Information Systems Vulnerability Information

Designation-Nachweise

• NARA Behördenzeile: 44 USC 3554 (siehe OMB M-24-04 für Umsetzungshinweise) | Status: Basic | Banner: CUI.
• Zugehöriger Behördennachweis: 44 USC 3554 (siehe OMB M-24-04 für Umsetzungshinweise) | Status: Basic | Banner: CUI

Extrahierte Bedeutung der Befugnis

Keine gelistet

Betriebsbedingungen

• Mit dieser Behörde verwendeter NARA-Kategoriescope: Bezieht sich auf Informationen, deren fehlender Schutz zu nachteiligen Auswirkungen auf Informationssysteme führen könnte. Informationssystem bedeutet eine abgegrenzte Menge an Informationsressourcen, die für Sammlung, Verarbeitung, Wartung, Nutzung, Weitergabe, Verbreitung oder Entsorgung von Informationen organisiert sind.
• 44 USC 3554 (siehe OMB M-24-04 für Umsetzungshinweise) | Status: Basic | Banner: CUI
• NARA-Registerstatus: Basic. Statuswerte pro Behörde: Basic. Nachweis der NARA-Banner-Markierung: CUI. Die Registernachweise sind hier erhalten; eine detaillierte Analyse des Primärrechts oder der Vorschrift bleibt für diese Kategorie ausstehend.
• NARA Kategoriescope: Bezieht sich auf Informationen, deren fehlender Schutz zu nachteiligen Auswirkungen auf Informationssysteme führen könnte. Informationssystem bedeutet eine abgegrenzte Menge an Informationsressourcen, die für Sammlung, Verarbeitung, Wartung, Nutzung, Weitergabe, Verbreitung oder Entsorgung von Informationen organisiert sind.

Schutz- und Weitergabekontrollen

• NARA Registry Kontrollnachweis: Status Basic; Banner-Markierung CUI.
• Nara Basis oder Spezifiert: Basis
• NARA-Befugniszeilen: 44 USC 3554 (siehe OMB M-24-04 für Umsetzungsleitlinien) | Status: Basis | Banner: CUI || 44 USC 3555(f) | Status: Basis | Banner: CUI
• Nara-Banner-Markierungen: CUI
• Anwendbare Dod-Richtlinien: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• Keine vom DoD vorgeschriebene Verbreitungskontrolle auf der Registrierungsseite aufgelistet. Genehmigte begrenzte Verbreitungskontrollen nur anwenden, wenn sie von der designierenden Behörde oder der geltenden Autorität verlangt oder erlaubt werden.
• Verwenden Sie zunächst die Registry-Aussagen, NARA-Autoritätszeilen, DoD-Autoritäten, DoD-Richtlinien, Warnhinweise, erforderliche Verbreitungskontrollen und Beispiele. Wenn die zitierte Autorität keine Handhabungsdetails spezifiziert, gelten CUI Basic-Schutzmaßnahmen und Verbreitungsregeln, sofern sie nicht mit der Autorität oder agenturenspezifischen Kontrollen in Konflikt stehen.

Designation-Nachweise

• NARA Behördenzeile: 44 USC 3555(f) | Status: Basic | Banner: CUI.
• Zugehöriger Behördennachweis: 44 USC 3555(f) | Status: Basic | Banner: CUI

Extrahierte Bedeutung der Befugnis

Keine gelistet

Betriebsbedingungen

• Mit dieser Behörde verwendeter NARA-Kategoriescope: Bezieht sich auf Informationen, deren fehlender Schutz zu nachteiligen Auswirkungen auf Informationssysteme führen könnte. Informationssystem bedeutet eine abgegrenzte Menge an Informationsressourcen, die für Sammlung, Verarbeitung, Wartung, Nutzung, Weitergabe, Verbreitung oder Entsorgung von Informationen organisiert sind.
• 44 USC 3555(f) | Status: Basic | Banner: CUI
• NARA-Registerstatus: Basic. Statuswerte pro Behörde: Basic. Nachweis der NARA-Banner-Markierung: CUI. Die Registernachweise sind hier erhalten; eine detaillierte Analyse des Primärrechts oder der Vorschrift bleibt für diese Kategorie ausstehend.
• NARA Kategoriescope: Bezieht sich auf Informationen, deren fehlender Schutz zu nachteiligen Auswirkungen auf Informationssysteme führen könnte. Informationssystem bedeutet eine abgegrenzte Menge an Informationsressourcen, die für Sammlung, Verarbeitung, Wartung, Nutzung, Weitergabe, Verbreitung oder Entsorgung von Informationen organisiert sind.

Schutz- und Weitergabekontrollen

• NARA Registry Kontrollnachweis: Status Basic; Banner-Markierung CUI.
• Nara Basis oder Spezifiert: Basis
• NARA-Befugniszeilen: 44 USC 3554 (siehe OMB M-24-04 für Umsetzungsleitlinien) | Status: Basis | Banner: CUI || 44 USC 3555(f) | Status: Basis | Banner: CUI
• Nara-Banner-Markierungen: CUI
• Anwendbare Dod-Richtlinien: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• Keine vom DoD vorgeschriebene Verbreitungskontrolle auf der Registrierungsseite aufgelistet. Genehmigte begrenzte Verbreitungskontrollen nur anwenden, wenn sie von der designierenden Behörde oder der geltenden Autorität verlangt oder erlaubt werden.
• Verwenden Sie zunächst die Registry-Aussagen, NARA-Autoritätszeilen, DoD-Autoritäten, DoD-Richtlinien, Warnhinweise, erforderliche Verbreitungskontrollen und Beispiele. Wenn die zitierte Autorität keine Handhabungsdetails spezifiziert, gelten CUI Basic-Schutzmaßnahmen und Verbreitungsregeln, sofern sie nicht mit der Autorität oder agenturenspezifischen Kontrollen in Konflikt stehen.

