Information Systems Vulnerability Information

Éléments de désignation

• Ligne d’autorité NARA: 44 USC 3554 (voir OMB M-24-04 pour les directives de mise en œuvre) | statut: Basique | bannière: CUI.
• Preuve d’autorité associée: 44 USC 3554 (voir OMB M-24-04 pour les directives de mise en œuvre) | statut: Basique | bannière: CUI

Sens extrait de l'autorité

Aucun listé

Conditions opérationnelles

• Portée de la catégorie NARA utilisée avec cette autorité: Relatif aux informations qui, si elles ne sont pas protégées, pourraient entraîner des effets négatifs sur les systèmes d'information. Un système d'information désigne un ensemble distinct de ressources informationnelles organisé pour la collecte, le traitement, la maintenance, l'utilisation, le partage, la diffusion ou la disposition d'informations.
• 44 USC 3554 (voir OMB M-24-04 pour les directives de mise en œuvre) | statut: Basique | bannière: CUI
• Statut du registre NARA: Basique. Valeurs du statut NARA par autorité: Basique. Preuve du marquage de la bannière NARA: CUI. Les preuves du registre sont conservées ici; une analyse détaillée des textes de lois ou règlements primaires demeure en attente pour cette catégorie.
• Portée de la catégorie NARA: Relatif aux informations qui, si elles ne sont pas protégées, pourraient entraîner des effets négatifs sur les systèmes d'information. Un système d'information désigne un ensemble distinct de ressources informationnelles organisé pour la collecte, le traitement, la maintenance, l'utilisation, le partage, la diffusion ou la disposition d'informations.

Contrôles de protection et de diffusion

• Évidence de contrôle du registre NARA: statut Basique; marquage de bannière CUI.
• Nara basique ou spécifié: Basique
• Lignes d’autorité NARA: 44 USC 3554 (voir OMB M-24-04 pour les directives de mise en œuvre) | statut: Basique | bannière: CUI || 44 USC 3555(f) | statut: Basique | bannière: CUI
• Marquages de la bannière Nara: CUI
• Politiques applicables DoD: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• Aucun contrôle de diffusion requis par le DoD n'est indiqué sur la page du registre. Appliquez les contrôles limités de diffusion approuvés uniquement lorsque cela est requis ou permis par l'agence désignante ou l'autorité gouvernante.
• Utilisez d'abord les assertions du registre, les lignes d'autorité NARA, les autorités DoD, les politiques DoD, les déclarations d'avertissement, les contrôles de diffusion requis et les exemples. Lorsque l'autorité citée ne précise pas un détail de manipulation, appliquez les mesures de protection et les règles de diffusion CUI Basic tant qu'elles ne sont pas en conflit avec l'autorité ou les contrôles spécifiques à l'agence.

Éléments de désignation

• Ligne d’autorité NARA: 44 USC 3555(f) | statut: Basique | bannière: CUI.
• Preuve d’autorité associée: 44 USC 3555(f) | statut: Basique | bannière: CUI

Sens extrait de l'autorité

Aucun listé

Conditions opérationnelles

• Portée de la catégorie NARA utilisée avec cette autorité: Relatif aux informations qui, si elles ne sont pas protégées, pourraient entraîner des effets négatifs sur les systèmes d'information. Un système d'information désigne un ensemble distinct de ressources informationnelles organisé pour la collecte, le traitement, la maintenance, l'utilisation, le partage, la diffusion ou la disposition d'informations.
• 44 USC 3555(f) | statut: Basique | bannière: CUI
• Statut du registre NARA: Basique. Valeurs du statut NARA par autorité: Basique. Preuve du marquage de la bannière NARA: CUI. Les preuves du registre sont conservées ici; une analyse détaillée des textes de lois ou règlements primaires demeure en attente pour cette catégorie.
• Portée de la catégorie NARA: Relatif aux informations qui, si elles ne sont pas protégées, pourraient entraîner des effets négatifs sur les systèmes d'information. Un système d'information désigne un ensemble distinct de ressources informationnelles organisé pour la collecte, le traitement, la maintenance, l'utilisation, le partage, la diffusion ou la disposition d'informations.

