Az Egyesült Államok Védelmi Minisztériumán belül az ellenőrzött, nem minősített információ (CUI) programot a DoD 5200.48-on keresztül hajtják végre, amely szabályokat és eljárásokat határoz meg az érzékeny, de nem minősített információk azonosítására, jelölésére, védelmére, terjesztésére és dekontrollálására. Ez az utasítás összehangolja a DoD-gyakorlatokat a szövetségi CUI-szabványokkal, biztosítva az olyan információk következetes védelmét, amelyek az osztályozási küszöbértékeket kívánják meg, de nem felelnek meg annak, ezáltal támogatva a nemzetbiztonságot, a jogszabályok betartását és az információk megosztását a kormány és a felhatalmazott partnerek között.
Rendszerkövetelmények az ellenőrzött, nem minősített információk kezelésére (CUI)
Az ellenőrzött, nem minősített információkat (CUI) feldolgozó, tároló vagy továbbító rendszereknek olyan biztonsági ellenőrzéseket kell végrehajtaniuk, amelyek összhangban vannak az olyan szabványokkal, mint a NIST SP 800- 171, amely 110 vezérlést vázol fel az olyan területeken, mint a hozzáférés ellenőrzése, az események kezelése és a rendszer integritása. Ezek a követelmények elsősorban a nem szövetségi szervezetekre vonatkoznak, beleértve az amerikai kormányzati adatokkal dolgozó vállalkozókat és beszállítókat is, biztosítva a védelem következetes alapjait anélkül, hogy teljes körű, minősített rendszerprotokollokat írnának elő. A megfelelés elengedhetetlen a kormányzati szerződésekre való jogosultság fenntartásához és az érzékeny, de nem minősített információk jogosulatlan hozzáféréstől vagy jogsértéstől való védelméhez.
Rendszer- és hálózati követelmények az ellenőrzött, nem minősített információk kezelésére (CUI)
Az ellenőrzött, nem minősített információk kezelése olyan rendszereket és hálózatokat igényel, amelyek megfelelnek az elsősorban a NIST SP 800- 171 által meghatározott mérsékelt biztonsági előírásoknak, amelyek 110 vezérlést vázolnak fel olyan területeken, mint a hozzáférés ellenőrzése, az események kezelése, a konfiguráció kezelése és a rendszer integritása. Ezek a követelmények jellemzően összhangban vannak a moderate- hatás szövetségi adatokra tervezett környezetekkel, vagyis a szervezeteknek biztonságos hálózati architektúrákat kell végrehajtaniuk, a legkevésbé privilegizált hozzáférést kell érvényesíteniük, fenn kell tartaniuk a könyvvizsgálati naplózást, és biztosítaniuk kell a titkosítást mind a tranzit, mind a pihenés során. A gyakorlatban ez megfelel a 2. szintű kiberbiztonsági teljesítménymodellnek az amerikai védelmi minisztériummal dolgozó vállalkozók számára, amely az érzékeny, de nem minősített kormányzati információk védelmének strukturált és ellenőrizhető megközelítését tükrözi.
Mi a biztonsági osztályozási útmutató és miért használják
A biztonsági osztályozási útmutató a szervezetek által használt hivatalos dokumentum, különösen a kormányzati és védelmi ágazatokban, annak meghatározására, hogyan kell kategorizálni az információkat érzékenysége és lehetséges hatása alapján, ha nyilvánosságra hozzák. Egyértelmű szabályokat ír elő az adatok bizalmas, titkos vagy szigorúan titkos megjelölésére, valamint ezen információk kezelésére, tárolására és megosztására vonatkozó utasításokra. Az osztályozási határozatok szabványosításával csökkenti az emberi hibák kockázatát, biztosítja a biztonsági politikák betartását, és segít megvédeni az érzékeny információkat a jogosulatlan hozzáféréstől vagy visszaéléstől.
Az ISO / IEC CUI kibocsátásiegység-forgalmi jegyzék célja
Az ISO / IEC Concept Unique Identifier (CUI) kibocsátásiegység-forgalmi jegyzék célja, hogy szabványosított rendszert biztosítson az egyedi azonosítók különböző információs rendszereken belüli koncepciókhoz való hozzárendeléséhez, lehetővé téve az adatok következetes értelmezését és interoperabilitását. Annak biztosításával, hogy ugyanazt a koncepciót a nyelvtől, platformtól vagy kontextustól függetlenül egységesen hivatkozzanak, a kibocsátásiegység-forgalmi jegyzék támogatja az adatintegrációt, csökkenti a kétértelműséget, és javítja az olyan területeken működő rendszerek közötti kommunikációt, mint az egészségügy, a technológia és a tudáskezelés.