Designation-Nachweise

• DoD Behördenzeile: 44 USC 3554 - 3555. DoD führt dieses Zitat für die Kategorie auf; diese DoD-Detailseite zeigt kein separates Basic/Specified-Feld an.
• Beleg zur verwandten Autorität: DoD führt diese Autorität für die Kategorie auf; der verlinkte Autoritätstext wird unten extrahiert, sofern verfügbar.
• Kontext der Registrierungsbezeichnung: Basic, CUI. Der verlinkte Autoritätstext enthält kategoriebeschreibende oder anwendbarkeitsbezogene Formulierungen, die helfen, festzustellen, wann die Information innerhalb dieser CUI-Kategorie fällt. Der verlinkte Text enthält Sprache zur Offenlegung, zum Zugriffs-, Schutz-, Freigabe-, Verbreitungs- oder Vertriebs-Kontrollmaßnahmen, die für die Handhabung relevant sind. Der verlinkte Autoritätstext enthält Formulierungen zu Verstößen, Strafen, Sanktionen oder Durchsetzung, die Folgen für Misshandlungen betreffen können.
• Die Registrierungsbezeichnung für diese Kategorie ist Basic mit dem Banner CUI.

Extrahierte Bedeutung der Befugnis

• Seite 152 TITEL 44—ÖFFENTLICHES DRUCKEN UND DOKUMENTE § 3551
• Kontext der Registrierungsbezeichnung: Basic, CUI. Der verlinkte Autoritätstext enthält kategoriebeschreibende oder anwendbarkeitsbezogene Formulierungen, die helfen, festzustellen, wann die Information innerhalb dieser CUI-Kategorie fällt. Der verlinkte Text enthält Sprache zur Offenlegung, zum Zugriffs-, Schutz-, Freigabe-, Verbreitungs- oder Vertriebs-Kontrollmaßnahmen, die für die Handhabung relevant sind. Der verlinkte Autoritätstext enthält Formulierungen zu Verstößen, Strafen, Sanktionen oder Durchsetzung, die Folgen für Misshandlungen betreffen können.