Contrôles de protection et de diffusion

• Évidence de contrôle du registre NARA: statut Basique; marquage de bannière CUI.
• Nara basique ou spécifié: Basique
• Lignes d’autorité NARA: 44 USC 3554 (voir OMB M-24-04 pour les directives de mise en œuvre) | statut: Basique | bannière: CUI || 44 USC 3555(f) | statut: Basique | bannière: CUI
• Marquages de la bannière Nara: CUI
• Politiques applicables DoD: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• Aucun contrôle de diffusion requis par le DoD n'est indiqué sur la page du registre. Appliquez les contrôles limités de diffusion approuvés uniquement lorsque cela est requis ou permis par l'agence désignante ou l'autorité gouvernante.
• Utilisez d'abord les assertions du registre, les lignes d'autorité NARA, les autorités DoD, les politiques DoD, les déclarations d'avertissement, les contrôles de diffusion requis et les exemples. Lorsque l'autorité citée ne précise pas un détail de manipulation, appliquez les mesures de protection et les règles de diffusion CUI Basic tant qu'elles ne sont pas en conflit avec l'autorité ou les contrôles spécifiques à l'agence.

Éléments de désignation

• Ligne d’autorité DoD: 44 USC 3554 - 3555. Le DoD cite cette référence pour la catégorie; cette page de détail DoD ne présente pas de champ Basique/Spécifié distinct.
• Preuve d'autorité liée: Le DoD liste cette autorité pour la catégorie; le texte d'autorité lié est extrait ci-dessous lorsqu'il est disponible.
• Contexte de désignation dans le registre: Basique, CUI. Le texte d'autorité lié contient un langage de portée de catégorie ou d'applicabilité qui aide à déterminer quand l'information relève de cette catégorie CUI. Le texte d'autorité lié contient un langage de contrôle de divulgation, d'accès, de protection, de diffusion ou de distribution pertinent pour la gestion. Le texte d'autorité lié contient un langage relatif à la violation, pénalité, sanction ou application pouvant affecter les conséquences en cas de mauvaise gestion.
• La désignation dans le registre pour cette catégorie est Basique avec la bannière CUI.

Sens extrait de l'autorité

• Page 152 TITRE 44—IMPRESSION PUBLIQUE ET DOCUMENTS § 3551
• Contexte de désignation dans le registre: Basique, CUI. Le texte d'autorité lié contient un langage de portée de catégorie ou d'applicabilité qui aide à déterminer quand l'information relève de cette catégorie CUI. Le texte d'autorité lié contient un langage de contrôle de divulgation, d'accès, de protection, de diffusion ou de distribution pertinent pour la gestion. Le texte d'autorité lié contient un langage relatif à la violation, pénalité, sanction ou application pouvant affecter les conséquences en cas de mauvaise gestion.

