آسیب پذیری ها همچنین می توانند بر شبکه های بزرگتر تأثیر بگذارند، جایی که دستگاه های به خطر افتاده به عنوان نقاط ورودی برای حملات گسترده تر عمل می کنند و شیوه های امنیتی مناسب برای استفاده ایمن ضروری است.

چگونه از کامپیوتر خانگی خود از تهدیدات امنیتی عمومی محافظت کنیم

محافظت از کامپیوتر خانگی شما نیاز به ترکیبی از اقدامات پیشگیرانه و عادات سازگار دارد، از جمله نصب نرم افزار آنتی ویروس قابل اعتماد، فعال کردن فایروال و نگه داشتن سیستم عامل و برنامه های به روز شده برای رفع آسیب پذیری. کلمات عبور قوی و منحصر به فرد و احراز هویت چند عاملی خطر دسترسی غیرمجاز را کاهش می دهد، در حالی که اجتناب از ایمیل های مشکوک و بارگیری به جلوگیری از حملات مخرب و فیشینگ کمک می کند. پشتیبان گیری منظم داده ها در صورت شکست یا حمله، و استفاده از شبکه های امن، به ویژه با رمزگذاری مانند WPA3 در Wi-Fi، لایه اضافی حفاظت در برابر تهدیدات خارجی را اضافه می کند.

قطعنامه ۱۶۷۴ شورای امنیت سازمان ملل و حمایت از غیرنظامیان

قطعنامه ۱۶۷۴ شورای امنیت سازمان ملل که در سال ۲۰۰۶ تصویب شد، تعهد جامعه بین المللی برای حفاظت از غیرنظامیان در درگیری های مسلحانه را تأیید کرد و اصل مسئولیت حفاظت از جمعیت ها از نسل کشی، جنایات جنگی، پاکسازی قومی و جرایم علیه بشریت را تأیید کرد. امروز قابل توجه است، زیرا چارچوب حقوقی و اخلاقی را تقویت می کند که دولت و اقدامات بین المللی را در موقعیت های درگیری هدایت می کند و بر چگونگی عملکرد دولت ها، ماموریت های حفظ صلح و نهادهای جهانی در پاسخ به بحران های بشردوستانه و پاسخگویی به نقض قوانین بین المللی بشردوستانه تأثیر می گذارد.

منابع

• NIST SP 800-171
• National Institute of Standards and Technology
• Information security
• Controlled unclassified information
• Cybersecurity Maturity Model Certification