Yhdysvaltain puolustusministeriön Hallitsematon tieto (CUI) -ohjelma toteutetaan puolustusministeriön ohjeen 520.48 kautta, jossa vahvistetaan menettelyt ja toimintatavat arkaluonteisten mutta salaamattomien tietojen tunnistamiseksi, merkitsemiseksi, suojaamiseksi, levittämiseksi ja hallitsemiseksi. Ohjeella yhdenmukaistetaan puolustusministeriön käytäntöjä liittovaltion CUI-standardien kanssa, jotta varmistetaan yhdenmukainen suoja sellaisille tiedoille, jotka edellyttävät suojaa mutta eivät täytä luokitusrajoja, ja tuetaan siten kansallista turvallisuutta, lainsäädännön noudattamista ja tietojen jakamista hallituksen ja valtuutettujen kumppanien kesken.
Järjestelmävaatimukset valvottujen turvaluokittelemattomien tietojen käsittelyä varten
Järjestelmät, jotka käsittelevät, tallentavat tai välittävät valvottuja turvaluokittelemattomia tietoja (CUI), vaaditaan toteuttamaan turvallisuusvalvonta, joka on yhdenmukainen standardien kuten NIST SP 800-171 kanssa. Näitä vaatimuksia sovelletaan ensisijaisesti muihin kuin liittovaltion organisaatioihin, mukaan lukien urakoitsijat ja toimittajat, jotka työskentelevät Yhdysvaltain hallituksen tietojen kanssa, varmistaen yhdenmukaisen suojan perustason ilman että vaaditaan täydellisiä turvallisuusluokiteltuja järjestelmäprotokollia. Noudattaminen on olennaisen tärkeää, jotta voidaan säilyttää oikeus valtion sopimuksiin ja suojata arkaluonteisia mutta salaamattomia tietoja luvattomalta käytöltä tai rikkomisilta.
Järjestelmää ja verkkoa koskevat vaatimukset valvottujen turvaluokittelemattomien tietojen käsittelyä varten
Käsitteleminen Ohjaamaton Tieto vaatii järjestelmiä ja verkkoja täyttämään kohtuulliset turvallisuusstandardit, jotka on määritelty ensisijaisesti NIST SP 800-171:ssä. Nämä vaatimukset ovat tyypillisesti sopusoinnussa sellaisten ympäristöjen kanssa, jotka on suunniteltu kohtalaisesti vaikuttavia liittovaltion tietoja varten, mikä tarkoittaa sitä, että organisaatioiden on pantava täytäntöön turvalliset verkkoarkkitehtuurit, varmistettava vähiten privilegeen pääsy, pidettävä auditoinnin kirjautuminen ja varmistettava salaus sekä kauttakulku- että levossa. Käytännössä tämä vastaa Cybersecurity Maturity Model Certification Taso 2 urakoitsijoille, jotka työskentelevät Yhdysvaltain puolustusministeriön kanssa, mikä kuvastaa jäsenneltyä ja auditoitavaa lähestymistapaa suojata arkaluonteisia mutta turvaluokittelemattomia valtion tietoja.
Mikä on turvallisuusluokitus opas ja miksi sitä käytetään
Turvaluokitusopas on virallinen asiakirja, jota järjestöt käyttävät erityisesti valtion ja puolustusalan sektoreilla ja jossa määritellään, miten tiedot luokitellaan sen herkkyyden ja mahdollisten vaikutusten perusteella, jos ne julkistetaan. Se sisältää selkeät säännöt tietojen merkitsemisestä luottamuksellisiksi, salaisiksi tai huippusalaisiksi sekä ohjeet tietojen käsittelystä, tallentamisesta ja jakamisesta. Standardoimalla luokituspäätökset se vähentää inhimillisten virheiden riskiä, varmistaa turvallisuuskäytäntöjen noudattamisen ja auttaa suojaamaan arkaluonteisia tietoja luvattomalta käytöltä tai väärinkäytöltä.
ISO/IEC CUI -rekisterin tarkoitus
ISO/IEC Concept Unique Identifier (CUI) -rekisteri on suunniteltu tarjoamaan standardoitu järjestelmä yksilöllisten tunnisteiden osoittamiseksi konsepteille eri tietojärjestelmissä, mikä mahdollistaa tietojen johdonmukaisen tulkinnan ja yhteentoimivuuden. Varmistamalla, että samaa käsitettä viitataan yhdenmukaisesti riippumatta kielestä, alustasta tai kontekstista, rekisteri tukee tietojen integrointia, vähentää epäselvyyksiä ja parantaa järjestelmien välistä viestintää esimerkiksi terveydenhuollon, teknologian ja tiedonhallinnan aloilla.
