Information Systems Vulnerability Information

Evidencia de designación

• Fila de autoridad NARA: 44 USC 3554 (véase OMB M-24-04 para orientación de implementación) | estado: Básico | banner: CUI.
• Evidencia de autoridad relacionada: 44 USC 3554 (véase OMB M-24-04 para orientación de implementación) | estado: Básico | banner: CUI

Significado extraído de la autoridad

Ninguno listado

Condiciones operativas

• Ámbito de categoría NARA utilizado con esta autoridad: Relacionado con información que, si no se protege, podría resultar en efectos adversos para los sistemas de información. Sistema de información significa un conjunto discreto de recursos de información organizados para la recopilación, procesamiento, mantenimiento, uso, compartición, difusión o disposición de información.
• 44 USC 3554 (véase OMB M-24-04 para orientación de implementación) | estado: Básico | banner: CUI
• Estado del registro NARA: Básico. Valores por autoridad del estado NARA: Básico. Evidencia del marcado del banner de NARA: CUI. La evidencia del registro se conserva aquí; el análisis detallado del texto de la ley o regulación primaria permanece pendiente para esta categoría.
• Ámbito de la categoría NARA: Relacionado con información que, si no se protege, podría resultar en efectos adversos para los sistemas de información. Sistema de información significa un conjunto discreto de recursos de información organizados para la recopilación, procesamiento, mantenimiento, uso, compartición, difusión o disposición de información.

Controles de salvaguarda y difusión

• Evidencia de control del registro NARA: estado Básico; marcaje de banner CUI.
• Nara básico o especificado: Básico
• Filas de autoridad Nara: 44 USC 3554 (véase OMB M-24-04 para orientación de implementación) | estado: Básico | banner: CUI || 44 USC 3555(f) | estado: Básico | banner: CUI
• Marcas de banner Nara: CUI
• Políticas aplicables de DoD: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• No se lista ningún control de difusión requerido por DoD en la página del registro. Aplique controles de difusión limitados aprobados solo cuando lo requiera o permita la agencia designante o la autoridad gobernante.
• Use primero las afirmaciones del registro, las filas de autoridad de NARA, las autoridades de DoD, las políticas de DoD, las declaraciones de advertencia, los controles de difusión requeridos y los ejemplos. Cuando la autoridad citada no especifique un detalle de manejo, aplique las salvaguardas básicas de CUI y las reglas de difusión siempre que no entren en conflicto con la autoridad o los controles específicos de la agencia.

Evidencia de designación

• Fila de autoridad NARA: 44 USC 3555(f) | estado: Básico | banner: CUI.
• Evidencia de autoridad relacionada: 44 USC 3555(f) | estado: Básico | banner: CUI

Significado extraído de la autoridad

Ninguno listado

Condiciones operativas

• Ámbito de categoría NARA utilizado con esta autoridad: Relacionado con información que, si no se protege, podría resultar en efectos adversos para los sistemas de información. Sistema de información significa un conjunto discreto de recursos de información organizados para la recopilación, procesamiento, mantenimiento, uso, compartición, difusión o disposición de información.
• 44 USC 3555(f) | estado: Básico | banner: CUI
• Estado del registro NARA: Básico. Valores por autoridad del estado NARA: Básico. Evidencia del marcado del banner de NARA: CUI. La evidencia del registro se conserva aquí; el análisis detallado del texto de la ley o regulación primaria permanece pendiente para esta categoría.
• Ámbito de la categoría NARA: Relacionado con información que, si no se protege, podría resultar en efectos adversos para los sistemas de información. Sistema de información significa un conjunto discreto de recursos de información organizados para la recopilación, procesamiento, mantenimiento, uso, compartición, difusión o disposición de información.

Controles de salvaguarda y difusión

• Evidencia de control del registro NARA: estado Básico; marcaje de banner CUI.
• Nara básico o especificado: Básico
• Filas de autoridad Nara: 44 USC 3554 (véase OMB M-24-04 para orientación de implementación) | estado: Básico | banner: CUI || 44 USC 3555(f) | estado: Básico | banner: CUI
• Marcas de banner Nara: CUI
• Políticas aplicables de DoD: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• No se lista ningún control de difusión requerido por DoD en la página del registro. Aplique controles de difusión limitados aprobados solo cuando lo requiera o permita la agencia designante o la autoridad gobernante.
• Use primero las afirmaciones del registro, las filas de autoridad de NARA, las autoridades de DoD, las políticas de DoD, las declaraciones de advertencia, los controles de difusión requeridos y los ejemplos. Cuando la autoridad citada no especifique un detalle de manejo, aplique las salvaguardas básicas de CUI y las reglas de difusión siempre que no entren en conflicto con la autoridad o los controles específicos de la agencia.