Betriebsbedingungen

• Mit dieser Behörde verwendeter DoD-Kategoriescope: Bezieht sich auf Informationen, deren fehlender Schutz zu nachteiligen Auswirkungen auf Informationssysteme führen könnte. Informationssystem bedeutet eine abgegrenzte Menge an Informationsressourcen, die für Sammlung, Verarbeitung, Wartung, Nutzung, Weitergabe, Verbreitung oder Entsorgung von Informationen organisiert sind.
• DoD listet diese Autorität für die Kategorie auf; der verlinkte Autoritätstext wird unten extrahiert, wenn verfügbar.
• NARA-Registerstatus: Basic. Statuswerte pro Behörde: Basic. Nachweis der NARA-Banner-Markierung: CUI. Die Registernachweise sind hier erhalten; eine detaillierte Analyse des Primärrechts oder der Vorschrift bleibt für diese Kategorie ausstehend.
• NARA Kategoriescope: Bezieht sich auf Informationen, deren fehlender Schutz zu nachteiligen Auswirkungen auf Informationssysteme führen könnte. Informationssystem bedeutet eine abgegrenzte Menge an Informationsressourcen, die für Sammlung, Verarbeitung, Wartung, Nutzung, Weitergabe, Verbreitung oder Entsorgung von Informationen organisiert sind.
• Extrahierte Behördenbedingung: L. 114–4, siehe Tabellen zur Klassifizierung] für „National Protection and Programs Directorate, Infrastructure Protection and Information Security“, $140.525.000 für das Bundesnetzwerksicherheitsprogramm, Projekte und Aktivitäten zur Bereitstellung von Technologie auf Bundesystemen, um die Informationssicherheit von Agentur-Informationssystemen, die unter Abschnitt 3543(a) des Titels 44, U.S. Code (jetzt 44 U.S.C. 3553) fallen, zu verbessern: Vorausgesetzt, dass Mittel, die unter diesem Abschnitt bereitgestellt werden, verwendet werden, um Regierungsweite und agenturspezifische Bemühungen zu unterstützen, eine angemessene, risikobasierte und kosteneffektive Cybersicherheit zu gewährleisten, um eskalierende und sich schnell entwickelnde Bedrohungen der Informationssicherheit zu adressieren, einschließlich der Anschaffung und des Betriebs eines Programms für kontinuierliche Überwachung und Diagnose in Zusammenarbeit mit Ministerien und Behörden, das Ausrüstung, Software und Dienste des Department of Homeland Security umfasst: Weiterhin ist vorgeschrieben, dass die mit den Mitteln dieses Abschnitts beschaffte Software für kontinuierliche Überwachung und Diagnose keine persönlich identifizierbaren Informationen oder Inhalte von Netzkommunikationen anderer Agenturbenutzer an das Department of Homeland Security sendet: Weiterhin ist vorgeschrieben, dass solche Software installiert, gewartet...
• Extrahierte Behördenbedingung: (b) ZUSÄTZLICHE DEFINITIONEN.—Wie in diesem Unterkapitel verwendet: (1) Der Begriff „verbindliche operative Richtlinie“ bedeutet eine zwingende Anweisung an eine Behörde, die— (A) dem Schutz von Bundesinformationen und Informationssystemen vor einer bekannten oder vernünftigerweise vermuteten Informationssicherheitsbedrohung, -schwachstelle oder -risiko dient; (B) in Übereinstimmung mit den vom Direktor herausgegebenen Richtlinien, Grundsätzen, Standards und Leitlinien steht; und (C) vom Direktor widerrufen oder geändert werden kann, falls die im Namen des Direktors erlassene Anweisung nicht den vom Direktor entwickelten Richtlinien und Grundsätzen entspricht.
• Extrahierte Behördenbedingung: (b) MINISTER.—Der Minister verwaltet in Abstimmung mit dem Direktor die Umsetzung der Informationssicherheitsrichtlinien und -praktiken der Behörde für Informationssysteme, ausgenommen nationale Sicherheitssysteme und Informationssysteme, die in Absatz (2) oder (3) von Unterabschnitt (e) beschrieben sind, einschließlich— (1) Unterstützung des Direktors bei der Ausübung der Befugnisse und Funktionen nach den Absätzen (1), (2), (3), (5) und (6) von Unterabschnitt (a); (2) Entwicklung und Überwachung der Umsetzung verbindlicher operativer Richtlinien an Behörden zur Umsetzung der vom Direktor gemäß Unterabschnitt (a)(1) entwickelten Richtlinien, Grundsätze, Standards und Leitlinien und der Anforderungen dieses Unterkapitels, die vom Direktor widerrufen oder geändert werden können, falls die im Namen des Direktors erlassenen operativen Richtlinien nicht den vom Direktor entwickelten Richtlinien, Grundsätzen, Standards und Leitlinien entsprechen, einschließlich— (A) Anforderungen zur Meldung von Sicherheitsvorfällen an das unter Abschnitt 3556 eingerichtete Bundes-Informationssicherheitsvorfallzentrum; (B) Anforderungen an die Inhalte der jährlichen Berichte, die gemäß Abschnitt 3554(c)(1) eingereicht werden müssen; (C) Anforderungen zur Minderung dringender Risiken für Informationssysteme; und (D) andere operative Anforderungen, wie sie der Direktor oder Minister in Abstimmung mit dem Direktor,...
• Extrahierte Behördliche Bedingung: (c) B ERICHT.—Spätestens am 1. März eines jeden Jahres hat der Direktor in Abstimmung mit dem Sekretär dem Kongress einen Bericht über die Wirksamkeit der Informationssicherheitspolitik und -praktiken im vorangegangenen Jahr vorzulegen, einschließlich— (1) einer Zusammenfassung der in den gemäß Abschnitt 3554(c)(1) einzureichenden Jahresberichten beschriebenen Vorfälle, einschließlich einer Zusammenfassung der unter Abschnitt 3554(c)(1)(A)(iii) erforderlichen Informationen; (2) einer Beschreibung der Schwelle für die Meldung schwerwiegender Informationssicherheitsvorfälle; (3) einer Zusammenfassung der Ergebnisse der gemäß Abschnitt 3555 durchzuführenden Bewertungen; (4) einer Bewertung der Einhaltung der von der Agentur veröffentlichten Normen gemäß Abschnitt 11331 des Titels 40; und (5) einer Bewertung der Einhaltung der von dem Direktor herausgegebenen Datenschutzverletzungsmeldepolitik und -verfahren durch die Agentur.
• Extrahierte behördliche Bedingung: Definitionen In diesem Kapitel gelten die Definitionen gemäß Abschnitt 3502, und der Begriff— (1) „Administrator“ bezeichnet den Administrator des unter Abschnitt 3602 eingerichteten Office of Electronic Government; (2) „Council“ bezeichnet den unter Abschnitt 3603 eingerichteten Chief Information Officers Council; (3) „electronic Government“ bezeichnet die Nutzung von webbasierten Internetanwendungen und anderer Informationstechnologien durch die Regierung, kombiniert mit Prozessen, die diese Technologien implementieren, um— (A) den Zugang zu und die Bereitstellung von Regierungsinformationen und -diensten für die Öffentlichkeit, andere Behörden und andere Regierungsstellen zu verbessern; oder (B) Verbesserungen in Regierungsabläufen zu bewirken, die Wirksamkeit, Effizienz, Servicequalität oder Transformation umfassen können; (4) „enterprise architecture“— (A) bedeutet— (i) eine strategische Informationsbasis, die die Mission definiert; (ii) die notwendigen Informationen zur Erfüllung der Mission; (iii) die zur Erfüllung der Mission notwendigen Technologien; und (iv) die Übergangsprozesse zur Implementierung neuer Technologien als Reaktion auf sich ändernde Missionsanforderungen; und (B) umfasst— (i) eine Ausgangsarchitektur; (ii) eine Zielarchitektur; und (iii) einen Sequenzierungsplan; (5) „Fund“ bezeichnet den unter Abschnitt 3604 eingerichteten E-Government Fund;...
• Extrahierte behördliche Bedingung: (3) Der Begriff „information security“ (Informationssicherheit) bedeutet den Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Veränderung oder Zerstörung, um Folgendes zu gewährleisten— (A) Integrität, das bedeutet Schutz vor unrechtmäßiger Informationsänderung oder Zerstörung und umfasst die Sicherstellung von Nichtabstreitbarkeit der Informationen und Authentizität; (B) Vertraulichkeit, das bedeutet Erhaltung autorisierter Beschränkungen beim Zugriff und bei der Offenlegung, einschließlich Maßnahmen zum Schutz der Privatsphäre von Personen und proprietärer Informationen; und (C) Verfügbarkeit, das bedeutet Sicherstellung eines zeitnahen und zuverlässigen Zugriffs auf und der Nutzung von Informationen.