Conditions opérationnelles

• Portée de la catégorie DoD utilisée avec cette autorité: Relatif aux informations qui, si elles ne sont pas protégées, pourraient entraîner des effets négatifs sur les systèmes d'information. Un système d'information désigne un ensemble distinct de ressources informationnelles organisé pour la collecte, le traitement, la maintenance, l'utilisation, le partage, la diffusion ou la disposition d'informations.
• Le DoD répertorie cette autorité pour la catégorie; le texte de l'autorité lié est extrait ci-dessous lorsqu'il est disponible.
• Statut du registre NARA: Basique. Valeurs du statut NARA par autorité: Basique. Preuve du marquage de la bannière NARA: CUI. Les preuves du registre sont conservées ici; une analyse détaillée des textes de lois ou règlements primaires demeure en attente pour cette catégorie.
• Portée de la catégorie NARA: Relatif aux informations qui, si elles ne sont pas protégées, pourraient entraîner des effets négatifs sur les systèmes d'information. Un système d'information désigne un ensemble distinct de ressources informationnelles organisé pour la collecte, le traitement, la maintenance, l'utilisation, le partage, la diffusion ou la disposition d'informations.
• Condition d’autorité extraite: L. 114–4, voir Tables pour classification] pour ‘National Protection and Programs Directorate, Infrastructure Protection and Information Security’, 140 525 000 $ pour le programme, projet et activité de sécurité des réseaux fédéraux seront utilisés pour déployer sur les systèmes fédéraux une technologie visant à améliorer la sécurité de l’information des systèmes d’information des agences couvertes par [anciennement] la section 3543(a) du titre 44, Code des États-Unis [voir maintenant 44 U.S.C. 3553]: Pourvu que les fonds mis à disposition en vertu de cette section soient utilisés pour assister et soutenir les efforts à l’échelle gouvernementale et propre à l’agence afin de fournir une cybersécurité adéquate, basée sur les risques et rentable, pour faire face aux menaces croissantes et rapidement évolutives à la sécurité de l’information, y compris l’acquisition et l’exploitation d’un programme de surveillance et de diagnostic continu, en collaboration avec les départements et agences, incluant le matériel, les logiciels et les services fournis par le Département de la Sécurité intérieure: Pourvu en outre que les logiciels de surveillance et de diagnostic continus acquis avec les fonds rendus disponibles par cette section ne transmettent aucune information personnellement identifiable ni contenu des communications réseau des utilisateurs d’autres agences au Département de la Sécurité intérieure: Pourvu en outre que ces logiciels soient installés, maintenus...
• Condition d’autorité extraite: (b) DÉFINITIONS SUPPLÉMENTAIRES.—Tel qu’utilisé dans ce sous-chapitre: (1) Le terme « directive opérationnelle contraignante » désigne une directive obligatoire à une agence qui— (A) a pour but de protéger les informations fédérales et les systèmes d’information contre une menace, vulnérabilité ou risque de sécurité de l’information connue ou raisonnablement soupçonnée; (B) doit être conforme aux politiques, principes, normes et directives émises par le Directeur; et (C) peut être révisée ou abrogée par le Directeur si la directive émise au nom du Directeur n’est pas conforme aux politiques et principes développés par le Directeur.
• Condition d’autorité extraite: (b) SECRÉTAIRE.