Evidencia de designación

• Fila de autoridad DoD: 44 USC 3554 - 3555. DoD lista esta citación para la categoría; esta página de detalle de DoD no muestra un campo Básico/Especificado separado.
• Evidencia de autoridad relacionada: El DoD lista esta autoridad para la categoría; el texto de la autoridad vinculada se extrae a continuación cuando está disponible.
• Contexto de designación del registro: Básico, CUI. El texto de autoridad vinculado contiene lenguaje de alcance de categoría o aplicabilidad que ayuda a determinar cuándo la información pertenece a esta categoría CUI. El texto de autoridad vinculado contiene lenguaje relacionado con divulgación, acceso, protección, liberación, diseminación o control de distribución relevante para el manejo. El texto de autoridad vinculado contiene lenguaje sobre violaciones, sanciones, penalizaciones o aplicación que puede afectar las consecuencias por manejo indebido.
• La designación del registro para esta categoría es Básico con banner CUI.

Significado extraído de la autoridad

• Página 152 TÍTULO 44—IMPRESIÓN PÚBLICA Y DOCUMENTOS § 3551
• Contexto de designación del registro: Básico, CUI. El texto de autoridad vinculado contiene lenguaje de alcance de categoría o aplicabilidad que ayuda a determinar cuándo la información pertenece a esta categoría CUI. El texto de autoridad vinculado contiene lenguaje relacionado con divulgación, acceso, protección, liberación, diseminación o control de distribución relevante para el manejo. El texto de autoridad vinculado contiene lenguaje sobre violaciones, sanciones, penalizaciones o aplicación que puede afectar las consecuencias por manejo indebido.