Schutz- und Weitergabekontrollen

• Anwendbare DoD-Richtlinien: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• Nara Basis oder Spezifiert: Basis
• NARA-Befugniszeilen: 44 USC 3554 (siehe OMB M-24-04 für Umsetzungsleitlinien) | Status: Basis | Banner: CUI || 44 USC 3555(f) | Status: Basis | Banner: CUI
• Nara-Banner-Markierungen: CUI
• Anwendbare Dod-Richtlinien: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• Keine vom DoD vorgeschriebene Verbreitungskontrolle auf der Registrierungsseite aufgelistet. Genehmigte begrenzte Verbreitungskontrollen nur anwenden, wenn sie von der designierenden Behörde oder der geltenden Autorität verlangt oder erlaubt werden.
• Verwenden Sie zunächst die Registry-Aussagen, NARA-Autoritätszeilen, DoD-Autoritäten, DoD-Richtlinien, Warnhinweise, erforderliche Verbreitungskontrollen und Beispiele. Wenn die zitierte Autorität keine Handhabungsdetails spezifiziert, gelten CUI Basic-Schutzmaßnahmen und Verbreitungsregeln, sofern sie nicht mit der Autorität oder agenturenspezifischen Kontrollen in Konflikt stehen.
• Extrahierte behördliche Kontrolle: (3) Der Begriff „information security“ (Informationssicherheit) bedeutet den Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Veränderung oder Zerstörung, um Folgendes zu gewährleisten— (A) Integrität, das bedeutet Schutz vor unrechtmäßiger Informationsänderung oder Zerstörung und umfasst die Sicherstellung von Nichtabstreitbarkeit der Informationen und Authentizität; (B) Vertraulichkeit, das bedeutet Erhaltung autorisierter Beschränkungen beim Zugriff und bei der Offenlegung, einschließlich Maßnahmen zum Schutz der Privatsphäre von Personen und proprietärer Informationen; und (C) Verfügbarkeit, das bedeutet Sicherstellung eines zeitnahen und zuverlässigen Zugriffs auf und der Nutzung von Informationen.
• Extrahierte behördliche Kontrolle: Befugnisse und Funktionen des Direktors und des Sekretärs (a) D IREKTOR.—Der Direktor überwacht die Informationssicherheitspolitik und -praktiken der Agenturen, einschließlich— (1) der Entwicklung und Überwachung der Umsetzung von Richtlinien, Grundsätzen, Standards und Leitlinien zur Informationssicherheit, einschließlich der Sicherstellung einer fristgerechten Annahme und Einhaltung von von Abschnitt 11331 des Titels 40 veröffentlichten Standards durch die Agenturen; (2) der Anforderung an Agenturen, im Einklang mit den gemäß diesem Abschnitt 11331 veröffentlichten Standards und den Anforderungen dieses Unterkapitels Informationssicherheitsmaßnahmen zu identifizieren und bereitzustellen, die dem Risiko und dem Ausmaß des Schadens entsprechen, der sich aus unbefugtem Zugriff, Nutzung, Offenlegung, Störung, Veränderung oder Zerstörung von— (A) Informationen, die von oder im Auftrag einer Agentur gesammelt oder gepflegt werden; oder (B) Informationssystemen, die von einer Agentur oder deren Auftragnehmer oder einer anderen Organisation im Namen einer Agentur genutzt oder betrieben werden; (3) der Sicherstellung, dass der Sekretär die Befugnisse und Funktionen gemäß Unterabschnitt (b) wahrnimmt; (4) der Koordinierung der Entwicklung von Standards und Leitlinien gemäß Abschnitt 20 des National Institute of Standards and Technology Act (15 U.S.C. 278g–3) mit Agenturen und Büros, die nationale Sicherheitssysteme betreiben oder kontrollieren (einschließlich der National Security Agency), um sicherzustellen,...
• Extrahierte behördliche Kontrolle: L. 113–283, § 2(d), 18. Dez. 2014, 128 Stat. 3085, bestimmte: „(1) A NRFORDERUNGEN.—Der Direktor des Office of Management and Budget hat sicherzustellen, dass Datenschutzverletzungsmeldungen und Richtlinien periodisch aktualisiert werden und Folgendes verlangen— (A) mit Ausnahme der Bestimmungen in Absatz (4), eine Benachrichtigung der betroffenen Behörde an jeden Kongressausschuss, der gemäß Abschnitt 3554(c)(1) des Titels 44, United States Code, hinzugefügt durch Abs. (a), beschrieben ist, den Justizausschuss des Senats und den Justizausschuss des Repräsentantenhauses, die— (i) unverzüglich und spätestens 30 Tage nach dem Datum, an dem die Agentur die unbefugte Erlangung oder den unbefugten Zugriff entdeckt hat, erfolgen muss; und (ii) Folgendes umfassen muss— (I) Informationen über die Sicherheitsverletzung, einschließlich einer Zusammenfassung aller Informationen, die der Behörde zum Zeitpunkt der Benachrichtigung bekannt sind, wie die Sicherheitsverletzung aufgetreten ist; (II) eine Schätzung der Anzahl der von der Sicherheitsverletzung betroffenen Personen, basierend auf den zum Zeitpunkt der Benachrichtigung vorliegenden Informationen, einschließlich einer Bewertung des Schadensrisikos für die betroffenen Personen; (III) eine Beschreibung aller Umstände, die eine Verzögerung bei der Benachrichtigung der betroffenen Personen erforderlich machen; und (IV) eine Schätzung, ob und wann die Agentur die benachrichtigten Personen informieren wird;...
