XiaoMi-AI文件搜索系统
World File Search System国家安全系统
国家安全系统空间段网络安全概况 - 修订版 A
我们提出了一种网络安全概况方法,用于定义和执行针对空间系统空间段的威胁风险评估。所描述的网络安全概况方法充分利用了航空航天公司 (Aerospace) 的空间攻击研究和战术分析 (SPARTA) 框架内公开发布的内容,以展示定制国家安全系统委员会指令 (CNSSI) No. 1253 空间平台覆盖的理由。这种以威胁为中心的分析创建了对空间平台覆盖的独特定制,并有助于提供名义上的最大控制基线,系统安全工程可以根据该基线在签订合同之前更有效地定义网络安全要求。我们还提出了基于 SPARTA 名义风险评分的国家安全系统名义上最小控制基线。如果空间段收购没有控制定制的常驻专业知识,这种最小基线方法将有所帮助。基线中引用的所有控制在 SPARTA 网站上都有示例收购要求,以帮助创建合同、指导开发和为控制实施的准确评估提供信息。
DoDI 8330.01,信息技术互操作性,包括国家安全系统,2022 年 9 月 27 日
(DIRNSA/CHCSS)................................................................................................................ 13 2.8. 国家地理空间局局长........................................................................................................................ 14 2.9. 国防部副部长(主计长)/国防部首席财务官............................................................................................................. 15 2.10. 负责国土防御和全球安全的助理国防部长................................................................................... 15 2.11. DCAPE。............................................................................................................................. 15 2.12. DOT&E。............................................................................................................................. 16 2.13. OSD 各部门负责人、MILDEP 部长、CCDR 以及 DAFA 主任............................................................................................................. 17 2.14. 参谋长联席会议主席................................................................................................................... 19 2.15. CCDR。 ........................................................................................................................... 20 第 3 部分:程序 .......................................................................................................................... 21
DoDI 8330.01,信息技术互操作性,包括国家安全系统,2022 年 9 月 27 日
第 3 部分:程序 ................................................................................................................................ 21 3.1. 概述。 ................................................................................................................................ 21 3.2. 互操作性要求识别。 ............................................................................................................ 21 3.3. Net-Ready 认证流程。 ............................................................................................................ 23 3.4. ISP 流程 ............................................................................................................................. 23 a. 概述。 ............................................................................................................................. 23 b. 开发和提交 ............................................................................................................................. 24 c. 审查和批准。 ............................................................................................................................. 25 3.5. 其他自适应采购框架途径要求。 ............................................................................................. 25 a. 概述。 ............................................................................................................................. 25 b. 开发和提交 ............................................................................................................................. 26 c. 审查和批准。 .............................................................................................................
软件物料清单 (SBOM) 管理建议
整个联邦政府都应实施这一战略。[2] 第 8 号国家安全备忘录 (NSM-8) 以第 14028 号行政令为基础,将职责分配给国家安全经理,并指出了国家安全系统所需的其他要求。[3] 另外,第 14017 号行政命令:《关于美国供应链的行政命令》侧重于加强美国供应链的弹性,[4] 国防部第 5200.44 号指令则侧重于国防部在 SCRM 方面的工作。[5] 国家安全系统委员会指令 (CNSSD) 505 的进一步指示分配了职责,并为持续开发、部署和维持旨在保护 NSS 的 SCRM 项目建立了最低标准。[6]
软件物料清单 (SBOM) 管理建议
整个联邦政府都应实施这一战略。[2] 第 8 号国家安全备忘录 (NSM-8) 以第 14028 号行政令为基础,将职责分配给国家安全经理,并指出了国家安全系统所需的其他要求。[3] 另外,第 14017 号行政命令:《关于美国供应链的行政命令》侧重于加强美国供应链的弹性,[4] 国防部第 5200.44 号指令则侧重于国防部在 SCRM 方面的工作。[5] 国家安全系统委员会指令 (CNSSD) 505 的进一步指示分配了职责,并为持续开发、部署和维持旨在保护 NSS 的 SCRM 项目建立了最低标准。[6]
DR 3540-004
主要信息技术投资的定义;非硕士IT投资,如DR 3130-009中定义的非硕士信息技术(IT)投资;以及由USDA使用,或代表USDA使用或操作的微型购买; (4)这些系统或服务从USDA拥有或运营的设施。这包括承包商,分包商或其他组织代表USDA运营的第三方。b。本政策中没有什么可以改变保护国家安全系统或信息的要求。其中包括2014年《联邦信息安全现代化法》(FISMA)和国家安全系统(CNSS)政策,指令,指令和标准以及情报社区政策,指令和指示的政策。
DCSA 评估和授权流程手册版本...
