米国防衛省内の管理された非分類情報(CUI)プログラムは、DD Instruction 5200.48 を介して実施され、識別、マーキング、保護、普及、および機密性が分類されていない情報を制御するためのポリシーと手順を確立しています. この命令は、連邦CUI基準とDの慣行を整列し、保護が必要な情報の一貫性のある保護を確保しますが、分類のしきい値を満たしていないため、政府および認定パートナーの全国的なセキュリティ、規制遵守、および情報共有をサポートしています.
管理された非分類情報(CUI)を扱うためのシステム要件
NIST SP 800-171 などの規格に整列したセキュリティ制御を実装するために、管理されていない分類情報(CUI)を処理、保存、または送信するシステムが必要であり、アクセス制御、インシデントレスポンス、システム整合性などの領域にわたって110制御を概説します. これらの要件は、主に米国政府データを扱う請負業者やサプライヤーを含む非連邦組織に適用され、完全な分類されたシステムプロトコルを必要としない保護の一貫したベースラインを保証します. コンプライアンスは、政府の契約の適格性を維持し、無許可のアクセスや侵害から機密かつ非分類された情報を保護するために不可欠です.
管理されていない情報(CUI)を扱うためのシステムおよびネットワークの要求
管理されていない情報を処理するには、NIST SP 800-171 が主として定義する、システムとネットワークが必要です。これにより、アクセス制御、インシデントレスポンス、構成管理、システム整合などの領域にわたって 110 の制御が行われます. これらの要件は、通常、適度な影響力のある連邦データのために設計された環境と整列します。つまり、組織は安全なネットワークアーキテクチャを実装し、少なくとも特権アクセスを強化し、監査ログを維持し、トランジットと休憩の両方で暗号化を確保しなければなりません. 実際には、これは、米国防衛省と協働する請負業者のためのCybersecurity Maturity Model認定レベル2に相当し、機密かつ非分類された政府情報を保護する構造と監査可能なアプローチを反映しています.
セキュリティの分類ガイドとは何ですか、なぜそれが使用されるのか
セキュリティ分類ガイドは、組織、特に政府および防衛分野で使用される正式な文書で、開示する場合、その感度と潜在的な影響に基づいて、情報がどのように分類されるべきかを定義します. データを機密、秘密、またはトップの秘密としてラベル付けするための明確なルールを提供し、その情報を処理、保存、共有するための指示と共に. 分類決定の標準化により、ヒューマンエラーのリスクを低減し、セキュリティポリシーの遵守を確保し、機密情報を不正なアクセスや誤用から保護するのに役立ちます.
ISO/IEC CUIレジストリの目的
ISO/IEC 独自の識別子 (CUI) レジストリは、異なる情報システム全体で概念に独自の識別子を割り当てるための標準化システムを提供することで、一貫性のある解釈とデータの相互運用性を可能にします. 同じ概念が言語、プラットフォーム、またはコンテキストに関係なく均一に参照されていることを確実にすることで、レジストリはデータ統合をサポートし、曖昧性を減らし、医療、テクノロジー、知識管理などの分野におけるシステム間の通信を改善します.
認定役員の役割と責任に関する連邦法
米国連邦法の下で, 認定役員は、公共の資金から支払いを承認し、合法的に、それらの支払いが正しいことを保証するために責任を負います, 合法的, 適切に文書化. 資金が利用可能であることを確認しなければなりません。支払いは、適用される法令を遵守し、サポートされている文書は正確です. 認定役員が不適切または違法な支払いを認めた場合、それらは確立された管理プロセスを通じて救済を与えられた場合を除き、個人的に損失について責任を負うことができ、連邦財務管理における厳格な責任を補強することができます.
秘密情報を安全に送信するための重要な要件
秘密情報を送信する際には、機密性を保護し、不正なアクセスを防ぐため、厳重なセキュリティ要件に従う必要があります. 適切な許可と明確な必要性を持つ個人だけが情報を受け取るべきであり、それは安全な、承認されたコミュニケーション チャネルを通して共有されなければなりません. 暗号化は通常、送信中のデータを保護するために必要とされます。また、送信者と受信機の両方のアイデンティティを検証するための認証対策もあります. 公共ネットワークを避け、安全な装置を使用して、および遮断または漏出を防ぐことのような物理的およびデジタル保護装置は、加えられなければなりません. また、すべての行動は、確立されたポリシー、法的規制、組織的なセキュリティプロトコルを遵守し、機密情報が常に保護されるようにします.
公式レコードを検討する文書の要件
正式な記録と見なすためには、公的な活動の過程で認定機関によって文書を作成または受領し、適切に認証または検証し、確立された法的または組織的な基準に従って、信頼性と一貫した方法で保存する必要があります. 文書化された手順を除いて、その表現する情報は正確に反映し、未確認のままにし、その完全性、アクセシビリティ、トレーサビリティを時間の経過とともに確保するシステムに保存され、法的、管理、または歴史的使用に適しています.
国連安全保障委員会の決議1674とその民事保護への反対の関連性
国連安全保障委員会の決議1674は、2006年に採択され、武装紛争で市民を保護するための国際的なコミュニティのコミットメントを再確認し、性器、戦争犯罪、民族の浄化、人類に対する犯罪から集団を保護する責任の原則を支持しました. 紛争の状況における法的および道徳的枠組みの指導の国家と国際的行動を強化し、政府、平和管理の使命、および国際機関が国際人道的な危機にどのように対応し、国際人道的な法違反に対する責任を負うため、今日は重要なことです.
一般的なソース サイバー犯罪者は、個人および組織情報を収集するために使用します
Cybercriminalsは、ソーシャルメディアプロファイル、企業ウェブサイト、プレスリリース、およびオンラインディレクトリなどの公共アクセス可能な情報から最も一般的に収集されます。また、データ侵害や漏洩したデータベースからの情報。この慣行は、多くの場合、オープンソースインテリジェンスと呼ばれ、攻撃者は、個人、役割、関係、組織構造に関する詳細を悪用することによって、高度にターゲティングされたフィッシングやソーシャルエンジニアリングの攻撃を生成し、一見正当なコミュニケーションをより説得力のあるものにし、妥協を許さないようなコミュニケーションを高めます.
終日セキュリティチェックは、セキュリティログまたはチェックリストフォームを使用して記録されます
終日セキュリティチェックは、セキュリティログまたはチェックリストフォームを使用して一般的に記録されます。これにより、すべての必要な安全およびセキュリティ手順が完了していることを確認することができます. これらのフォームは通常、ドアのロック、アラームのチェック、機器の検査、および任意のインシデントや不規則さの指摘、組織の責任を維持し、監査をサポートし、セキュリティプロトコルとの一貫性のある遵守を確保するなどの項目が含まれます.