Condiciones operativas

• Ámbito de categoría DoD utilizado con esta autoridad: Relacionado con información que, si no se protege, podría resultar en efectos adversos para los sistemas de información. Sistema de información significa un conjunto discreto de recursos de información organizados para la recopilación, procesamiento, mantenimiento, uso, compartición, difusión o disposición de información.
• El DoD lista esta autoridad para la categoría; el texto de la autoridad vinculada se extrae a continuación cuando está disponible.
• Estado del registro NARA: Básico. Valores por autoridad del estado NARA: Básico. Evidencia del marcado del banner de NARA: CUI. La evidencia del registro se conserva aquí; el análisis detallado del texto de la ley o regulación primaria permanece pendiente para esta categoría.
• Ámbito de la categoría NARA: Relacionado con información que, si no se protege, podría resultar en efectos adversos para los sistemas de información. Sistema de información significa un conjunto discreto de recursos de información organizados para la recopilación, procesamiento, mantenimiento, uso, compartición, difusión o disposición de información.
• Condición de autoridad extraída: L. 114–4, ver Tablas para clasificación] para el ‘National Protection and Programs Directorate, Infrastructure Protection and Information Security’, $140,525,000 para el programa, proyecto y actividad Federal Network Security, deberán usarse para desplegar en sistemas federales tecnología para mejorar la seguridad de la información de los sistemas de información de la agencia cubiertos por la sección [anterior] 3543(a) del título 44, Código de Estados Unidos [ver ahora 44 U.S.C. 3553]: Siempre que los fondos disponibles bajo esta sección se utilicen para asistir y apoyar los esfuerzos gubernamentales generales y específicos de la agencia para proporcionar una ciberseguridad adecuada, basada en riesgos y rentable para afrontar amenazas crecientes y rápidamente evolutivas a la seguridad de la información, incluyendo la adquisición y operación de un programa de monitoreo y diagnóstico continuo, en colaboración con departamentos y agencias, que incluya equipos, software y servicios suministrados por el Departamento de Seguridad Nacional: Se dispone además que el software de monitoreo continuo y diagnóstico adquirido con los fondos disponibles bajo esta sección no transmitirá al Departamento de Seguridad Nacional ninguna información de identificación personal ni contenido de comunicaciones en red de usuarios de otras agencias: Se dispone además que dicho software será instalado, mantenido,...
• Condición de autoridad extraída: (b) D EFICINIONES ADICIONALES.—Como se usa en este subcapítulo: (1) El término «directiva operativa vinculante» significa una instrucción obligatoria a una agencia que— (A) es para fines de proteger la información y los sistemas de información federales de una amenaza, vulnerabilidad o riesgo de seguridad de la información conocido o razonablemente sospechado; (B) deberá estar conforme a las políticas, principios, normas y directrices emitidas por el Director; y (C) podrá ser revisada o derogada por el Director si la instrucción emitida en nombre del Director no está conforme a las políticas y principios desarrollados por el Director.
• Condición de autoridad extraída: (b) S ECRETARIO.—El Secretario, en consulta con el Director, administrará la implementación de políticas y prácticas de seguridad de la información de la agencia para sistemas de información, excepto para sistemas de seguridad nacional y sistemas de información descritos en el párrafo (2) o (3) del apartado (e), incluyendo— (1) asistir al Director en el cumplimiento de las autoridades y funciones bajo los párrafos (1), (2), (3), (5) y (6) del apartado (a); (2) desarrollar y supervisar la implementación de directivas operativas vinculantes para que las agencias implementen las políticas, principios, normas y directrices desarrolladas por el Director bajo el apartado (a)(1) y los requisitos de este subcapítulo, las cuales podrán ser revisadas o derogadas por el Director si las directivas operativas emitidas en nombre del Director no están de conformidad con las políticas, principios, normas y directrices desarrolladas por el Director, incluyendo— (A) requisitos para reportar incidentes de seguridad al centro federal de incidentes de seguridad de la información establecido bajo la sección 3556; (B) requisitos para el contenido de los informes anuales que deben ser presentados bajo la sección 3554(c)(1); (C) requisitos para mitigar riesgos urgentes para los sistemas de información; y (D) otros requisitos operativos según lo que el Director o el Secretario, en consulta con el Director,...
• Condición de autoridad extraída: (c) I NFORME.—A más tardar el 1 de marzo de cada año, el Director, en consulta con el Secretario, deberá presentar al Congreso un informe sobre la efectividad de las políticas y prácticas de seguridad de la información durante el año anterior, incluyendo— (1) un resumen de los incidentes descritos en los informes anuales que deben ser presentados bajo la sección 3554(c)(1), incluyendo un resumen de la información requerida bajo la sección 3554(c)(1)(A)(iii); (2) una descripción del umbral para reportar incidentes mayores de seguridad de la información; (3) un resumen de los resultados de las evaluaciones que se deben realizar bajo la sección 3555; (4) una evaluación del cumplimiento de la agencia con las normas promulgadas bajo la sección 11331 del título 40; y (5) una evaluación del cumplimiento de la agencia con las políticas y procedimientos de notificación de violaciones de datos emitidos por el Director.
• Condición de autoridad extraída: Definiciones En este capítulo, se aplicarán las definiciones bajo la sección 3502, y el término— (1) «Administrador» significa el Administrador de la Oficina de Gobierno Electrónico establecida bajo la sección 3602; (2) «Consejo» significa el Consejo de Oficiales de Información Principal establecido bajo la sección 3603; (3) «gobierno electrónico» significa el uso por parte del Gobierno de aplicaciones en línea basadas en la web y otras tecnologías de la información, combinadas con procesos que implementan estas tecnologías, para— (A) mejorar el acceso y la entrega de información y servicios gubernamentales al público, otras agencias y otras entidades gubernamentales; o (B) lograr mejoras en las operaciones gubernamentales que pueden incluir eficacia, eficiencia, calidad del servicio o transformación; (4) «arquitectura empresarial»— (A) significa— (i) una base estratégica de activos de información, que define la misión; (ii) la información necesaria para cumplir la misión; (iii) las tecnologías necesarias para cumplir la misión; y (iv) los procesos de transición para implementar nuevas tecnologías en respuesta a las necesidades cambiantes de la misión; y (B) incluye— (i) una arquitectura de referencia; (ii) una arquitectura objetivo; y (iii) un plan de secuencia; (5) «Fondo» significa el Fondo de Gobierno Electrónico establecido bajo la sección 3604;...
• Condición de autoridad extraída: (3) El término «seguridad de la información» significa proteger la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados con el fin de proporcionar— (A) integridad, que significa proteger contra la modificación o destrucción inapropiada de la información, e incluye asegurar la no repudio y autenticidad de la información; (B) confidencialidad, que significa preservar las restricciones autorizadas en el acceso y divulgación, incluidos los medios para proteger la privacidad personal y la información patentada; y (C) disponibilidad, que significa garantizar el acceso oportuno y confiable y el uso de la información.

