Управляемая надежная служба интернет-протокола - Managed Trusted Internet Protocol Service
Управляемая надежная служба интернет-протокола (MTIPS) был разработан Управлением общих служб США (GSA), чтобы позволить федеральным агентствам США физически и логически подключаться к общедоступному Интернету и другим внешним соединениям в соответствии с Управлением управления и бюджета (OMB) Надежное подключение к Интернету (TIC) Инициатива.[1]
MTIPS сократит количество подключений, как это первоначально предписано в мандате TIC, но не сократит количество точек подключения до первоначально заявленной степени. Вместо этого акцент сместился на обеспечение безопасности существующего соединения с использованием архитектуры MTIPS.[2]
Управляемые службы
В Networx Программа облегчает переход к транспортному провайдеру MTIPS для участвующих агентств. Verizon, AT&T и Qwest (сейчас CenturyLink ) являются операторами связи, которые будут участвовать в услугах MTIPS.
Архитектура
Соответствие стандартам
«MTIPS должен соответствовать следующим стандартам, если они применимы и коммерчески доступны. После присуждения контракта подрядчик может предлагать правительству альтернативные варианты без дополнительных затрат, которые соответствуют или превышают положения перечисленных стандартов». [3]
- Применимый Инженерная группа Интернета (IETF) RFC.
- T1.276-2003 Американский национальный стандарт электросвязи - Операции, администрирование, обслуживание и обеспечение требований безопасности для телекоммуникационной сети общего пользования: базовые требования к безопасности для плоскости управления.[4]
- IP / MPLS Форум.
- IEEE
- Форум Metro Ethernet (MEF).
- В Стандарт безопасности данных PCI (PCI DSS).
- Все новые версии, поправки и модификации вышеуказанных документов и стандартов, когда они предлагаются на коммерческой основе.
- Поставщики MTIPS должны соблюдать действующие и будущие правила, политики, требования, стандарты и руководящие принципы в отношении технологий и кибербезопасности Федерального правительства США, включая перечисленные ниже. Подрядчики должны соблюдать новые версии, поправки и модификации документов. Наиболее примечательными из них являются минимальные ожидания для служб безопасности, определенных MTIPS, указанные в этом SOW. После присуждения контракта подрядчик может предложить правительству альтернативные варианты без дополнительных затрат, которые соответствуют требованиям или превышают их.
- Закон об электронном правительстве 2002 г., Раздел III (Федеральный закон об управлении информационной безопасностью (FISMA)).
- NIST Публикация федеральных стандартов обработки информации (FIPS) NIST FIPS PUB 140-2 - Требования безопасности для криптографических модулей.[5]
- NIST FIPS PUB 199 - Стандарты категоризации безопасности федеральных информационных и информационных систем.[6]
- Группа готовности к компьютерным чрезвычайным ситуациям США (US CERT) требования к отчетности. (http://www.us-cert.gov/federal/reportingRequirements.html )
- В Закон о переносимости и подотчетности медицинского страхования стандартов безопасности электронной медицинской информации 1996 г. (HIPAA).
- В Закон Сарбейнса-Оксли 2002 г.
- В Закон о модернизации финансовых услуг Грамма-Лича-Блайли, Паб. L. No. 106-102, 113 Stat. 1338, 12 ноября 1999 г. (GLBA).
- В Стандарт безопасности данных PCI (PCI DSS).
- (отредактировано по ссылке)
- Стандарты включены в раздел контракта Networx C.2.4.3.1.2, Служба совместного размещения (CHS).
- Стандарты включены в раздел контракта Networx C.2.7.3.1.2, услуга виртуальной частной сети на основе IP (NBIP-VPNS).
- Стандарты включены в раздел контракта Networx C.2.10.1.1.2, Managed Firewall Service (MFS).
- Стандарты включены в раздел контракта Networx C.2.10.2.1.2, Служба обнаружения и предотвращения вторжений (IDPS).
- Стандарты включены в раздел контракта Networx C.2.10.4.1.2, Служба управления антивирусами (AVMS).
- Департамент внутренней безопасности Директива управления № 11042, DHS MD11042, 2005 г. (https://fas.org/sgp/othergov/dhs-sbu.html )[7]
- Электронный кодекс федеральных правил, раздел 49, ЧАСТЬ 1520 - Защита конфиденциальной информации безопасности
- IETF RFC 1757 - Информационная база управления удаленным сетевым мониторингом.
- Пакет документов NIST для проведения C&A.
- SP 800-18 Ред. 1 - Руководство по разработке планов безопасности для федеральных информационных систем.
- SP 800-30 - Руководство по управлению рисками для систем информационных технологий.
- СП 800-34 - Руководство по планированию непредвиденных обстоятельств для систем информационных технологий.
- СП 800-37 - Руководство по сертификации безопасности и аккредитации федеральных информационных систем.
- SP 800-53 Ред. 2 - Рекомендуемые меры безопасности для федеральных информационных систем.
- Приложение 3 к SP 800-53 Ред. 2 - Исходные условия для сильного воздействия.
- SP 800-53 A - Руководство по оценке мер безопасности в федеральных информационных системах.
- SP 800-59 - Руководство по определению информационной системы как системы национальной безопасности.
- SP 800-60 - Руководство по сопоставлению типов информации и информационных систем с категориями безопасности.
- СП 800-64 Ред. 1 - Соображения безопасности в жизненном цикле разработки информационных систем.
- SP 800-84 - Руководство по программам тестирования, обучения и упражнений для ИТ-планов и возможностей.
- Обозначение и обмен контролируемой несекретной информацией (CUI), http://www.whitehouse.gov/news/releases/2008/05/20080509-6.html * Все коммерчески доступные стандарты для любых применимых базовых услуг доступа и транспорта.
- Памятка OMB M-05-22 - Планирование перехода для Интернет-протокола версии 6 (IPv6).
Рекомендации
- ^ MTIPS: изменение ландшафта Джефф Эрлихман, правительственные компьютерные новости
- ^ План безопасности в Интернете в США обновлен Кэролайн Даффи Марсан, Network World
- ^ Положение о работе сетевой управляемой надежной службы интернет-протокола (MTIPS) (отредактировано) В архиве 2009-05-09 на Wayback Machine (PDF) Networx MTIPS SOW, gsa.gov (ссылка: февраль 2010 г.)
- ^ Требования к безопасности при эксплуатации, администрировании, техническом обслуживании и обеспечении (OAM & P) для телекоммуникационной сети общего пользования: базовый уровень требований безопасности для плоскости управления (PDF) NSTAC, (ссылка февраль 2010 г.)
- ^ [1] (PDF) NIST FIPS PUB 140-2
- ^ [2] (PDF) ПАБ 199
- ^ [3] (PDF) DHS MD11042.1, заменяет процитированный DHS MD11042