• Extrahierte behördliche Kontrolle: Nationale Sicherheitssysteme Der Leiter jeder Behörde, die ein nationales Sicherheitssystem betreibt oder kontrolliert, ist verantwortlich dafür, dass die Behörde— (1) Informationssicherheitsmaßnahmen bereitstellt, die dem Risiko und Ausmaß des Schadens angemessen sind, der sich aus unbefugtem Zugriff, Nutzung, Offenlegung, Störung, Veränderung oder Zerstörung der in diesem System enthaltenen Informationen ergibt; (2) Informationssicherheitspolitiken und -praktiken umsetzt, wie sie von den für nationale Sicherheitssysteme erlassenen Normen und Leitlinien vorgeschrieben sind, die gemäß dem Gesetz und mit Anweisung des Präsidenten herausgegeben werden; und (3) die Anforderungen dieses Unterkapitels einhält.
• Extrahierte behördliche Kontrolle: (b) Z USÄTZLICHE DEFINITIONEN.—Wie in diesem Unterkapitel verwendet: (1) Der Begriff „binding operational directive“ (verbindliche operative Anweisung) bezeichnet eine zwingende Anweisung an eine Behörde, die— (A) zum Schutz von Bundesinformationen und Informationssystemen vor einer bekannten oder vernünftigerweise vermuteten Bedrohung, Schwachstelle oder Risiko der Informationssicherheit dient; (B) den vom Direktor herausgegebenen Richtlinien, Grundsätzen, Standards und Leitlinien entsprechen muss; und (C) vom Direktor geändert oder aufgehoben werden kann, wenn die im Namen des Direktors erlassene Anweisung nicht den vom Direktor entwickelten Richtlinien und Grundsätzen entspricht.
• Extrahierte behördliche Kontrolle: Ziele Die Ziele dieses Unterkapitels sind— (1) einen umfassenden Rahmen zur Gewährleistung der Wirksamkeit von Informationssicherheitskontrollen über Informationsressourcen, die Bundesoperationen und -vermögen unterstützen, bereitzustellen; (2) die hoch vernetzte Natur der aktuellen Bundes-IT-Umgebung anzuerkennen und ein wirksames regierungsweites Management und die Überwachung der damit verbundenen Informationssicherheitsrisiken bereitzustellen, einschließlich Koordinierung der Informationssicherheitsbemühungen innerhalb der zivilen, der nationalen Sicherheits- und der Strafverfolgungsgemeinschaften; (3) die Entwicklung und Pflege der Mindestkontrollen bereitzustellen, die zum Schutz von Bundesinformationen und Informationssystemen erforderlich sind; (4) einen Mechanismus für eine verbesserte Überwachung der Informationssicherheitsprogramme von Bundesbehörden bereitzustellen, unter anderem durch automatisierte Sicherheitstools zur kontinuierlichen Diagnose und Verbesserung der Sicherheit; (5) anzuerkennen, dass kommerziell entwickelte Informationssicherheitsprodukte fortgeschrittene, dynamische, robuste und effektive Informationssicherheitslösungen bieten, welche marktbasierte Lösungen zum Schutz kritischer Informationsinfrastrukturen bieten, die für die nationale Verteidigung und die wirtschaftliche Sicherheit der Nation wichtig sind und vom privaten Sektor entworfen, gebaut und betrieben werden;...
• Extrahierte Befugnisregelung: (2) V ERFAHREN FÜR DIE NUTZUNG DER BEFUGNIS.—Der Sekretär soll— (A) in Abstimmung mit dem Direktor und in angemessener Konsultation mit Bundesauftragnehmern Verfahren festlegen, die die Umstände regeln, unter denen eine Weisung nach diesem Unterabschnitt erlassen werden darf, welche umfassen sollen— (i) Schwellenwerte und andere Kriterien; (ii) Datenschutz- und Bürgerrechtsschutzmaßnahmen; und (iii) Benachrichtigung potenziell betroffener Dritter; (B) die Gründe für die erforderliche Maßnahme sowie die Dauer der Weisung spezifizieren; (C) die Auswirkungen einer Weisung nach diesem Unterabschnitt minimieren, indem— (i) die unter den Umständen möglich geringstmöglichen Eingriffe zur Sicherung der Informationssysteme der Behörde angewandt werden; und (ii) Weisungen auf den kürzest möglichen Zeitraum beschränkt werden; (D) den Direktor und den Leiter jeder betroffenen Behörde unverzüglich nach Erteilung einer Weisung nach diesem Unterabschnitt benachrichtigen; (E) den Direktor des National Institute of Standards and Technology in Bezug auf jede Weisung nach diesem Unterabschnitt konsultieren, die Standards und Richtlinien des National Institute of Standards and Technology umsetzt; (F) sicherstellen, dass Weisungen nach diesem Unterabschnitt nicht im Widerspruch zu den nach Abschnitt 11331 Titel 40 erlassenen Standards und Richtlinien stehen;...

