Безопасность цепочки поставок является одним из главных приоритетов Министерства обороны, как и должно быть для всех его отраслевых партнеров.
Хотя кибербезопасность, вероятно, занимает самое важное место в сознании людей и часто по понятным причинам попадает в заголовки газет, безопасность — это физическая, кадровый, процедурный и технический контроль, необходимый для минимизации рисков безопасности.
Это не просто упражнение с галочкой!
Кибершпионаж представляет собой вездесущую угрозу оборонному сектору и национальной безопасности в целом, позволяя собирать разведданные, красть интеллектуальную собственность, осуществлять виртуальный и физический саботаж и даже может привести к гибели людей.
Киберпреступники стремятся получить деньги с помощью мошеннических действий с использованием технологий или удерживать компании с целью выкупа, отказывая им в доступе к критически важной для бизнеса информации, что приводит к финансовым потерям и репутационному ущербу.
Сотрудники и все лица, имеющие санкционированный доступ к помещениям, технологиям и информации, могут случайно или намеренно стать причиной нарушений безопасности.
Это может привести к досадной утечке данных и значительным простоям ваших деловых операций, что приведет, например, к юридическим санкциям в соответствии с Законом о государственной тайне, Законом о неправомерном использовании компьютеров или законодательством о конфиденциальности данных.
Только за последние 5 лет многие мировые поставщики оборонной продукции пострадали от киберугроз, поддерживаемых государством.
Конфиденциальные данные были взломаны в результате взлома уязвимых технологических систем. Это действительно по-прежнему происходит в случае возникновения инцидентов безопасности, а не в случае их возникновения.
MOD публикует много полезной информации и предлагает помощь и рекомендации поставщикам, сообщая о применимых ожиданиях и требованиях безопасности.
Обычно это делается посредством процессов торгов и заключения контрактов, но это может (и часто так и происходит) затеряться в шуме, или его важность недооценивается из-за желания выиграть и выполнить работу.
Поставщики просто хотят поступать правильно, но изо всех сил пытаются понять и реализовать ожидания безопасности Министерства обороны логически, прагматично и экономически эффективным способом.
К сожалению, ожидания безопасности также могут быть исключены из этих процессов, в результате чего поставщики рискуют столкнуться с непредусмотренными в бюджете затратами и неожиданными требованиями.
Чаще всего поставщики просто хотят поступать правильно, но изо всех сил пытаются понять и реализовать требования безопасности Министерства обороны логически, прагматично и экономически эффективно.
Если вы новичок в оборонном секторе, вам будет очень сложно понять, с чего начать.
Даже если вы уже какое-то время работаете в этом секторе, более строгие требования к безопасности все равно могут застать вас врасплох, особенно если вам внезапно понадобится обрабатывать информацию и активы более высокого класса.
Четверка шагов
Четырехэтапный подход к пониманию и удовлетворению требований безопасности Министерства обороны поможет вам понять, что вам нужно делать.
То, что вам нужно сделать, зависит от классификации и конфиденциальности информации и активов, которые вам необходимо хранить, обрабатывать и обрабатывать.
Прежде всего, помните об основных ожиданиях Минобороны относительно подхода к безопасности, основанного на оценке рисков.
Для удобства:
- Шаги 1 и 2 применимы ко ВСЕМ поставщикам модов. Каждому необходимо будет обращаться с идентифицируемой информацией MOD (MII) и информацией, классифицированной как ОФИЦИАЛЬНАЯ.
- Шаг 3 применим ко МНОГИМ поставщикам MOD. Лица, которым требуется хранить, обрабатывать и обрабатывать информацию, классифицируемую как ОФИЦИАЛЬНУЮ с пометкой «КОНФИДЕНЦИАЛЬНО» (ОФИЦИАЛЬНО-КОНФИДЕНЦИАЛЬНО (O-S)).
- Шаг 4 применим к НЕКОТОРЫМ поставщикам модов. Те, кому требуется хранить, обрабатывать и обрабатывать информацию, имеющую гриф СЕКРЕТНО (или выше).
Шаг 1. Понимание и снижение рисков безопасности: применимо ко всем поставщикам модификаций
Проведите формальную физическую и техническую оценку рисков безопасности в соответствии с конфиденциальностью и классификацией информации и активов, которые вам необходимо обрабатывать, хранить, обрабатывать или производить.
Это поможет вам определить и внедрить пропорциональные меры безопасности (включая, помимо прочего, те, которые ожидаются Министерством обороны по контракту) и продемонстрировать, что вы свели к минимуму риск безопасности при проверке со стороны Министерства обороны.
Проверяйте, поддерживайте и обновляйте свои регулярно проводить оценку рисков безопасности.
Если вы уже это сделали, рассмотрите возможность проведения анализа пробелов в отношении ваших средств контроля и средств, предусмотренных Минобороны, сопоставляя их по мере необходимости.
Шаг 2. Безопасность идентифицируемой информации Минобороны: требуется все поставщики модов
Все поставщики оборонной продукции будут хранить, обрабатывать и обрабатывать конфиденциальную идентифицирующую информацию Минобороны (MII) по умолчанию и в соответствии с моделью кибербезопасности (CSM) Партнерства по оборонной киберзащите (DCPP) Минобороны.
Ожидания DCPP в области безопасности CSM — это не просто контрактные обязательства для оборонных предприятий. Контракты Министерства обороны обязывают всех своих субподрядчиков использовать схему DCPP CSM.
Поставщики оборонной продукции должны пройти оценку риска безопасности со стороны своих подрядных организаций с использованием онлайн-портала MODs Octavian, если он доступен (примечание: недавно для этого были введены ручные процессы).