Controles de salvaguarda y difusión

• Políticas aplicables del DoD: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• Nara básico o especificado: Básico
• Filas de autoridad Nara: 44 USC 3554 (véase OMB M-24-04 para orientación de implementación) | estado: Básico | banner: CUI || 44 USC 3555(f) | estado: Básico | banner: CUI
• Marcas de banner Nara: CUI
• Políticas aplicables de DoD: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• No se lista ningún control de difusión requerido por DoD en la página del registro. Aplique controles de difusión limitados aprobados solo cuando lo requiera o permita la agencia designante o la autoridad gobernante.
• Use primero las afirmaciones del registro, las filas de autoridad de NARA, las autoridades de DoD, las políticas de DoD, las declaraciones de advertencia, los controles de difusión requeridos y los ejemplos. Cuando la autoridad citada no especifique un detalle de manejo, aplique las salvaguardas básicas de CUI y las reglas de difusión siempre que no entren en conflicto con la autoridad o los controles específicos de la agencia.
• Control de autoridad extraído: (3) El término «seguridad de la información» significa proteger la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados con el fin de proporcionar— (A) integridad, que significa proteger contra la modificación o destrucción inapropiada de la información, e incluye asegurar la no repudio y autenticidad de la información; (B) confidencialidad, que significa preservar las restricciones autorizadas en el acceso y divulgación, incluidos los medios para proteger la privacidad personal y la información patentada; y (C) disponibilidad, que significa garantizar el acceso oportuno y confiable y el uso de la información.
• Control de autoridad extraído: Autoridad y funciones del Director y el Secretario (a) D IRECTOR.—El Director supervisará las políticas y prácticas de seguridad de la información de la agencia, incluyendo— (1) desarrollar y supervisar la implementación de políticas, principios, normas y directrices sobre seguridad de la información, incluyendo asegurar la adopción oportuna y cumplimiento de las normas promulgadas bajo la sección 11331 del título 40; (2) exigir a las agencias, de conformidad con las normas promulgadas bajo dicha sección 11331 y los requisitos de este subcapítulo, que identifiquen y proporcionen protecciones de seguridad de la información acordes con el riesgo y la magnitud del daño resultante del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados de— (A) información recopilada o mantenida por o en nombre de una agencia; o (B) sistemas de información utilizados u operados por una agencia o por un contratista de una agencia u otra organización en nombre de una agencia; (3) asegurar que el Secretario lleve a cabo las autoridades y funciones bajo el apartado (b); (4) coordinar el desarrollo de normas y directrices bajo la sección 20 de la Ley del Instituto Nacional de Estándares y Tecnología (15 U.S.C. 278g–3) con agencias y oficinas que operan o ejercen control sobre sistemas de seguridad nacional (incluida la Agencia de Seguridad Nacional) para asegurar,...
• Control de autoridad extraído: L. 113–283, § 2(d), 18 de diciembre de 2014, 128 Stat. 3085, estableció que: «(1) R EQUISITOS.—El Director de la Oficina de Administración y Presupuesto deberá asegurar que las políticas y directrices de notificación de violaciones de datos se actualicen periódicamente y requieran— «(A) salvo lo dispuesto en el párrafo (4), la notificación por parte de la agencia afectada a cada comité del Congreso descrito en la sección 3554(c)(1) del título 44, Código de Estados Unidos, según lo añadido por el apartado (a), al Comité Judicial del Senado y al Comité Judicial de la Cámara de Representantes, que deberá— «(i) proporcionarse con rapidez y no más tarde de 30 días después de la fecha en que la agencia descubrió la adquisición o acceso no autorizado; y «(ii) incluir— «(I) información sobre la violación, que incluya un resumen de cualquier información que la agencia conozca en la fecha en que se proporciona la notificación sobre cómo ocurrió la violación; «(II) una estimación del número de individuos afectados por la violación, basada en la información que la agencia conoce en la fecha en que se proporciona la notificación, incluida una evaluación del riesgo de daño a los individuos afectados; «(III) una descripción de cualquier circunstancia que justifique un retraso en la notificación a las personas afectadas; y «(IV) una estimación de si y cuándo la agencia proporcionará notificación a las personas afectadas;...
