Управляемая надежная служба интернет-протокола - Managed Trusted Internet Protocol Service

Управляемая надежная служба интернет-протокола (MTIPS) был разработан Управлением общих служб США (GSA), чтобы позволить федеральным агентствам США физически и логически подключаться к общедоступному Интернету и другим внешним соединениям в соответствии с Управлением управления и бюджета (OMB) Надежное подключение к Интернету (TIC) Инициатива.[1]

MTIPS сократит количество подключений, как это первоначально предписано в мандате TIC, но не сократит количество точек подключения до первоначально заявленной степени. Вместо этого акцент сместился на обеспечение безопасности существующего соединения с использованием архитектуры MTIPS.[2]

Управляемые службы

В Networx Программа облегчает переход к транспортному провайдеру MTIPS для участвующих агентств. Verizon, AT&T и Qwest (сейчас CenturyLink ) являются операторами связи, которые будут участвовать в услугах MTIPS.

Архитектура

Соответствие стандартам

«MTIPS должен соответствовать следующим стандартам, если они применимы и коммерчески доступны. После присуждения контракта подрядчик может предлагать правительству альтернативные варианты без дополнительных затрат, которые соответствуют или превышают положения перечисленных стандартов». [3]

  • Применимый Инженерная группа Интернета (IETF) RFC.
  • T1.276-2003 Американский национальный стандарт электросвязи - Операции, администрирование, обслуживание и обеспечение требований безопасности для телекоммуникационной сети общего пользования: базовые требования к безопасности для плоскости управления.[4]
  • IP / MPLS Форум.
  • IEEE
  • Форум Metro Ethernet (MEF).
  • В Стандарт безопасности данных PCI (PCI DSS).
  • Все новые версии, поправки и модификации вышеуказанных документов и стандартов, когда они предлагаются на коммерческой основе.
  • Поставщики MTIPS должны соблюдать действующие и будущие правила, политики, требования, стандарты и руководящие принципы в отношении технологий и кибербезопасности Федерального правительства США, включая перечисленные ниже. Подрядчики должны соблюдать новые версии, поправки и модификации документов. Наиболее примечательными из них являются минимальные ожидания для служб безопасности, определенных MTIPS, указанные в этом SOW. После присуждения контракта подрядчик может предложить правительству альтернативные варианты без дополнительных затрат, которые соответствуют требованиям или превышают их.
  • Закон об электронном правительстве 2002 г., Раздел III (Федеральный закон об управлении информационной безопасностью (FISMA)).
  • NIST Публикация федеральных стандартов обработки информации (FIPS) NIST FIPS PUB 140-2 - Требования безопасности для криптографических модулей.[5]
  • NIST FIPS PUB 199 - Стандарты категоризации безопасности федеральных информационных и информационных систем.[6]
  • Группа готовности к компьютерным чрезвычайным ситуациям США (US CERT) требования к отчетности. (http://www.us-cert.gov/federal/reportingRequirements.html )
  • В Закон о переносимости и подотчетности медицинского страхования стандартов безопасности электронной медицинской информации 1996 г. (HIPAA).
  • В Закон Сарбейнса-Оксли 2002 г.
  • В Закон о модернизации финансовых услуг Грамма-Лича-Блайли, Паб. L. No. 106-102, 113 Stat. 1338, 12 ноября 1999 г. (GLBA).
  • В Стандарт безопасности данных PCI (PCI DSS).
  • (отредактировано по ссылке)
  • Стандарты включены в раздел контракта Networx C.2.4.3.1.2, Служба совместного размещения (CHS).
  • Стандарты включены в раздел контракта Networx C.2.7.3.1.2, услуга виртуальной частной сети на основе IP (NBIP-VPNS).
  • Стандарты включены в раздел контракта Networx C.2.10.1.1.2, Managed Firewall Service (MFS).
  • Стандарты включены в раздел контракта Networx C.2.10.2.1.2, Служба обнаружения и предотвращения вторжений (IDPS).
  • Стандарты включены в раздел контракта Networx C.2.10.4.1.2, Служба управления антивирусами (AVMS).
  • Департамент внутренней безопасности Директива управления № 11042, DHS MD11042, 2005 г. (https://fas.org/sgp/othergov/dhs-sbu.html )[7]
  • Электронный кодекс федеральных правил, раздел 49, ЧАСТЬ 1520 - Защита конфиденциальной информации безопасности
  • IETF RFC 1757 - Информационная база управления удаленным сетевым мониторингом.
  • Пакет документов NIST для проведения C&A.
    • SP 800-18 Ред. 1 - Руководство по разработке планов безопасности для федеральных информационных систем.
    • SP 800-30 - Руководство по управлению рисками для систем информационных технологий.
    • СП 800-34 - Руководство по планированию непредвиденных обстоятельств для систем информационных технологий.
    • СП 800-37 - Руководство по сертификации безопасности и аккредитации федеральных информационных систем.
    • SP 800-53 Ред. 2 - Рекомендуемые меры безопасности для федеральных информационных систем.
    • Приложение 3 к SP 800-53 Ред. 2 - Исходные условия для сильного воздействия.
    • SP 800-53 A - Руководство по оценке мер безопасности в федеральных информационных системах.
    • SP 800-59 - Руководство по определению информационной системы как системы национальной безопасности.
    • SP 800-60 - Руководство по сопоставлению типов информации и информационных систем с категориями безопасности.
    • СП 800-64 Ред. 1 - Соображения безопасности в жизненном цикле разработки информационных систем.
    • SP 800-84 - Руководство по программам тестирования, обучения и упражнений для ИТ-планов и возможностей.
  • Обозначение и обмен контролируемой несекретной информацией (CUI), http://www.whitehouse.gov/news/releases/2008/05/20080509-6.html * Все коммерчески доступные стандарты для любых применимых базовых услуг доступа и транспорта.
  • Памятка OMB M-05-22 - Планирование перехода для Интернет-протокола версии 6 (IPv6).

Рекомендации