В зависимости от рассчитанного уровня профиля риска, который будет очень низким, низким, средним или высоким, потребуются различные меры безопасности.
Количество и сложность мер безопасности увеличиваются в соответствии с оцененным уровнем профиля риска.
Ожидается, что среди этих элементов управления вы достигнете как минимум Cyber Essentials Basic или, что более вероятно, Cyber Essentials Plus.
Министерство обороны также проводит проверки, чтобы гарантировать, что поставщики оборонной продукции соответствуют требованиям контроля безопасности DCPP CSM.
Любой, у кого есть доступ к MII, должен как минимум пройти проверку безопасности в соответствии с Базовым стандартом безопасности персонала (BPSS).
Шаг 3. Безопасность информации и активов операционной системы: требуется многими поставщиками модификаций
Многим поставщикам оборонной продукции придется хранить, обрабатывать и обрабатывать информацию и активы ОС.
Минобороны должно по контракту обязывать поставщиков соблюдать определенные оборонные контракты (DefCON) и оборонные стандарты (DefStans), применимые к работе с OS, но это может быть случайно пропущено или неожиданно добавлено во время торгов или контрактных периодов.
Физические, кадровые, процедурные и технические меры безопасности для OS требуют дополнительного внимания, а любые системы или активы, которые хранят, обрабатывают и обрабатывают OS, часто нуждаются в официальной аккредитации MOD.
Процесс аккредитации требует дополнительных мер безопасности по сравнению с теми, которые необходимы в рамках процессов CSM DCPP, а также требует доступа и завершения оценки с использованием инструмента обеспечения безопасности Министерства обороны (DART).
Важно помнить, что Требование аккредитации касается не только систем, используемых для хранения, обработки и обработки информации ОС, оно также применимо к информации, активам, возможностям и оборудованию, которые вы также предоставляете Министерству обороны!
Министерство обороны тесно сотрудничает со структурой кибербезопасности Национального института стандартов в технологиях США (NIST CSF), а также недавно опубликовало набор принципов безопасного проектирования, которые призваны заменить процессы аккредитации в будущем.
Любому, кто имеет доступ к информации или активам ОС, требуется как минимум проверка безопасности в соответствии с Базовым стандартом безопасности персонала (BPSS), но часто ожидается также уровень проверки безопасности (SC), особенно для тех, кто имеет привилегии системного администратора.
Шаг 4. Безопасность СЕКРЕТНОЙ (и выше) информации и активов: требуется некоторыми поставщиками модификаций
Организации, которым требуется хранить, обрабатывать, обрабатывать или производить информацию или активы, классифицированные как СЕКРЕТНО (или выше), должны получить допуск к обеспечению безопасности объекта (FSC – ранее известный как Список X), который Министерство обороны первоначально утверждает и периодически проверяет с течением времени.
FSC обычно фокусируется на требованиях контроля физической безопасности и безопасности персонала, включая такие вещи, как видеонаблюдение, автоматизированные системы контроля доступа (AACS) и утвержденные системы сигнализации.
Вашей компании необходимо, чтобы в состав ее Совета директоров входили не менее 50% граждан Великобритании, назначенный контролер безопасности и, при необходимости, сотрудник по ИТ-безопасности (ITSO).
Гражданин Великобритании на уровне совета директоров должен нести ответственность за все вопросы безопасности, связанные с СЕКРЕТНОЙ (или выше) информацией или активами.
Технические меры безопасности для любых систем или активов, которые хранят, обрабатывают и обрабатывают СЕКРЕТНУЮ (и выше) информацию или активы. ) требуют официальной аккредитации Министерства обороны, которая требует доступа и завершения оценки с использованием специальной версии инструмента Министерства обороны по обеспечению рисков (DART).
Процесс аккредитации требует повышенного уровня физического, кадрового, процедурного и технического контроля по сравнению с теми, которые необходимы в рамках процессов DCPP CSM и OS.
Как и в случае с информацией и активами OS, важно помнить, что требование аккредитации касается не только систем, используемых для хранения, обработки и обработки информации OS, оно также применимо к информации, активам, возможностям и оборудованию, которые вы предоставляете МОД тоже!
Министерство обороны тесно сотрудничает со структурой кибербезопасности Национального института стандартов в технологиях США (NIST CSF), а также недавно опубликовало набор принципов безопасного проектирования, которые призваны заменить процессы аккредитации в будущем.
Любой, кому требуется доступ к СЕКРЕТНОЙ информации/активам/средствам, должен как минимум пройти допуск SC.
В настоящее время BPSS разрешает периодический доступ к СЕКРЕТНОЙ информации, но в будущем это может измениться, и это необходимо учитывать при любой официальной оценке рисков безопасности.
Дальнейшая проверка (известная как «Развитая проверка» (DV)) требуется для доступа к любой вышеуказанной СЕКРЕТНОЙ информации/активам/средствам и иногда может ожидаться СЕКРЕТНОЙ в зависимости от вашей роли и привилегированного доступа.
Чем CDS DS может помочь?
Независимо от того, участвуете ли вы в торгах на оборонные контракты или уже по контракту CDS DS может предоставить прагматичную, пропорциональную и экономически эффективную помощь.
У нас есть сертифицированные эксперты по безопасности с многолетним опытом работы в сфере МО, которые могут предоставить консультации по кибербезопасности или поддержку менеджера по виртуальной безопасности, чтобы помочь вам понять и удовлетворить соответствующие требования, ожидания и стандарты безопасности МО, как описано в этой статье.
Мы также может сертифицировать вашу организацию по Cyber Essentials или Cyber Essentials Plus и помочь вам понять и внести улучшения, необходимые для получения сертификации.