Designation-Nachweise

• Nachweis der zugehörigen Behörde: DoD listet diese anwendbare Richtlinie für die Kategorie auf; der verlinkte Richtlinientext wird unten ausgegeben, wenn er verfügbar ist.
• Kontext der Registrierungsbezeichnung: Basic, CUI. Der verlinkte Autoritätstext enthält kategoriebeschreibende oder anwendbarkeitsbezogene Formulierungen, die helfen, festzustellen, wann die Information innerhalb dieser CUI-Kategorie fällt. Der verlinkte Text enthält Sprache zur Offenlegung, zum Zugriffs-, Schutz-, Freigabe-, Verbreitungs- oder Vertriebs-Kontrollmaßnahmen, die für die Handhabung relevant sind. Der verlinkte Autoritätstext enthält Formulierungen zu Verstößen, Strafen, Sanktionen oder Durchsetzung, die Folgen für Misshandlungen betreffen können.
• Die Registrierungsbezeichnung für diese Kategorie ist Basic mit dem Banner CUI.

Extrahierte Bedeutung der Befugnis

• Titel: DoDI 8500.01, 14. März 2014, einschließlich Änderung 1 vom 7. Oktober 2019
• Kontext der Registrierungsbezeichnung: Basic, CUI. Der verlinkte Autoritätstext enthält kategoriebeschreibende oder anwendbarkeitsbezogene Formulierungen, die helfen, festzustellen, wann die Information innerhalb dieser CUI-Kategorie fällt. Der verlinkte Text enthält Sprache zur Offenlegung, zum Zugriffs-, Schutz-, Freigabe-, Verbreitungs- oder Vertriebs-Kontrollmaßnahmen, die für die Handhabung relevant sind. Der verlinkte Autoritätstext enthält Formulierungen zu Verstößen, Strafen, Sanktionen oder Durchsetzung, die Folgen für Misshandlungen betreffen können.

Betriebsbedingungen

• Das DoD listet diese anwendbare Richtlinie für die Kategorie auf; der verknüpfte Richtlinientext wird unten bei Verfügbarkeit extrahiert.
• Extrahierte Befugnisbedingung: Anfragen zu Angeboten werden ausreichende Informationen enthalten, um die vorgeschlagene Vorgehensweise des Anbieters zur Erfüllung der Anforderungen an Sicherheitskontrollen zu bewerten.
• Extrahierte Befugnisbedingung: (b) Beispiele für Plattformen, die PIT enthalten können, sind: Waffensysteme, Trainingssimulatoren, Diagnose-, Test- und Wartungsausrüstung, Kalibrierungsgeräte, Ausrüstung für Forschung und Entwicklung von Waffensystemen, medizinische Geräte und Gesundheitstechnologien, Fahrzeuge und alternative Fahrzeuge mit alternativen Kraftstoffen (z. B. elektrisch, Biokraftstoff, Flüssigerdgas, die Car-Computer enthalten), Gebäude und deren zugehörige Steuerungssysteme (Gebäudeautomationssysteme oder Gebäudeleitsysteme, Energiemanagementsysteme, Brand- und Leben-sicherheitsanlagen, physische Sicherheit, Aufzüge usw.), Versorgungsverteilungssysteme (wie Strom, Wasser, Abwasser, Erdgas und Dampf), Telekommunikationssysteme, die speziell für industrielle DoDI 8500.01, 14. März 2014 entwickelt wurden
• Extrahierte Befugnisbedingung: DoD-Komponenten müssen Sicherheitsautorisierungspakete mit den betroffenen Informationsinhabern oder DoDI 8500.01, 14. März 2014 teilen
• Extrahierte Befugnisbedingung: Die Informationsaustauschrichtlinien und -verfahren des DoD sind in DoDD 8320.02 (Referenz (cr)) und DoDI 8320.07 (Referenz (cs)) definiert.

Schutz- und Weitergabekontrollen

• Extrahierte Befugnisregelung: Alle DoD-Informationen im elektronischen Format erhalten ein angemessenes Maß an Vertraulichkeit, Integrität und Verfügbarkeit, das die Bedeutung sowohl des Informationsaustauschs als auch des Schutzes widerspiegelt.
• Extrahierte Befugnisregelung: Informationssysteme müssen klassifizierte Informationen und CUI vor unbefugtem Zugriff schützen, indem sie eine Authentifizierung gemäß Referenz (ck) vor der Zugriffsentscheidung verlangen. e.
• Extrahierte Autoritätskontrolle: PIT Plattform-Informationstechnologie PKI Public Key Infrastructure PM Programmmanager PPP Programmschutzplan RMF Risikomanagement-Rahmenwerk SAP Spezialzugangsprogramm SCAP Sicherheitsinhaltsautomatisierungsprotokoll SCI Sensible Abgegrenzte Information SIPRNet Secret Internet Protocol Router Network SISO Senior Information Security Officer SM Systemmanager SP Special Publication SRG Sicherheitsanforderungsleitfaden SSE System-Sicherheits-Ingenieurwesen STIG Sicherheits-Technischer Implementierungsleitfaden T&E Test und Evaluierung TPM Trusted Platform Module TRANSEC Übertragungssicherheit TSN Trusted Systems and Networks U.S.C.
• Extrahierte Befugnisregelung: (2) DoD-originierte und vom DoD bereitgestellte Informationen, die sich auf Informationssystemen von Missionspartnern befinden, müssen ordnungsgemäß und angemessen geschützt werden, mit dokumentierten Vereinbarungen, die erforderliche Schutzstufen angeben.
• Extrahierte Autoritätskontrolle: Informationen und Infrastrukturen, die identitätsabhängige Funktionen, Prozesse und Verfahren unterstützen, die zur Unterstützung von DoD-Operationen verwendet werden, einschließlich, aber nicht beschränkt auf Identitätszertifizierung, werden Maßnahmen enthalten, um die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Identitätsdaten oder Identitätsnachweisen sicherzustellen.
• Extrahierte Autoritätskontrolle: gerichtliche Sanktionen, wenn sie wissentlich, vorsätzlich oder fahrlässig DoD-Informationen kompromittieren, beschädigen oder gefährden, indem sie die Umsetzung der DoD-Sicherheitsanforderungen in DoDI 8500.01 vom 14. März 2014 nicht sicherstellen.