A tanúsító tisztviselők szerepéről és felelősségéről szóló szövetségi törvény
Az Egyesült Államok szövetségi törvényei szerint az igazoló tisztviselők állami tisztviselők, akik jogosultak közpénzekből történő kifizetések jóváhagyására, és jogilag felelősek annak biztosításáért, hogy a kifizetések helyesek, jogszerűek és megfelelően dokumentáltak legyenek. A tagállamoknak ellenőrizniük kell, hogy rendelkezésre állnak-e pénzeszközök, a kifizetés megfelel-e az alkalmazandó alapszabálynak és szabályozásnak, és az igazoló dokumentumok pontosak. Ha az igazoló tisztviselő helytelenül vagy jogellenesen hagyja jóvá a kifizetést, a veszteségért személyesen is felelősségre vonható, kivéve, ha a mentességet meghatározott adminisztratív eljárások révén biztosítják, megerősítve a szövetségi pénzgazdálkodás szigorú elszámoltathatóságát.
A titkos információk biztonságos továbbítására vonatkozó alapvető követelmények
A titkos információk továbbításakor szigorú biztonsági követelményeket kell betartani a titoktartás védelme és a jogosulatlan hozzáférés megelőzése érdekében. Csak a megfelelő felhatalmazással és egyértelmű tudással rendelkező személyek kaphatják meg az információkat, és azokat biztonságos, jóváhagyott kommunikációs csatornákon keresztül kell megosztani. A titkosítás jellemzően az adatok továbbítás közbeni védelméhez szükséges, a feladó és a vevő személyazonosságának ellenőrzésére szolgáló hitelesítési intézkedésekkel együtt. Fizikai és digitális biztosítékokat kell alkalmazni, például el kell kerülni a nyilvános hálózatokat, biztonságos eszközöket kell használni, és meg kell akadályozni az elfogást vagy a szivárgást. Ezenkívül minden intézkedésnek meg kell felelnie a megállapított politikáknak, jogi szabályozásoknak és szervezeti biztonsági protokolloknak annak biztosítása érdekében, hogy az érzékeny információk mindenkor védve maradjanak.
A Hivatalos Nyilvántartásban figyelembe veendő dokumentumra vonatkozó követelmények
Ahhoz, hogy hivatalos nyilvántartásnak minősüljön, a jóváhagyott szervezetnek hivatalos tevékenységek keretében kell létrehoznia vagy fogadnia, megfelelően hitelesítve vagy hitelesítve, és a megállapított jogi vagy szervezeti előírásoknak megfelelően megbízható és következetes módon megőrizni. Pontosan tükröznie kell az általa képviselt információkat, változatlanul kell maradnia, kivéve a dokumentált eljárásokat, és olyan rendszerben kell tárolnia, amely biztosítja annak integritását, hozzáférhetőségét és nyomon követhetőségét, és lehetővé teszi a jogszerű, adminisztratív vagy történelmi használatot.
Az ENSZ Biztonsági Tanácsa 1674. sz. határozata és a polgári védelem folyamatban lévő jelentősége
Az ENSZ Biztonsági Tanácsa 2006-ban elfogadott 1674 sz. határozata megerősítette a nemzetközi közösség elkötelezettségét a polgári lakosság fegyveres konfliktusokban való védelme iránt, és jóváhagyta a lakosság népirtás, háborús bűncselekmények, etnikai tisztogatás és emberiség elleni bűncselekmények elleni védelmének elvét. Ma azért fontos, mert megerősítette az államot és a nemzetközi fellépést irányító jogi és erkölcsi keretet a konfliktushelyzetekben, befolyásolva, hogy a kormányok, a békefenntartó missziók és a globális intézmények hogyan reagálnak a humanitárius válságokra és elszámoltathatók a nemzetközi humanitárius jog megsértéséért.
Közös források Cybercrimins használja gyűjteni személyes és szervezeti információk
A kiberbűnözők leggyakrabban nyilvánosan hozzáférhető forrásokból, például közösségi média profilokból, vállalati honlapokról, sajtóközleményekből és online könyvtárakból gyűjtenek információkat, valamint az adatok megsértéséből és kiszivárgott adatbázisokból; ez a gyakorlat, amelyet gyakran nyílt forráskódú hírszerzésnek neveznek, lehetővé teszi a támadók számára, hogy az egyénekkel, szerepekkel, kapcsolatokkal és szervezeti struktúrával kapcsolatos részleteket kihasználva, a látszólag legitimnek tűnő kommunikációt meggyőzőbbé és a sikeres kompromisszum valószínűségének fokozásával támadjanak.
A napközbeni biztonsági ellenőrzéseket biztonsági napló vagy ellenőrző lista segítségével rögzítik
A napi védelmi ellenőrzéseket általában biztonsági napló vagy ellenőrzőlista űrlap segítségével rögzítik, amely lehetővé teszi a személyzet számára, hogy ellenőrizze és dokumentálja az összes előírt biztonsági és védelmi eljárás elvégzését. Ezek a formanyomtatványok jellemzően olyan elemeket foglalnak magukban, mint a zárt ajtók, a riasztók ellenőrzése, az ellenőrző berendezések, valamint az esetleges események vagy szabálytalanságok feljegyzése, a szervezetek elszámoltathatóságának fenntartása, az ellenőrzések támogatása és a biztonsági protokollok következetes betartásának biztosítása.