• Control de autoridad extraído: Sistemas de seguridad nacional El jefe de cada agencia que opere o ejerza control sobre un sistema de seguridad nacional será responsable de asegurar que la agencia— (1) proporcione protecciones de seguridad de la información proporcionales al riesgo y magnitud del daño resultante del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados de la información contenida en dicho sistema; (2) implemente políticas y prácticas de seguridad de la información según lo exijan las normas y directrices para sistemas de seguridad nacional, emitidas conforme a la ley y según lo dirigido por el Presidente; y (3) cumpla con los requisitos de este subcapítulo.
• Control de autoridad extraído: (b) D EFINICIONES ADICIONALES.—Según se utiliza en este subcapítulo: (1) El término «directiva operativa vinculante» significa una instrucción obligatoria para una agencia que— (A) tiene por objeto salvaguardar la información federal y los sistemas de información frente a una amenaza, vulnerabilidad o riesgo de seguridad de la información conocido o razonablemente sospechado; (B) debe estar conforme con las políticas, principios, normas y directrices emitidas por el Director; y (C) puede ser revisada o derogada por el Director si la directiva emitida en nombre del Director no está conforme con las políticas y principios desarrollados por el Director.
• Control de autoridad extraído: Propósitos Los propósitos de este subcapítulo son— (1) proporcionar un marco integral para asegurar la efectividad de los controles de seguridad de la información sobre los recursos informáticos que apoyan las operaciones y activos federales; (2) reconocer la naturaleza altamente interconectada del entorno informático federal actual y proporcionar una gestión y supervisión gubernamentales eficaces de los riesgos de seguridad de la información relacionados, incluida la coordinación de esfuerzos de seguridad de la información en las comunidades civil, de seguridad nacional y de aplicación de la ley; (3) establecer el desarrollo y mantenimiento de controles mínimos requeridos para proteger la información federal y los sistemas de información; (4) proporcionar un mecanismo para mejorar la supervisión de los programas de seguridad de la información de las agencias federales, incluso mediante herramientas automatizadas de seguridad para diagnosticar y mejorar continuamente la seguridad; (5) reconocer que los productos de seguridad de la información desarrollados comercialmente ofrecen soluciones avanzadas, dinámicas, robustas y eficaces de seguridad de la información, que reflejan soluciones de mercado para la protección de infraestructuras de información críticas importantes para la defensa nacional y la seguridad económica de la nación, que son diseñadas, construidas y operadas por el sector privado;...
• Control de autoridad extraído: (2) P ROCEDIMIENTOS PARA EL USO DE LA AUTORIDAD.—El Secretario deberá— (A) en coordinación con el Director, y en consulta con contratistas federales según corresponda, establecer procedimientos que reglamenten las circunstancias bajo las cuales puede emitirse una directiva bajo este apartado, que incluirán— (i) umbrales y otros criterios; (ii) protecciones de privacidad y libertades civiles; y (iii) notificación a terceros potencialmente afectados; (B) especificar las razones para la acción requerida y la duración de la directiva; (C) minimizar el impacto de una directiva bajo este apartado mediante— (i) adoptar el medio menos intrusivo posible bajo las circunstancias para asegurar los sistemas de información de la agencia; y (ii) limitar las directivas al período más corto práctico; (D) notificar inmediatamente al Director y al jefe de cualquier agencia afectada tras la emisión de una directiva bajo este apartado; (E) consultar con el Director del Instituto Nacional de Estándares y Tecnología respecto a cualquier directiva bajo este apartado que implemente normas y directrices desarrolladas por el Instituto Nacional de Estándares y Tecnología; (F) asegurar que las directivas emitidas bajo este apartado no entren en conflicto con las normas y directrices emitidas bajo la sección 11331 del título 40;...