Designation-Nachweise

• Nachweis der zugehörigen Behörde: DoD listet diese anwendbare Richtlinie für die Kategorie auf; der verlinkte Richtlinientext wird unten ausgegeben, wenn er verfügbar ist.
• Kontext der Registrierungsbezeichnung: Basic, CUI. Der verlinkte Autoritätstext enthält kategoriebeschreibende oder anwendbarkeitsbezogene Formulierungen, die helfen, festzustellen, wann die Information innerhalb dieser CUI-Kategorie fällt. Der verlinkte Text enthält Sprache zur Offenlegung, zum Zugriffs-, Schutz-, Freigabe-, Verbreitungs- oder Vertriebs-Kontrollmaßnahmen, die für die Handhabung relevant sind. Der verlinkte Autoritätstext enthält Formulierungen zu Verstößen, Strafen, Sanktionen oder Durchsetzung, die Folgen für Misshandlungen betreffen können.
• Die Registrierungsbezeichnung für diese Kategorie ist Basic mit dem Banner CUI.

Extrahierte Bedeutung der Befugnis

• Titel: DoDI 8510.01, „Risk Management Framework for DoD Systems“, 19. Juli 2022
• Kontext der Registrierungsbezeichnung: Basic, CUI. Der verlinkte Autoritätstext enthält kategoriebeschreibende oder anwendbarkeitsbezogene Formulierungen, die helfen, festzustellen, wann die Information innerhalb dieser CUI-Kategorie fällt. Der verlinkte Text enthält Sprache zur Offenlegung, zum Zugriffs-, Schutz-, Freigabe-, Verbreitungs- oder Vertriebs-Kontrollmaßnahmen, die für die Handhabung relevant sind. Der verlinkte Autoritätstext enthält Formulierungen zu Verstößen, Strafen, Sanktionen oder Durchsetzung, die Folgen für Misshandlungen betreffen können.

Betriebsbedingungen

• Das DoD listet diese anwendbare Richtlinie für die Kategorie auf; der verknüpfte Richtlinientext wird unten bei Verfügbarkeit extrahiert.
• Extrahierte Autoritätsbedingung: (6) Überprüfung des Sicherheitsermächtigungsdokumentationspakets im Licht von Missions- und Informationsumgebungsindikatoren und Festlegung eines Maßnahmenplans, der dem zuständigen CIO oder CISO für Berichtsanforderungen gemäß FISMA vorgelegt wird.
• Extrahierte Autoritätsbedingung: potenzielle Umstände oder Ereignisse im interdependenten Netzwerk von Informationstechnologieinfrastrukturen, einschließlich Telekommunikationsnetzwerke, Computersysteme sowie eingebettete Prozessoren und Steuerungen.
• Extrahierte Autoritätsbedingung: > Aufgabe P-2 > Risikomanagementstrategie > Eine Risikomanagementstrategie für die Organisation, die eine Bestimmung und Darstellung der organisatorischen Risikotoleranz einschließt, ist etabliert. [CSF: ID.RM; ID.SC ] > Agenturleiter > Aufgabe P-3 > Risikoabschätzung – Organisation > Eine organisationsweite Risikoabschätzung ist abgeschlossen oder eine bestehende Risikoabschätzung wird aktualisiert. [CSF: ID.RA; ID.SC-2 ] > • Leitender Verantwortlicher für Risikomanagement oder Risikoleiter (Funktion) > • Leitender Informationssicherheitsbeauftragter der Agentur (ISO) > • Leitender Datenschutzbeauftragter der Agentur > Aufgabe P-4 > Organisatorisch angepasste Kontroll-Baselines und CSF-Profile (Optional) > Organisatorisch angepasste Kontroll-Baselines und/oder CSF-Profile werden erstellt und bereitgestellt. [CSF: > Profil ] > • Missions- oder Geschäftsinhaber > Leitender Verantwortlicher für Risikomanagement oder Risikoleiter (Funktion)

