Alert dotyczący luki w zabezpieczeniach zapewniania informacji

Alert dotyczący luki w zabezpieczeniach ( IAVA ) to powiadomienie o luce w oprogramowaniu komputerowym lub systemie operacyjnym w formie alertów, biuletynów i porad technicznych zidentyfikowanych przez US-CERT, https://www.us-cert.gov/ US-CERT jest zarządzany przez Narodowe Centrum Integracji Cyberbezpieczeństwa i Komunikacji (NCCIC), które jest częścią Agencji Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) w Departamencie Bezpieczeństwa Wewnętrznego USA (DHS). CISA, w skład którego wchodzi Narodowe Centrum Integracji Cyberbezpieczeństwa i Komunikacji (NCCIC), przeorganizowało swoją strukturę organizacyjną w 2017 r., integrując podobne funkcje, które wcześniej były wykonywane niezależnie przez amerykański zespół ds. -CERT). Te wybrane luki w zabezpieczeniach stanowią obowiązkowy punkt odniesienia , czyli minimalna konfiguracja wszystkich hostów rezydujących na GIG . US-CERT analizuje każdą lukę i określa, czy ujawnienie jej jako IAVA jest konieczne lub korzystne dla Departamentu Obrony . Wdrożenie polityki IAVA pomoże zapewnić, że Komponenty DoD podejmą odpowiednie działania ograniczające luki w zabezpieczeniach, aby uniknąć poważnych naruszeń zasobów systemu komputerowego DoD , które potencjalnie pogorszyłyby wydajność misji.

Program zarządzania lukami w zabezpieczeniach zapewniania informacji (IAVM).

Dowództwa kombatantów , służby, agencje i działania terenowe są zobowiązane do wdrażania powiadomień o lukach w zabezpieczeniach w formie alertów, biuletynów i porad technicznych. USCYBERCOM ma uprawnienia do kierowania działaniami naprawczymi, które ostatecznie mogą obejmować odłączenie dowolnej enklawy lub systemu, którego dotyczy problem, w enklawie, niezgodnie z wytycznymi programu IAVA i środkami reagowania na luki w zabezpieczeniach (tj. rozkazami lub komunikatami dotyczącymi zadań komunikacyjnych). USCYBERCOM będzie koordynować działania ze wszystkimi zainteresowanymi organizacjami w celu określenia wpływu operacyjnego na DoD przed dokonaniem rozłączenia.

Tło

16 listopada 2018 roku Prezydent Trump podpisał ustawę o Agencji Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury z 2018 roku . Ta przełomowa ustawa podniosła misję byłej Dyrekcji Ochrony Narodowej i Programów (NPPD) w Departamencie Bezpieczeństwa Wewnętrznego (DHS) i ustanowiła CISA, która obejmuje Narodowe Centrum Integracji Cyberbezpieczeństwa i Komunikacji (NCCIC). NCCIC przeorganizowało swoją strukturę organizacyjną w 2017 r., integrując podobne funkcje, które wcześniej były wykonywane niezależnie przez zespół US Computer Emergency Readiness Team (US-CERT) i Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Zgodnie z memorandum system ostrzegania powinien:

Zidentyfikuj administratora systemu, który będzie punktem kontaktowym dla każdego odpowiedniego systemu sieciowego,
Wysyłaj powiadomienia o alertach do każdego punktu kontaktowego,
Wymagać od każdego punktu kontaktowego potwierdzenia otrzymania każdego powiadomienia o zagrożeniu,
Ustal datę wdrożenia działań korygujących i pozwól firmie DISA potwierdzić, czy korekta została wdrożona.

Zastępca Sekretarza Obrony wydał 30 grudnia 1999 r. memorandum dotyczące polityki dotyczącej alertów dotyczących zapewniania informacji (IAVA). Bieżące wydarzenia w tamtym czasie pokazały, że w sieciach Departamentu Obrony istnieją powszechnie znane luki, które mogą poważnie pogorszyć wydajność misji. Memorandum polityczne instruuje DISA , aby opracowała i utrzymywała system bazy danych IAVA , który zapewniłby mechanizm pozytywnej kontroli dla administratorów systemu w celu otrzymywania, potwierdzania i przestrzegania powiadomień o alertach o lukach w zabezpieczeniach systemu. Zasady IAVA wymagają poleceń składowych , Usługi i Agencje do rejestracji i zgłaszania uznania i zgodności z bazą danych IAVA . Zgodnie z memorandum politycznym dane dotyczące zgodności, które należy zgłosić, powinny obejmować liczbę aktywów, których to dotyczy, liczbę aktywów zgodnych oraz liczbę aktywów objętych zwolnieniami.

Zobacz też

Linki zewnętrzne

[1] Biuro Generalnego Inspektora, DoD Compliance with the Information Assurance Vulnerability Alert Policy, grudzień 2001.
[2] Przewodniczący Kolegium Połączonych Szefów Sztabów Instrukcja, 6510.01E, sierpień 2007.
Wykres polityki DoD IA Wykres polityki DoD IA
[3] Witryna IAVA