—Le Secrétaire, en consultation avec le Directeur, administrera la mise en œuvre des politiques et pratiques de sécurité de l’information des agences pour les systèmes d’information, à l’exception des systèmes de sécurité nationale et des systèmes d’information décrits aux paragraphes (2) ou (3) du sous-alinéa (e), y compris— (1) assister le Directeur dans l’exercice des attributions et fonctions selon les paragraphes (1), (2), (3), (5) et (6) du sous-alinéa (a); (2) développer et superviser la mise en œuvre de directives opérationnelles contraignantes aux agences pour appliquer les politiques, principes, normes et directives élaborées par le Directeur en vertu du sous-alinéa (a)(1) ainsi que les exigences du présent sous-chapitre, lesquelles peuvent être révisées ou abrogées par le Directeur si les directives opérationnelles émises au nom du Directeur ne sont pas conformes aux politiques, principes, normes et directives élaborés par le Directeur, notamment— (A) exigences de signalement des incidents de sécurité au centre fédéral des incidents de sécurité informatique établi en vertu de la section 3556; (B) exigences relatives au contenu des rapports annuels devant être soumis conformément à la section 3554(c)(1); (C) exigences visant à atténuer les risques urgents pour les systèmes d’information; et (D) autres exigences opérationnelles telles que le Directeur ou le Secrétaire, en consultation avec le Directeur,...
• Condition d'autorité extraite: (c) R APPORT.—Au plus tard le 1er mars de chaque année, le Directeur, en consultation avec le Secrétaire, doit soumettre au Congrès un rapport sur l'efficacité des politiques et pratiques de sécurité de l'information durant l'année précédente, comprenant— (1) un résumé des incidents décrits dans les rapports annuels requis par la section 3554(c)(1), incluant un résumé des informations requises par la section 3554(c)(1)(A)(iii); (2) une description du seuil pour le signalement des incidents majeurs de sécurité de l'information; (3) un résumé des résultats des évaluations devant être effectuées selon la section 3555; (4) une évaluation de la conformité des agences aux normes promulguées en vertu de la section 11331 du titre 40; et (5) une évaluation de la conformité des agences aux politiques et procédures de notification des violations de données émises par le Directeur.
• Condition d'autorité extraite: Définitions Dans ce chapitre, les définitions de la section 3502 s'appliquent, et le terme— (1) « Administrateur » désigne l'Administrateur du Bureau du Gouvernement Électronique créé en vertu de la section 3602; (2) « Conseil » désigne le Conseil des Directeurs de l'Information créé en vertu de la section 3603; (3) « gouvernement électronique » désigne l'utilisation par le Gouvernement des applications Internet basées sur le Web et d'autres technologies de l'information, combinées à des processus qui mettent en œuvre ces technologies, pour— (A) améliorer l'accès et la prestation d'informations et de services gouvernementaux au public, aux autres agences et aux autres entités gouvernementales; ou (B) apporter des améliorations dans les opérations gouvernementales, pouvant inclure l'efficacité, l'efficience, la qualité du service ou la transformation; (4) « architecture d'entreprise »— (A) désigne— (i) une base stratégique d'actifs d'information, qui définit la mission; (ii) l'information nécessaire à l'accomplissement de la mission; (iii) les technologies nécessaires à l'exécution de la mission; et (iv) les processus de transition pour la mise en œuvre de nouvelles technologies en réponse aux besoins changeants de la mission; et (B) comprend— (i) une architecture de base; (ii) une architecture cible; et (iii) un plan de séquençage; (5) « Fonds » désigne le Fonds pour le Gouvernement Électronique institué en vertu de la section 3604;...
• Condition d'autorité extraite: (3) Le terme « sécurité de l'information » signifie la protection des informations et des systèmes d'information contre l'accès, l'utilisation, la divulgation, la perturbation, la modification ou la destruction non autorisés afin d'assurer— (A) l'intégrité, qui signifie la protection contre une modification ou une destruction inappropriée des informations, et inclut l'assurance de la non-répudiation et de l'authenticité de l'information; (B) la confidentialité, qui signifie la préservation des restrictions autorisées sur l'accès et la divulgation, y compris les moyens de protection de la vie privée personnelle et des informations propriétaires; et (C) la disponibilité, qui signifie assurer un accès et une utilisation en temps utile et fiables de l'information.