Evidencia de designación

• Evidencia de autoridad relacionada: DoD enumera esta política aplicable para la categoría; el texto de la política vinculada se extrae a continuación cuando está disponible.
• Contexto de designación del registro: Básico, CUI. El texto de autoridad vinculado contiene lenguaje de alcance de categoría o aplicabilidad que ayuda a determinar cuándo la información pertenece a esta categoría CUI. El texto de autoridad vinculado contiene lenguaje relacionado con divulgación, acceso, protección, liberación, diseminación o control de distribución relevante para el manejo. El texto de autoridad vinculado contiene lenguaje sobre violaciones, sanciones, penalizaciones o aplicación que puede afectar las consecuencias por manejo indebido.
• La designación del registro para esta categoría es Básico con banner CUI.

Significado extraído de la autoridad

• Título: DoDI 8500.01, 14 de marzo de 2014, con la incorporación del Cambio 1 el 7 de octubre de 2019
• Contexto de designación del registro: Básico, CUI. El texto de autoridad vinculado contiene lenguaje de alcance de categoría o aplicabilidad que ayuda a determinar cuándo la información pertenece a esta categoría CUI. El texto de autoridad vinculado contiene lenguaje relacionado con divulgación, acceso, protección, liberación, diseminación o control de distribución relevante para el manejo. El texto de autoridad vinculado contiene lenguaje sobre violaciones, sanciones, penalizaciones o aplicación que puede afectar las consecuencias por manejo indebido.

Condiciones operativas

• DoD lista esta política aplicable para la categoría; el texto de la política vinculada se extrae a continuación cuando está disponible.
• Condición extraída de la autoridad: Las solicitudes de propuestas incluirán información suficiente para evaluar el enfoque propuesto por cada oferente para satisfacer los requisitos de control de seguridad.
• Condición extraída de la autoridad: (b) Ejemplos de plataformas que pueden incluir PIT son: sistemas de armas, simuladores de entrenamiento, equipos de prueba diagnóstica y mantenimiento, equipos de calibración, equipos utilizados en la investigación y desarrollo de sistemas de armas, dispositivos médicos y tecnologías de información de salud, vehículos y vehículos con combustibles alternativos (por ejemplo, eléctrico, biocombustible, Gas Natural Licuado que contienen computadoras de a bordo), edificios y sus sistemas de control asociados (sistemas de automatización de edificios o sistemas de gestión de edificios, sistema de gestión de energía, seguridad contra incendios y para la vida, seguridad física, ascensores, etc.), sistemas de distribución de servicios públicos (como eléctrico, agua, aguas residuales, gas natural y vapor), sistemas de telecomunicaciones diseñados específicamente para industriales DoDI 8500.01, 14 de marzo de 2014
• Condición extraída de la autoridad: Los componentes del DoD deben compartir los paquetes de autorización de seguridad con los propietarios de la información afectados o DoDI 8500.01, 14 de marzo de 2014
• Condición extraída de la autoridad: Las políticas y procedimientos de intercambio de información del DoD están definidos en DoDD 8320.02 (Referencia (cr)) y DoDI 8320.07 (Referencia (cs)).

Controles de salvaguarda y difusión

• Control extraído de la autoridad: Toda la información del DoD en formato electrónico recibirá un nivel apropiado de confidencialidad, integridad y disponibilidad que refleje la importancia tanto del intercambio como de la protección de la información.
• Control extraído de la autoridad: Los sistemas de información deben proteger la información clasificada y el CUI contra el acceso no autorizado exigiendo autenticación de acuerdo con la Referencia (ck) antes de tomar una decisión de acceso. e.
• Control extraído de la autoridad: PIT tecnología de información de plataformas PKI infraestructura de clave pública PM gerente de programa PPP plan de protección del programa RMF marco de gestión de riesgos SAP programa de acceso especial SCAP protocolo automatizado de contenido de seguridad SCI información compartimentada sensible SIPRNet Red de Router de Protocolos de Internet Secreta SISO Oficial Principal de Seguridad de la Información SM gerente del sistema SP Publicación Especial SRG guía de requerimientos de seguridad SSE ingeniería de seguridad de sistemas STIG guía técnica de implementación de seguridad T&E prueba y evaluación TPM módulo de plataforma confiable TRANSEC seguridad de transmisión TSN sistemas y redes confiables U.S.C.
• Control extraído de la autoridad: (2) La información originada por DoD y proporcionada por DoD que reside en ISs de socios de misión debe ser adecuadamente protegida, con acuerdos documentados que indiquen los niveles requeridos de protección.
• Control extraído de la autoridad: La información e infraestructura que soportan funciones, procesos y procedimientos dependientes de identidad utilizados en apoyo de operaciones del DoD, incluyendo pero no limitado a la acreditación de identidad, incorporarán medidas para asegurar la confidencialidad, integridad, autenticidad y disponibilidad de datos de identidad o credenciales de identidad.
• Control extraído de la autoridad: sanciones judiciales si ellos, a sabiendas, voluntaria o negligentemente comprometen, dañan o ponen en riesgo la información del DoD al no garantizar la implementación de los requisitos de seguridad del DoD en DoDI 8500.01, 14 de marzo de 2014

