Уязвимость информации обеспечения оповещения ( IAVA ) является анонс компьютера прикладного программного обеспечения или операционной системы уязвимости уведомления в виде предупреждений, бюллетеней и технических консультативных идентифицированных US-CERT, https://www.us-cert.gov/US-CERT управляется Национальным центром интеграции кибербезопасности и коммуникаций (NCCIC), который является частью Агентства по кибербезопасности и безопасности инфраструктуры (CISA) при Министерстве внутренней безопасности США (DHS). CISA, в который входит Национальный центр интеграции кибербезопасности и коммуникаций (NCCIC), реорганизовала свою организационную структуру в 2017 году, интегрировав аналогичные функции, ранее выполнявшиеся независимо Группой готовности к компьютерным чрезвычайным ситуациям США (US-CERT) и Группой реагирования на кибербезопасности промышленных систем управления (ICS -СЕРТ). Эти выбранные уязвимости являются обязательной базовой или минимальной конфигурацией всех хостов, находящихся в GIG . US-CERT анализирует каждую уязвимость и определяет, является ли она необходимой или выгодной дляМинистерство обороны выпустит его как IAVA. Внедрение политики IAVA поможет гарантировать, что Компоненты DoD предпримут соответствующие действия по снижению уязвимостей, чтобы избежать серьезных нарушений активов компьютерной системы DoD , которые потенциально могут снизить производительность миссии.
Программа управления информационными уязвимостями (IAVM)
Команды , службы, агентства и полевые операции комбатантов должны внедрять уведомления об уязвимостях в форме предупреждений, бюллетеней и технических рекомендаций. USCYBERCOM имеет право направлять корректирующие действия, которые в конечном итоге могут включать отключение любого анклава или затронутой системы в анклаве, не в соответствии с директивами программы IAVA и мерами реагирования на уязвимости (т. Е. Приказами или сообщениями о передаче задач). USCYBERCOM будет координировать свои действия со всеми затронутыми организациями, чтобы определить операционное воздействие на Министерство обороны, прежде чем отключать соединение.
Задний план
16 ноября 2018 года президент Трамп подписал Закон о кибербезопасности и агентстве безопасности инфраструктуры 2018 года . Этот знаменательный закон повысил миссию бывшего Управления национальной защиты и программ (NPPD) в рамках Министерства внутренней безопасности (DHS) и учредил CISA, в который входит Национальный центр интеграции кибербезопасности и коммуникаций (NCCIC). В 2017 году NCCIC реорганизовала свою организационную структуру, интегрировав аналогичные функции, ранее выполнявшиеся независимо американской группой готовности к компьютерным чрезвычайным ситуациям (US-CERT) и группой реагирования на кибербезопасные ситуации промышленных систем управления (ICS-CERT). Согласно меморандуму, система оповещения должна:
- Определите системного администратора, который будет контактным лицом для каждой соответствующей сетевой системы,
- Отправлять уведомления о тревоге каждому контактному лицу,
- Требовать подтверждения от каждого контактного лица, подтверждающего получение каждого оповещения,
- Установите дату выполнения корректирующего действия и дайте возможность DISA подтвердить, было ли выполнено исправление.
Заместитель министр обороны издал Обеспечение информации об уязвимости Alert (Iava) политика меморандуме 30 декабря 1999 г. Текущих событий того времени показали , что широко известные уязвимости существуют во сетях Министерство обороны, с потенциалом к значительному снижению производительности миссии. Меморандум о политике предписывает DISA разработать и поддерживать систему баз данных IAVA , которая обеспечила бы механизм положительного контроля для системных администраторов, чтобы получать, подтверждать и соблюдать уведомления о предупреждениях об уязвимостях системы. Политика IAVA требует, чтобы команды компонентов , службы и агентства регистрировались и сообщали о своем признании и соответствии с базой данных IAVA . Согласно меморандуму о политике, данные о соответствии, которые должны быть сообщены, должны включать количество затронутых активов, количество активов, соответствующих требованиям, и количество активов, для которых имеются исключения.
Смотрите также
Внешние ссылки
- [1] Офис генерального инспектора, Министерство обороны США по вопросам соблюдения политики оповещения об уязвимостях, декабрь 2001 г.
- [2] Председатель Объединенного комитета начальников штабов, 6510.01E, август 2007 г.
- Диаграмма политики DoD IA Диаграмма политики DoD IA
- [3] Сайт IAVA