Contrôles de protection et de diffusion

• Politiques applicables du DoD: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• Nara basique ou spécifié: Basique
• Lignes d’autorité NARA: 44 USC 3554 (voir OMB M-24-04 pour les directives de mise en œuvre) | statut: Basique | bannière: CUI || 44 USC 3555(f) | statut: Basique | bannière: CUI
• Marquages de la bannière Nara: CUI
• Politiques applicables DoD: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• Aucun contrôle de diffusion requis par le DoD n'est indiqué sur la page du registre. Appliquez les contrôles limités de diffusion approuvés uniquement lorsque cela est requis ou permis par l'agence désignante ou l'autorité gouvernante.
• Utilisez d'abord les assertions du registre, les lignes d'autorité NARA, les autorités DoD, les politiques DoD, les déclarations d'avertissement, les contrôles de diffusion requis et les exemples. Lorsque l'autorité citée ne précise pas un détail de manipulation, appliquez les mesures de protection et les règles de diffusion CUI Basic tant qu'elles ne sont pas en conflit avec l'autorité ou les contrôles spécifiques à l'agence.
• Contrôle d'autorité extrait: (3) Le terme « sécurité de l'information » signifie la protection des informations et des systèmes d'information contre l'accès, l'utilisation, la divulgation, la perturbation, la modification ou la destruction non autorisés afin d'assurer— (A) l'intégrité, qui signifie la protection contre une modification ou une destruction inappropriée des informations, et inclut l'assurance de la non-répudiation et de l'authenticité de l'information; (B) la confidentialité, qui signifie la préservation des restrictions autorisées sur l'accès et la divulgation, y compris les moyens de protection de la vie privée personnelle et des informations propriétaires; et (C) la disponibilité, qui signifie assurer un accès et une utilisation en temps utile et fiables de l'information.
• Contrôle d'autorité extrait: Autorité et fonctions du Directeur et du Secrétaire (a) D IRECTEUR.—Le Directeur supervise les politiques et pratiques de sécurité de l'information des agences, incluant— (1) le développement et la supervision de la mise en œuvre de politiques, principes, normes et directives sur la sécurité de l'information, notamment en assurant l'adoption rapide par les agences et le respect des normes promulguées en vertu de la section 11331 du titre 40; (2) exiger des agences, conformément aux normes promulguées en vertu de cette section 11331 et aux exigences de ce sous-chapitre, d'identifier et de fournir des protections de sécurité de l'information proportionnées au risque et à l'ampleur du préjudice résultant de l'accès, de l'utilisation, de la divulgation, de la perturbation, de la modification ou de la destruction non autorisés de— (A) informations collectées ou maintenues par ou pour le compte d'une agence; ou (B) systèmes d'information utilisés ou exploités par une agence ou par un entrepreneur d'une agence ou autre organisation pour le compte de cette agence; (3) s'assurer que le Secrétaire exerce les autorités et fonctions prévues au paragraphe (b); (4) coordonner le développement de normes et directives en vertu de la section 20 de la loi sur le National Institute of Standards and Technology (15 U.S.C. 278g–3) avec les agences et bureaux exploitant ou exerçant un contrôle sur des systèmes de sécurité nationale (y compris la National Security Agency) pour assurer,...
• Contrôle d'autorité extrait: L. 113–283, § 2(d), 18 déc. 2014, 128 Stat. 3085, prévoit que: « (1) E XIGENCES.—Le Directeur du Bureau de gestion et du budget doit s'assurer que les politiques et lignes directrices de notification des violations de données sont mises à jour périodiquement et exigent— « (A) sauf disposition contraire du paragraphe (4), un avis par l'agence affectée à chaque comité du Congrès décrit à la section 3554(c)(1) du titre 44, Code des États-Unis, ajoutée par le paragraphe (a), au Comité judiciaire du Sénat, et au Comité judiciaire de la Chambre des représentants, qui doit— « (i) être fourni rapidement et au plus tard 30 jours après la date à laquelle l'agence a découvert l'acquisition ou l'accès non autorisé; et « (ii) inclure— « (I) des informations sur la violation, y compris un résumé de toute information connue par l'agence à la date de la notification sur la façon dont la violation s'est produite; « (II) une estimation du nombre d'individus affectés par la violation, basée sur les informations connues par l'agence à la date de la notification, y compris une évaluation du risque de préjudice pour les individus affectés; « (III) une description de toutes circonstances nécessitant un retard dans la notification des individus affectés; et « (IV) une estimation de si et quand l'agence fournira une notification aux individus affectés;...
