"ASV Aizsardzības departaments īsteno savu Kontrolēto neklasificēto informācijas programmu, izmantojot DoD Instruction 5200.48, kas standartizē sensitīvas, bet neklasificētas informācijas apstrādi, marķēšanu un aizsardzību."

DoD instrukcija, kas īsteno Kontrolētas neklasificētas informācijas (CUI) programmu

Kontrolētas neklasificētas informācijas (CUI) programma ASV Aizsardzības departamenta ietvaros tiek īstenota ar DoD Instruction 5200.48 starpniecību, kas nosaka politiku un procedūras sensitīvas, bet neklasificētas informācijas identificēšanai, marķēšanai, aizsargāšanai, izplatīšanai un kontrolei. Šis norādījums saskaņo DoD praksi ar federālajiem CUI standartiem, nodrošinot konsekventu tādas informācijas aizsardzību, kas prasa aizsargāt, bet neatbilst klasifikācijas robežvērtībām, tādējādi atbalstot valsts drošību, atbilstību regulējumam un informācijas apmaiņu starp valdību un pilnvarotajiem partneriem.

Sistēmas prasības apstrādei Kontrolēta neklasificēta informācija (CUI)

Sistēmas, kas apstrādā, uzglabā vai pārraida Kontrolētu neklasificētu informāciju (CUI), ir nepieciešamas, lai īstenotu drošības kontroles, kas saskaņotas ar standartiem, piemēram, NIST SP 800-171, kas iezīmē 110 kontroles dažādās jomās, piemēram, piekļuves kontrole, reaģēšana uz incidentiem un sistēmas integritāte. Šīs prasības galvenokārt attiecas uz nefederālām organizācijām, tostarp darbuzņēmējiem un piegādātājiem, kas strādā ar ASV valdības datiem, nodrošinot konsekventu aizsardzības bāzes līniju, nepieprasot pilnīgus sistēmas protokolus. Atbilstība ir būtiska, lai saglabātu tiesības uz valdības līgumiem un aizsargātu sensitīvu, bet neklasificētu informāciju no neatļautas piekļuves vai pārkāpumiem.

Sistēmas un tīkla prasības vadāmai neklasificētai informācijai (CUI)

Apkalpošana Kontrolētai Neklasificētai informācijai ir nepieciešams, lai sistēmas un tīkli atbilstu mēreniem drošības standartiem, ko galvenokārt definējis NIST SP 800-171, kurā ir iezīmētas 110 kontroles dažādās jomās, piemēram, piekļuves kontrole, reaģēšana uz negadījumiem, konfigurācijas pārvaldība un sistēmas integritāte. Šīs prasības parasti atbilst vidēm, kas paredzētas vidējas ietekmes federālajiem datiem, ar to saprotot, organizācijām jāievieš droša tīkla arhitektūra, jāievieš vismazāk priviliģēto piekļuve, jāuztur audita reģistrēšana un jānodrošina šifrēšana gan tranzītā, gan miera stāvoklī. Praksē tas atbilst Cybersecurity Terminal Model Certification Level 2 līgumslēdzējiem, kas strādā ar ASV Aizsardzības departamentu, atspoguļo strukturētu un pārbaudāmu pieeju, lai aizsargātu sensitīvu, bet neklasificētu valdības informāciju.

Kas ir drošības klasifikācijas ceļvedis un kāpēc tas tiek izmantots

Drošības klasifikācijas rokasgrāmata ir oficiāls dokuments, ko izmanto organizācijas, jo īpaši valdības un aizsardzības nozarēs, lai noteiktu, kā informācija būtu kategorizēt, pamatojoties uz tās jutīgumu un iespējamo ietekmi, ja atklāta. Tajā paredzēti skaidri noteikumi par to, kā marķēt datus kā konfidenciālus, slepenus vai visslepenākos, kā arī norādījumi par to apstrādi, glabāšanu un koplietošanu. Standartizējot klasifikācijas lēmumus, tas samazina cilvēka kļūdu risku, nodrošina atbilstību drošības politikai un palīdz aizsargāt sensitīvu informāciju no neatļautas piekļuves vai ļaunprātīgas izmantošanas.

ISO/IEC CUI reģistra mērķis

ISO/IEC koncepcijas unikālais identifikators (CUI) ir izveidots tā, lai nodrošinātu standartizētu sistēmu unikālu identifikatoru piešķiršanai jēdzieniem dažādās informācijas sistēmās, nodrošinot datu konsekventu interpretāciju un sadarbspēju. Nodrošinot, ka uz vienu un to pašu jēdzienu atsaucas vienādi neatkarīgi no valodas, platformas vai konteksta, reģistrs atbalsta datu integrāciju, samazina neskaidrību un uzlabo saziņu starp sistēmām tādās jomās kā veselības aprūpe, tehnoloģijas un zināšanu pārvaldība.