Evidencia de designación

• Evidencia de autoridad relacionada: DoD enumera esta política aplicable para la categoría; el texto de la política vinculada se extrae a continuación cuando está disponible.
• Contexto de designación del registro: Básico, CUI. El texto de autoridad vinculado contiene lenguaje de alcance de categoría o aplicabilidad que ayuda a determinar cuándo la información pertenece a esta categoría CUI. El texto de autoridad vinculado contiene lenguaje relacionado con divulgación, acceso, protección, liberación, diseminación o control de distribución relevante para el manejo. El texto de autoridad vinculado contiene lenguaje sobre violaciones, sanciones, penalizaciones o aplicación que puede afectar las consecuencias por manejo indebido.
• La designación del registro para esta categoría es Básico con banner CUI.

Significado extraído de la autoridad

• Título: DoDI 8510.01, "Marco de Gestión de Riesgos para Sistemas DoD," 19 de julio de 2022
• Contexto de designación del registro: Básico, CUI. El texto de autoridad vinculado contiene lenguaje de alcance de categoría o aplicabilidad que ayuda a determinar cuándo la información pertenece a esta categoría CUI. El texto de autoridad vinculado contiene lenguaje relacionado con divulgación, acceso, protección, liberación, diseminación o control de distribución relevante para el manejo. El texto de autoridad vinculado contiene lenguaje sobre violaciones, sanciones, penalizaciones o aplicación que puede afectar las consecuencias por manejo indebido.

Condiciones operativas

• DoD lista esta política aplicable para la categoría; el texto de la política vinculada se extrae a continuación cuando está disponible.
• Condición extraída de la autoridad: (6) Revisar el paquete de documentación de autorización de seguridad a la luz de indicadores de misión y ambiente de información y determinar un curso de acción proporcionado al CIO o CISO responsable para los requisitos de reporte descritos en FISMA.
• Condición extraída de la autoridad: circunstancia o evento potencial en la red interdependiente de infraestructuras de tecnología de la información, e incluye redes de telecomunicaciones, sistemas informáticos y procesadores y controladores embebidos.
• Condición de autoridad extraída: > Tarea P-2 > Estrategia de Gestión de Riesgos > Se establece una estrategia de gestión de riesgos para la organización que incluye una determinación y expresión de la tolerancia al riesgo organizacional. [CSF: ID.RM; ID.SC ] > Jefe de la Agencia > Tarea P-3 > Evaluación de Riesgos – Organización > Se completa una evaluación de riesgos a nivel organizacional, o se actualiza una evaluación de riesgos existente. [CSF: ID.RA; ID.SC-2 ] > • Oficial Principal Responsable de Gestión de Riesgos o Ejecutivo de Riesgos (Función) > • Oficial Principal de Seguridad de la Información de la Agencia (ISO) > • Oficial Principal de Privacidad de la Agencia > Tarea P-4 > Líneas base de controles adaptadas organizacionalmente y perfiles CSF (Opcional) > Se establecen y ponen a disposición líneas base de controles y/o perfiles CSF adaptados organizacionalmente. [CSF: > Perfil ] > • Propietario de Misión o Negocio > Oficial Principal Responsable de Gestión de Riesgos o Ejecutivo de Riesgos (Función)