• Contrôle d'autorité extrait: Systèmes de sécurité nationale Le responsable de chaque agence exploitant ou exerçant un contrôle sur un système de sécurité nationale doit s'assurer que l'agence— (1) fournit des protections de sécurité de l'information proportionnées au risque et à l'ampleur du préjudice résultant de l'accès, de l'utilisation, de la divulgation, de la perturbation, de la modification ou de la destruction non autorisés des informations contenues dans ce système; (2) met en œuvre des politiques et pratiques de sécurité de l'information conformément aux normes et directives pour les systèmes de sécurité nationale, émises conformément à la loi et sur instruction du Président; et (3) respecte les exigences de ce sous-chapitre.
• Contrôle d'autorité extrait: (b) D ÉFINITIONS SUPPLÉMENTAIRES.—Tel qu'utilisé dans ce sous-chapitre: (1) Le terme « directive opérationnelle contraignante » désigne une instruction obligatoire à une agence qui— (A) est à des fins de sauvegarde des informations et systèmes d'information fédéraux contre une menace, vulnérabilité ou risque connu ou raisonnablement soupçonné en matière de sécurité de l'information; (B) doit être conforme aux politiques, principes, normes et directives émises par le Directeur; et (C) peut être révisée ou abrogée par le Directeur si l'instruction émise au nom du Directeur n'est pas conforme aux politiques et principes élaborés par le Directeur.
• Contrôle d'autorité extrait: Objectifs Les objectifs de ce sous-chapitre sont de— (1) fournir un cadre complet pour assurer l'efficacité des contrôles de sécurité de l'information sur les ressources informationnelles qui soutiennent les opérations et actifs fédéraux; (2) reconnaître la nature hautement interconnectée de l'environnement informatique fédéral actuel et fournir une gestion et une supervision efficaces, à l'échelle gouvernementale, des risques liés à la sécurité de l'information, y compris la coordination des efforts de sécurité de l'information à travers les communautés civile, de la sécurité nationale et de l'application de la loi; (3) prévoir le développement et le maintien des contrôles minimaux requis pour protéger les informations et systèmes d'information fédéraux; (4) fournir un mécanisme pour une meilleure supervision des programmes de sécurité de l'information des agences fédérales, notamment via des outils de sécurité automatisés pour diagnostiquer et améliorer en continu la sécurité; (5) reconnaître que les produits de sécurité de l'information développés commercialement offrent des solutions avancées, dynamiques, robustes et efficaces, reflétant les solutions du marché pour la protection des infrastructures d'information critiques importantes pour la défense nationale et la sécurité économique de la nation, qui sont conçues, construites et exploitées par le secteur privé;...
• Contrôle d'autorité extrait: (2) PROCÉDURES POUR L'UTILISATION DE L'AUTORITÉ.—Le Secrétaire doit— (A) en coordination avec le Directeur, et en consultation avec les entrepreneurs fédéraux, selon le cas, établir des procédures régissant les circonstances dans lesquelles une directive peut être émise en vertu de ce paragraphe, lesquelles doivent inclure— (i) des seuils et autres critères; (ii) des protections de la vie privée et des libertés civiles; et (iii) la notification aux tiers potentiellement affectés; (B) spécifier les raisons de l'action requise et la durée de la directive; (C) minimiser l'impact d'une directive en vertu de ce paragraphe en— (i) adoptant les moyens les moins intrusifs possibles dans les circonstances pour sécuriser les systèmes d'information de l'agence; et (ii) limitant les directives à la plus courte période réalisable; (D) notifier immédiatement le Directeur et le chef de toute agence affectée dès l'émission d'une directive en vertu de ce paragraphe; (E) consulter le Directeur du National Institute of Standards and Technology concernant toute directive en vertu de ce paragraphe qui met en œuvre des normes et directives développées par le National Institute of Standards and Technology; (F) s'assurer que les directives émises en vertu de ce paragraphe ne sont pas en conflit avec les normes et directives émises en vertu de la section 11331 du titre 40;...