联邦机构,包括国防部 (DoD)、特殊访问计划 (SAP) 和情报机构,正在采用共同的准则来简化和建立互惠机制评估和授权 (A&A) 流程,以前称为认证和认可 (C&A)。DAAPM 将 DCSA C&A 流程过渡到风险管理框架 (RMF),该框架适用于已获批准的承包商,该框架由国防部于 2016 年 5 月 18 日发布的 5220.22-M 第 2 号变更《国家工业安全计划操作手册》(NISPOM) 制定。DAAPM 实施以下出版物中的 RMF 流程和准则:美国国家标准与技术研究所 (NIST) 特别出版物 (SP) 800-37,修订版 2,信息系统和组织的风险管理框架 - 安全和隐私的系统生命周期方法;NIST SP 800-53,版本 4,联邦信息系统和组织的安全和隐私控制; NIST SP 800-53A,修订版 4,评估联邦信息系统和组织中的安全和隐私控制;国家安全系统委员会指令 (CNSSI) 第 1253 号,国家安全系统的安全分类和控制选择;国家安全系统委员会指令 (CNSSD) 504,保护国家安全系统免受内部威胁的指令。DAAPM 还纳入了 NISPOM 中定义的内部威胁最低要求,这些要求与 Execu 的要求一致
TAB A DHA-AI 3000.01
(g) 国防部财务管理条例 7000.14-R,2011 年 6 月,经修订 (h) 美国法典,第 40 篇,第 1401 节,第 III 部分,(前身为 1996 年克林格-科恩法案),1996 年 2 月 10 日 (i) 国防部指令 5000.02,“国防采购系统的运行”,2015 年 1 月 7 日,经修订 (j) 美国法典,第 10 篇,第 2222(i) 节 (k) 国防部指令 8000.01,“国防部信息企业 (DoD IE) 的管理”,2016 年 3 月 17 日,经修订 (l) 国防部指令 8510.01,“国防部信息技术 (IT) 的风险管理框架 (RMF)”,2014 年 3 月 12 日,经修订 (m) 国家安全系统委员会指令4009,“国家安全系统委员会 (CNSS) 词汇表”,2015 年 4 月 6 日
DTM-24-001,“国防部针对云服务产品开展的网络安全活动”,2024 年 2 月 27 日
参谋长联席会议主席手册 6510.01,“网络事件处理计划”,当前版本 国家安全系统委员会政策 32,“云计算政策”,2022 年 5 月 参谋长联席会议主席执行命令,“实施网络空间作战指挥与控制的执行命令修改”,2014 年 11 月 14 日 联邦法规,第 36 篇,第 1222.32 节 国家安全系统委员会指令第 4009 号,“国家安全系统委员会 (CNSS) 词汇表”,2022 年 3 月 2 日 国防联邦采购条例补充,第 204.73 节,当前版本 国防信息系统局,“国防部云计算安全要求指南”,当前版本 1 国防部副首席信息官,“国防部架构框架 2.02 版”,2010 年 8 月 2 国防部指令 5106.01,“国防部监察长(IG DOD)”,2012 年 4 月 20 日,经修订 国防部指令 5144.02,“国防部首席信息官(DoD CIO)”,2014 年 11 月 21 日,经修订 国防部指令 5205.16,“国防部内部威胁计划”,2014 年 9 月 30 日,经修订 国防部指令 8000.01,“国防部信息企业管理(DoD IE)”,2016 年 3 月 17 日,经修订 国防部指令 5200.48,“受控非机密信息(CUI)”,2020 年 3 月 6 日 国防部指令 8330.01,“信息技术的互操作性,包括国家安全系统”,2022 年 9 月 27 日 国防部指令 8500.01,“网络安全”,2014 年 3 月 14 日,经修订 国防部指令8530.01,“网络安全活动支持国防部信息网络作战”,2016 年 3 月 7 日,经修订 国防部指令 8530.03,“网络事件响应”,2023 年 8 月 9 日 国防部指令 8531.01,“国防部漏洞管理”,2020 年 9 月 15 日 国防部指令 8582.01,“处理未分类的非公开国防部信息的非国防部信息系统的安全性”,2019 年 12 月 9 日 国防部手册 8530.01,“网络安全活动支持程序”,2023 年 5 月 31 日 第 14028 号行政命令,“改善国家网络安全”,2021 年 5 月 12 日 美国国家标准与技术研究院特别出版物,“NIST 云计算参考架构”,2011 年 9 月
执行摘要
联邦机构,包括国防部 (DoD)、特殊访问计划 (SAP) 和情报界,正在采用共同的准则来简化和建立互惠机制评估和授权 (A&A) 流程,以前称为认证和认可 (C&A)。DAAPM 将 DCSA C&A 流程过渡到风险管理框架 (RMF),该框架适用于已获批准的承包商,该框架由国防部于 2016 年 5 月 18 日发布的第 5220.22-M 号变更 2《国家工业安全计划操作手册》(NISPOM) 制定。DAAPM 实施以下出版物中的 RMF 流程和准则:美国国家标准与技术研究所 (NIST) 特别出版物 (SP) 800-37,修订版 2,信息系统和组织的风险管理框架 - 安全和隐私的系统生命周期方法;NIST SP 800-53,版本 4,联邦信息系统和组织的安全和隐私控制; NIST SP 800-53A,修订版 4,评估联邦信息系统和组织中的安全和隐私控制;国家安全系统委员会指令 (CNSSI) 第 1253 号,国家安全系统的安全分类和控制选择;以及国家安全系统委员会指令 (CNSSD) 504,关于保护国家安全系统免受内部威胁的指令。DAAPM 还结合了 NISPOM 中定义的内部威胁最低要求,这些要求与第 13587 号行政命令《结构改革以提高机密网络安全性和负责任地共享机密信息》和总统备忘录《国家内部威胁政策和行政部门威胁计划最低标准》的要求一致。这些核心文件的变更将通过本手册第 2 节概述的变更管理流程纳入其中。