Controles de salvaguarda y difusión

• Control de autoridad extraído: Categorice el sistema de acuerdo con CNSSI No. 1253 basado en la información analizada, almacenada y transmitida por el sistema y un análisis del impacto de la posible pérdida de confidencialidad, integridad y disponibilidad para las operaciones y activos organizacionales, individuos, otras organizaciones y la Nación con respecto a la pérdida de confidencialidad, integridad y disponibilidad de los sistemas organizativos.
• Control de autoridad extraído: Los profesionales de RMF del DoD necesitan acceso a la dirección, estándares y herramientas de RMF para aplicar de manera efectiva y eficiente los métodos, estándares y prácticas apropiados requeridos para proteger la tecnología de la información del DoD.
• Control de autoridad extraído: (b) Realiza la Función Ejecutiva de Riesgos según se describe en DoDI 8500.01 y NIST SP 800-39, y toma determinaciones de aceptación de riesgos a nivel empresarial para sistemas empresariales autorizados, satisfaciendo los requisitos de reciprocidad en ciberseguridad.
• Control de autoridad extraído: Verifica que las oficinas ejecutivas de programas de adquisición y los PMs del Componente del DoD sean responsables de coordinar las decisiones de compensación durante el mantenimiento de sistemas (es decir, decisiones de retener o retrasar la remediación de vulnerabilidades, que impactan significativamente en la supervivencia de los sistemas bajo las condiciones del entorno operativo previsto) con los patrocinadores de requisitos, AO y las fuerzas de operaciones en el ciberespacio del Componente.
• Control de autoridad extraído: Evalúa la postura general de seguridad de los Sistemas de Seguridad Nacional, identifica sus vulnerabilidades y difunde información sobre amenazas al DoD.
• Control de autoridad extraído: (1) El Marco Adaptativo de Adquisición está definido e ilustrado en DoDI 5000.02.

Evidencia de designación

• Evidencia de autoridad relacionada: DoD enumera esta política aplicable para la categoría; el texto de la política vinculada se extrae a continuación cuando está disponible.
• Contexto de designación del registro: Básico, CUI. El texto de autoridad vinculado contiene lenguaje de alcance o aplicabilidad de categoría que ayuda a determinar cuándo la información cae dentro de esta categoría CUI. El texto de autoridad vinculado contiene lenguaje de divulgación, acceso, protección, liberación, diseminación o control de distribución relevante para el manejo.
• La designación del registro para esta categoría es Básico con banner CUI.

Significado extraído de la autoridad

• Título: DoDI 8531.01, "Gestión de Vulnerabilidades del DoD," 15 de septiembre de 2020
• Contexto de designación del registro: Básico, CUI. El texto de autoridad vinculado contiene lenguaje de alcance o aplicabilidad de categoría que ayuda a determinar cuándo la información cae dentro de esta categoría CUI. El texto de autoridad vinculado contiene lenguaje de divulgación, acceso, protección, liberación, diseminación o control de distribución relevante para el manejo.

Condiciones operativas

• DoD lista esta política aplicable para la categoría; el texto de la política vinculada se extrae a continuación cuando está disponible.
• Condición de autoridad extraída: (2) La información presentada al DoD a través del VDP debe usarse con fines defensivos para mitigar o remediar vulnerabilidades en sistemas, subsistemas o componentes del sistema DODIN.
• Condición de autoridad extraída: • Establece políticas, asigna responsabilidades y proporciona procedimientos para la gestión de vulnerabilidades del DoD y la respuesta a vulnerabilidades identificadas en todo el software, firmware y hardware dentro de la red de información del DoD (DODIN).
• Condición de autoridad extraída: Coordina cualquier problema o preocupación de gestión de vulnerabilidades, gestión de activos, gestión de configuración y gestión de remediación o mitigación del DoD con el Comandante del Comando Cibernético de los Estados Unidos (USCYBERCOM) y el Cuartel General de Fuerzas Conjuntas - Red de Información del DoD (JFHQ-DODIN).
• Condición de autoridad extraída: Realiza escaneos mensuales de vulnerabilidades no autenticados y autenticados para obtener información precisa del sistema para el monitoreo continuo de sistemas previamente afectados.

Controles de salvaguarda y difusión

• Control de autoridad extraído: (6) Detalles de cómo la pérdida de confidencialidad, integridad o disponibilidad podría afectar las operaciones del DoD, activos organizativos o individuos (por ejemplo, efectos limitados, graves, catastróficos o cataclísmicos).
• Control de autoridad extraído: Coordina con DoD SISO sobre políticas de seguridad y asuntos relacionados con inteligencia y seguridad para salvaguardar la información en sistemas y redes.
• Control de autoridad extraído: Los Componentes del DoD realizarán evaluaciones de impacto para determinar la probabilidad esperada de pérdida de integridad, confidencialidad y disponibilidad si la vulnerabilidad no se remedia o mitiga.
• Control de autoridad extraído: Determinar, caso por caso, qué método de remediación o mitigación es el más beneficioso y considerar la pérdida de confidencialidad, integridad y disponibilidad.
• Control de autoridad extraído: Evalúa la postura general de seguridad de todos los sistemas del DoD y difunde información sobre amenazas y vulnerabilidades que afectan a los componentes del sistema DoD en coordinación con USCYBERCOM.