Schutz- und Weitergabekontrollen

• Extrahierte Autoritätskontrolle: Kategorisieren Sie das System gemäß CNSSI Nr. 1253 basierend auf den vom System analysierten, gespeicherten und übermittelten Informationen und einer Analyse der Auswirkungen eines potenziellen Verlusts von Vertraulichkeit, Integrität und Verfügbarkeit auf organisatorische Abläufe und Vermögenswerte, Einzelpersonen, andere Organisationen und die Nation in Bezug auf den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit organisatorischer Systeme.
• Extrahierte Autoritätskontrolle: DoD RMF-Praktiker benötigen Zugang zu RMF-Richtlinien, Standards und Tools, um die geeigneten Methoden, Standards und Praktiken anwenden zu können, die erforderlich sind, um DoD-Informationstechnologie effektiv und effizient zu schützen.
• Extrahierte Autoritätskontrolle: (b) Führt die Funktion des Risikoleiters aus, wie in DoDI 8500.01 und NIST SP 800-39 beschrieben, und trifft Akzeptanzentscheidungen auf Unternehmensebene für autorisierte Unternehmenssysteme und erfüllt somit die Anforderungen der Cybersecurity-Reziprozität.
• Extrahierte Autoritätskontrolle: Überprüft, dass DoD-Komponenten-Akquisitionsprogramm-Exekutivbüros und PMs dafür verantwortlich sind, Kompromissentscheidungen während der Systemunterstützung zu koordinieren (d. h. Entscheidungen, Schwachstellenbehebungen zurückzuhalten oder zu verzögern, die die Überlebensfähigkeit von Systemen unter den Bedingungen der vorgesehenen Einsatzumgebung erheblich beeinflussen) mit den Anforderungsinhabern, AO und den Komponentenkraft des Cyberspace-Einsatzes.
• Extrahierte Autoritätskontrolle: Bewertet die allgemeine Sicherheitslage von National Security Systems, identifiziert deren Schwachstellen und verbreitet Informationen zu Bedrohungen für das DoD.
• Extrahierte Autoritätskontrolle: (1) Der Adaptive Acquisition Framework ist in DoDI 5000.02 definiert und illustriert.

Designation-Nachweise

• Nachweis der zugehörigen Behörde: DoD listet diese anwendbare Richtlinie für die Kategorie auf; der verlinkte Richtlinientext wird unten ausgegeben, wenn er verfügbar ist.
• Kontext der Registrierungsbezeichnung: Basic, CUI. Der verlinkte Autoritätstext enthält kategoriebestimmende oder anwendbare Sprache, die hilft zu bestimmen, wann die Information in diese CUI-Kategorie fällt. Der verlinkte Autoritätstext enthält Offenlegungs-, Zugriffs-, Schutz-, Freigabe-, Verbreitungs- oder Verteilungskontrollsprache, die für den Umgang relevant ist.
• Die Registrierungsbezeichnung für diese Kategorie ist Basic mit dem Banner CUI.

Extrahierte Bedeutung der Befugnis

• Titel: DoDI 8531.01, „DoD Vulnerability Management“, 15. September 2020
• Kontext der Registrierungsbezeichnung: Basic, CUI. Der verlinkte Autoritätstext enthält kategoriebestimmende oder anwendbare Sprache, die hilft zu bestimmen, wann die Information in diese CUI-Kategorie fällt. Der verlinkte Autoritätstext enthält Offenlegungs-, Zugriffs-, Schutz-, Freigabe-, Verbreitungs- oder Verteilungskontrollsprache, die für den Umgang relevant ist.

Betriebsbedingungen

• Das DoD listet diese anwendbare Richtlinie für die Kategorie auf; der verknüpfte Richtlinientext wird unten bei Verfügbarkeit extrahiert.
• Extrahierte Autoritätsbedingung: (2) Informationen, die DoD über das VDP übermittelt werden, müssen für defensive Zwecke verwendet werden, um Schwachstellen in DODIN-Systemen, Subsystemen oder Systemkomponenten zu mindern oder zu beheben.
• Extrahierte Autoritätsbedingung: • Etabliert Richtlinien, weist Verantwortlichkeiten zu und stellt Verfahren für das Vulnerabilitätsmanagement des DoD und die Reaktion auf entdeckte Schwachstellen in aller Software, Firmware und Hardware innerhalb des DoD-Informationsnetzwerks (DODIN) bereit.
• Voraussetzung aus Auszugsbefugnis: Koordiniert etwaige DoD-Anliegen oder -Probleme bezüglich Schwachstellenmanagement, Asset-Management, Konfigurationsmanagement sowie Maßnahmen zur Behebung oder Minderung mit dem Kommandeur des United States Cyber Command (USCYBERCOM) und dem Joint Force Headquarters-DoD Information Network (JFHQ-DODIN).
• Extrahierte Autoritätsbedingung: Führen Sie monatliche nicht authentifizierte und authentifizierte Schwachstellenscans durch, um genaue Systeminformationen für die kontinuierliche Überwachung zuvor betroffener Systeme zu erhalten.

Schutz- und Weitergabekontrollen

• Extrahierte Autoritätskontrolle: (6) Details darüber, wie sich der Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit auf DoD-Operationen, organisatorische Vermögenswerte oder Einzelpersonen auswirken könnte (z. B. begrenzt, schwerwiegend, katastrophal oder kataklysmisch).
• Extrahierte Autoritätskontrolle: Koordiniert mit dem DoD SISO Sicherheitsrichtlinien und verwandte Geheim- und Sicherheitsangelegenheiten zum Schutz von Informationen auf Systemen und Netzwerken.
• Extrahierte Autoritätskontrolle: Die DoD-Komponenten führen Auswirkungsbewertungen durch, um den voraussichtlich erwarteten Verlust von Integrität, Vertraulichkeit und Verfügbarkeit zu bestimmen, wenn die Schwachstelle nicht behoben oder gemildert wird.
• Extrahierte Autoritätskontrolle: Bestimmen Sie von Fall zu Fall, welche Behebungs- oder Minderungsmethode am vorteilhaftesten ist, und berücksichtigen Sie den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit.
• Extrahierte Autoritätskontrolle: Bewertet die allgemeine Sicherheitslage aller DoD-Systeme und verbreitet Informationen über Bedrohungen und Schwachstellen, die DoD-Systemkomponenten betreffen, in Koordination mit USCYBERCOM.