Оповещение об уязвимости для обеспечения гарантии информации - Information assurance vulnerability alert

An предупреждение об уязвимости, обеспечивающей безопасность информации (IAVA) это объявление компьютера программное обеспечение или же Операционная система уязвимость уведомление в виде предупреждений, бюллетеней и технических рекомендаций, определенных US-CERT, https://www.us-cert.gov/ US-CERT управляется Национальным центром интеграции кибербезопасности и коммуникаций (NCCIC), который является частью Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США (DHS). CISA, в который входит Национальный центр интеграции кибербезопасности и коммуникаций (NCCIC), реорганизовала свою организационную структуру в 2017 году, интегрировав аналогичные функции, ранее выполнявшиеся независимо Группой готовности к компьютерным чрезвычайным ситуациям США (US-CERT) и Группой реагирования на кибербезопасности промышленных систем управления (ICS). -CERT) .Эти выбранные уязвимости являются обязательными исходный уровень, или минимальная конфигурация всех хостов, находящихся на GIG. US-CERT анализирует каждый уязвимость и определяет, необходимо ли это или полезно для Министерство обороны выпустить его как IAVA. Реализация политики IAVA поможет гарантировать, что DoD Компоненты принимают соответствующие меры по снижению уязвимостей, чтобы избежать серьезных нарушений DoD ресурсы компьютерной системы, которые потенциально могут снизить производительность миссии.

Программа управления информационными уязвимостями (IAVM)

Команды комбатантов, службы, агентства и полевые операции необходимы для внедрения уведомлений об уязвимостях в форме предупреждений, бюллетеней и технических рекомендаций. USCYBERCOM имеет право направлять корректирующие действия, которые в конечном итоге могут включать отключение любого анклава или затронутой системы в анклаве, несоответствие программным директивам IAVA и мерам реагирования на уязвимости (т. е. приказы или сообщения о передаче задач). USCYBERCOM будет координировать свои действия со всеми затронутыми организациями для определения оперативного воздействия на DoD до отключения.

Фон

16 ноября 2018 года президент Трамп подписал закон Закон о кибербезопасности и безопасности инфраструктуры от 2018 г.. Этот знаменательный закон повысил миссию бывшего Управления национальной защиты и программ (NPPD) в Министерстве внутренней безопасности (DHS) и учредил CISA, в который входит Национальный центр интеграции кибербезопасности и коммуникаций (NCCIC). В 2017 году NCCIC реорганизовала свою организационную структуру, интегрировав аналогичные функции, которые ранее выполнялись независимо Группой готовности к компьютерным чрезвычайным ситуациям США (US-CERT) и Группой реагирования на кибербезопасности промышленных систем управления (ICS-CERT). Согласно меморандуму, система оповещения должна :

  • Определите системного администратора, который будет контактным лицом для каждой соответствующей сетевой системы,
  • Отправлять уведомления о тревоге каждому контактному лицу,
  • Требовать подтверждения от каждого контактного лица, подтверждающего получение каждого оповещения,
  • Установите дату выполнения корректирующих действий и включите DISA чтобы подтвердить, было ли внесено исправление.

В Заместитель министра обороны 30 декабря 1999 г. выпустила меморандум о предупреждении об уязвимостях в области обеспечения безопасности информации (IAVA). Текущие события того времени продемонстрировали, что во всех сетях Министерства обороны существуют широко известные уязвимости, способные серьезно ухудшить производительность миссии. Политический меморандум инструктирует DISA разработать и поддерживать IAVA база данных система, которая обеспечит механизм положительного контроля для системных администраторов, чтобы получать, подтверждать и соблюдать уведомления об ошибках в системе. Политика IAVA требует Компонентные команды, Услуги и Агентства, чтобы зарегистрировать и сообщить о своем признании и соблюдении IAVA база данных. Согласно меморандуму о политике, данные о соответствии, которые должны быть сообщены, должны включать количество затронутых активов, количество активов, соответствующих требованиям, и количество активов, для которых предусмотрены исключения.

Смотрите также

внешняя ссылка

  • [1] Офис генерального инспектора, Министерство обороны США по соблюдению политики оповещения об уязвимостях, декабрь 2001 г.
  • [2] Председатель Объединенного комитета начальников штабов, 6510.01E, август 2007 г.
  • Схема политики DoD IA Схема политики DoD IA
  • [3] Сайт IAVA