Federālais likums par pilnvaroto lomu un pienākumiem

Saskaņā ar Amerikas Savienoto Valstu federālo likumu, sertificējošie ierēdņi ir valdības amatpersonas, kas ir pilnvarotas apstiprināt maksājumus no valsts līdzekļiem un ir juridiski atbildīgas par to, lai nodrošinātu, ka šie maksājumi ir pareizi, likumīgi, un pienācīgi dokumentēt. Tām jāpārbauda, vai līdzekļi ir pieejami, vai maksājums atbilst piemērojamiem statūtiem un noteikumiem un vai apliecinošie dokumenti ir precīzi. Ja sertificējošais ierēdnis apstiprina nepareizu vai nelikumīgu maksājumu, viņu var saukt pie personiskas atbildības par zaudējumiem, ja vien tas nav piešķirts ar iedibinātu administratīvo procesu palīdzību, pastiprinot stingru atbildību federālajā finanšu pārvaldībā.

Galvenās prasības slepenās informācijas drošai nosūtīšanai

Pārsūtot slepenu informāciju, jāievēro stingras drošības prasības, lai aizsargātu konfidencialitāti un novērstu nesankcionētu piekļuvi. Tikai personām ar pienācīgu atļauju un skaidru vajadzību zināt vajadzētu saņemt informāciju, un tā ir jāizplata, izmantojot drošus, apstiprinātus saziņas kanālus. Šifrēšana parasti ir nepieciešama, lai aizsargātu datus pārsūtīšanas laikā, kopā ar autentifikācijas pasākumiem, lai pārbaudītu gan sūtītāja, gan saņēmēja identitāti. Ir jāpiemēro fiziski un digitāli aizsardzības pasākumi, piemēram, jāizvairās no publiskiem tīkliem, jāizmanto drošas ierīces un jānovērš pārtveršana vai noplūde. Turklāt visām darbībām būtu jāatbilst noteiktajai politikai, tiesiskajam regulējumam un organizācijas drošības protokoliem, lai nodrošinātu, ka sensitīva informācija vienmēr tiek aizsargāta.

Prasības, kas jāizpilda, lai dokumentu uzskatītu par oficiālu

Lai dokumentu uzskatītu par oficiālu ierakstu, pilnvarotai struktūrai jāizveido vai jāsaņem dokuments, veicot oficiālas darbības, kas ir pienācīgi autentificētas vai pārbaudītas, un jāsaglabā drošā un konsekventā veidā saskaņā ar vispāratzītiem juridiskiem vai organizatoriskiem standartiem. Tai būtu precīzi jāatspoguļo informācija, ko tā pārstāv, jāsaglabā nemainīga, izņemot dokumentētas procedūras, un jāglabā sistēmā, kas nodrošina tās integritāti, pieejamību un izsekojamību laika gaitā, padarot to piemērotu juridiskai, administratīvai vai vēsturiskai izmantošanai.

ANO Drošības padomes Rezolūcija 1674 un tās nozīmība civilās aizsardzības jomā

ANO Drošības padomes Rezolūcijā 1674, ko pieņēma 2006. gadā, atkārtoti apstiprināta starptautiskās sabiedrības apņemšanās bruņotos konfliktos aizsargāt civiliedzīvotājus un apstiprināts princips par atbildību aizsargāt iedzīvotājus no genocīda, kara noziegumiem, etniskās tīrīšanas un noziegumiem pret cilvēci. Tas šodien ir nozīmīgs, jo tas nostiprināja tiesisko un morālo regulējumu, kas nosaka valsts un starptautisko rīcību konflikta situācijās, ietekmējot to, kā valdības, miera uzturēšanas misijas un globālās iestādes reaģē uz humānām krīzēm un atbildību par starptautisko humanitāro tiesību pārkāpumiem.

Kopīgi avoti Cyberkriminals izmantot, lai apkopotu personisko un organizatorisko informāciju

Kibernoziedznieki visbiežāk apkopo informāciju no publiski pieejamiem avotiem, piemēram, sociālo mediju profiliem, uzņēmumu tīmekļa vietnēm, preses paziņojumiem un tiešsaistes direktorijām, kā arī no datu pārkāpumiem un nopludinātām datubāzēm; šī prakse, ko bieži dēvē par atklātā pirmkoda inteliģenci, ļauj uzbrucējiem veikt ļoti mērķtiecīgu pikšķerēšanu vai sociālās inženierijas uzbrukumus, izmantojot detaļas par indivīdiem, lomām, attiecībām un organizatorisko struktūru, padarot šķietami leģitīmu komunikāciju pārliecinošāku un palielinot veiksmīga kompromisa iespējamību.

Dienas beigu drošības pārbaudes tiek ierakstītas, izmantojot drošības žurnālu vai kontrolsaraksta veidlapu

Dienas beigu drošības pārbaudes parasti reģistrē, izmantojot drošības žurnālu vai kontrolsaraksta veidlapu, kas ļauj personālam pārbaudīt un dokumentēt, ka visas vajadzīgās drošības un drošuma procedūras ir pabeigtas. Šīs veidlapas parasti ietver tādus elementus kā bloķēšanas durvis, pārbaudes trauksmes, pārbaudes iekārtas, un atzīmējot jebkādus incidentus vai pārkāpumus, palīdzot organizācijām saglabāt atbildību, atbalsta auditu, un nodrošināt konsekventu atbilstību drošības protokoliem.

A2ZCORE