Liittovaltion laki todentamisviranomaisten roolista ja velvollisuuksista
Yhdysvaltain liittovaltion lain mukaan virkailijat ovat valtion virkamiehiä, joilla on valtuudet hyväksyä maksuja julkisista varoista ja jotka ovat oikeudellisesti vastuussa siitä, että maksut ovat oikeita, laillisia ja asianmukaisesti dokumentoituja. Niiden on tarkistettava, että varoja on käytettävissä, että maksu on sovellettavien sääntöjen ja määräysten mukainen ja että tositteet ovat paikkansapitäviä. Jos varmentaja hyväksyy sääntöjenvastaisen tai sääntöjenvastaisen maksun, häntä voidaan pitää henkilökohtaisesti vastuussa menetyksestä, ellei hänelle myönnetä helpotusta vakiintuneiden hallintoprosessien kautta, mikä vahvistaa tiukkaa vastuuvelvollisuutta liittovaltion taloushallinnossa.
Salaisen tiedon lähettämisen keskeiset vaatimukset turvallisesti
Salaisia tietoja lähetettäessä on noudatettava tiukkoja turvallisuusvaatimuksia luottamuksellisuuden suojaamiseksi ja luvattoman pääsyn estämiseksi. Vain henkilöt, joilla on asianmukainen valtuutus ja selkeä tarve tietää, saavat tiedon, ja se on jaettava turvallisten ja hyväksyttyjen viestintäkanavien kautta. Salaus on tyypillisesti tarpeen tietojen suojaamiseksi siirron aikana sekä todentamistoimenpiteet sekä lähettäjän että vastaanottajan henkilöllisyyden varmistamiseksi. Fyysisiä ja digitaalisia suojatoimia on sovellettava, kuten julkisten verkkojen välttämistä, suojattujen laitteiden käyttöä ja kuuntelun tai vuotojen ehkäisemistä. Lisäksi kaikissa toimissa olisi noudatettava vakiintuneita politiikkoja, oikeudellisia määräyksiä ja organisaation turvallisuusprotokollia sen varmistamiseksi, että arkaluonteisia tietoja suojellaan jatkuvasti.
Asiakirjaa koskevat vaatimukset
Jotta asiakirjaa voitaisiin pitää virallisena asiakirjana, valtuutetun yksikön on laadittava tai vastaanotettava asiakirja virallisen toiminnan aikana, joka on asianmukaisesti todennettu tai todennettu ja säilytettävä luotettavalla ja johdonmukaisella tavalla vakiintuneiden oikeudellisten tai organisatoristen standardien mukaisesti. Sen olisi vastattava tarkasti edustamiaan tietoja, pysyttävä muuttumattomina, paitsi dokumentoitujen menettelyjen avulla, ja se olisi säilytettävä järjestelmässä, joka varmistaa niiden eheyden, saatavuuden ja jäljitettävyyden ajan mittaan ja joka soveltuu lailliseen, hallinnolliseen tai historialliseen käyttöön.
YK:n turvallisuusneuvoston päätöslauselma 1674 ja sen jatkuva merkitys siviilisuojelulle
YK:n turvallisuusneuvoston vuonna 2006 antamassa päätöslauselmassa 1674 vahvistettiin kansainvälisen yhteisön sitoumus suojella siviilejä aseellisissa konflikteissa ja vahvistettiin periaate, jonka mukaan väestöä on suojeltava kansanmurhalta, sotarikoksilta, etniseltä puhdistukselta ja ihmisyyttä vastaan tehdyiltä rikoksilta. Se on merkittävä nyt, koska se vahvisti valtioiden ja kansainvälisten toimien oikeudellista ja moraalista kehystä konfliktitilanteissa ja vaikutti siihen, miten hallitukset, rauhanturvaoperaatiot ja maailmanlaajuiset instituutiot reagoivat humanitaarisiin kriiseihin ja ovat vastuussa kansainvälisen humanitaarisen oikeuden rikkomisesta.
Yhteiset lähteet Kyberrikolliset Henkilö- ja organisaatiotietojen kerääminen
Kyberrikolliset keräävät yleisimmin tietoa yleisesti saatavilla olevista lähteistä, kuten sosiaalisen median profiileista, yrityssivustoista, lehdistötiedotteista ja verkkohakemistoista sekä tietoturvaloukkauksista ja vuotaneista tietokannoista. Tämä käytäntö, jota kutsutaan usein avoimen lähdekoodin tiedusteluksi, mahdollistaa hyökkääjien erittäin kohdennetun fysiikan tai sosiaalisen suunnittelun hyökkäykset hyödyntämällä yksilöiden, roolien, suhteiden ja organisaatiorakenteen yksityiskohtia, mikä tekee ilmeisen oikeutetusta viestinnästä vakuuttavampaa ja lisää onnistuneen kompromissin todennäköisyyttä.
Päivän lopun turvatarkastukset nauhoitetaan käyttäen tietoturvalokia tai tarkistuslistaa
Päivän lopun turvatarkastukset kirjataan yleisesti turvaloki- tai tarkistuslistalomakkeella, jonka avulla henkilöstö voi tarkistaa ja dokumentoida, että kaikki vaaditut turvallisuusmenettelyt on suoritettu. Nämä lomakkeet sisältävät tyypillisesti asioita, kuten lukitus ovet, tarkastus hälytykset, tarkastus laitteet, ja ilmoitus kaikista tapauksista tai sääntöjenvastaisuuksista, auttaa organisaatioita ylläpitämään vastuullisuutta, tukea tarkastuksia, ja varmistaa johdonmukainen noudattaminen turvaprotokollia.