Éléments de désignation

• Preuve d'autorité liée: DoD liste cette politique applicable pour la catégorie; le texte de la politique liée est extrait ci-dessous lorsque disponible.
• Contexte de désignation dans le registre: Basique, CUI. Le texte d'autorité lié contient un langage de portée de catégorie ou d'applicabilité qui aide à déterminer quand l'information relève de cette catégorie CUI. Le texte d'autorité lié contient un langage de contrôle de divulgation, d'accès, de protection, de diffusion ou de distribution pertinent pour la gestion. Le texte d'autorité lié contient un langage relatif à la violation, pénalité, sanction ou application pouvant affecter les conséquences en cas de mauvaise gestion.
• La désignation dans le registre pour cette catégorie est Basique avec la bannière CUI.

Sens extrait de l'autorité

• Titre: DoDI 8500.01, 14 mars 2014, intégrant le Changement 1 du 7 octobre 2019
• Contexte de désignation dans le registre: Basique, CUI. Le texte d'autorité lié contient un langage de portée de catégorie ou d'applicabilité qui aide à déterminer quand l'information relève de cette catégorie CUI. Le texte d'autorité lié contient un langage de contrôle de divulgation, d'accès, de protection, de diffusion ou de distribution pertinent pour la gestion. Le texte d'autorité lié contient un langage relatif à la violation, pénalité, sanction ou application pouvant affecter les conséquences en cas de mauvaise gestion.

Conditions opérationnelles

• Le DoD liste cette politique applicable pour la catégorie; le texte de la politique liée est extrait ci-dessous lorsqu'il est disponible.
• Condition d'autorité extraite: Les demandes de propositions comprendront suffisamment d'informations permettant d'évaluer l'approche proposée par chaque soumissionnaire pour satisfaire aux exigences des contrôles de sécurité.
• Condition d'autorité extraite: (b) Exemples de plates-formes pouvant inclure PIT sont: systèmes d'armes, simulateurs de formation, équipements de test de diagnostic et de maintenance, équipements d'étalonnage, équipements utilisés dans la recherche et le développement de systèmes d'armes, dispositifs médicaux et technologies de l'information de santé, véhicules et véhicules à carburants alternatifs (par exemple, électrique, biocarburant, gaz naturel liquéfié contenant des ordinateurs embarqués), bâtiments et leurs systèmes de contrôle associés (systèmes d'automatisation du bâtiment ou systèmes de gestion du bâtiment, système de gestion de l'énergie, sécurité incendie et vie, sécurité physique, ascenseurs, etc.), systèmes de distribution de services publics (électricité, eau, eaux usées, gaz naturel et vapeur), systèmes de télécommunications conçus spécifiquement pour industriel DoDI 8500.01, 14 mars 2014
• Condition d'autorité extraite: Les Composantes du DoD doivent partager les dossiers d'autorisation de sécurité avec les propriétaires d'informations concernés ou DoDI 8500.01, 14 mars 2014
• Condition d'autorité extraite: Les politiques et procédures du DoD en matière de partage d'informations sont définies dans DoDD 8320.02 (Référence (cr)) et DoDI 8320.07 (Référence (cs)).

Contrôles de protection et de diffusion

• Contrôle d'autorité extrait: Toutes les informations du DoD en format électronique recevront un niveau approprié de confidentialité, d'intégrité et de disponibilité reflétant l'importance à la fois du partage et de la protection des informations.
• Contrôle d'autorité extrait: Les systèmes d'information doivent protéger les informations classifiées et CUI contre l'accès non autorisé en exigeant une authentification conformément à la Référence (ck) avant de prendre une décision d'accès. e.
• Contrôle d’autorité extrait: plateforme informatique PIT PKI infrastructure à clé publique PM gestionnaire de programme PPP plan de protection du programme RMF cadre de gestion des risques SAP programme d’accès spécial SCAP protocole d’automatisation du contenu de sécurité SCI informations compartimentées sensibles SIPRNet réseau secret de protocole Internet SISO agent principal de la sécurité des informations SM gestionnaire du système SP Publication spéciale SRG guide des exigences de sécurité SSE ingénierie de la sécurité des systèmes STIG guide technique de mise en œuvre de la sécurité T&E test et évaluation TPM module de plateforme de confiance TRANSEC sécurité de la transmission TSN systèmes et réseaux de confiance U.S.C.
• Contrôle d'autorité extrait: (2) Les informations d'origine DoD et fournies par le DoD résidant sur les systèmes d'information des partenaires de mission doivent être correctement et adéquatement protégées, avec des accords documentés indiquant les niveaux requis de protection.
• Contrôle d'autorité extrait: Les informations et infrastructures qui supportent les fonctions, processus et procédures dépendants de l'identité utilisés en soutien aux opérations du DoD, y compris mais sans s'y limiter l'accréditation d'identité, intégreront des mesures pour assurer la confidentialité, l'intégrité, l'authenticité et la disponibilité des données d'identité ou des justificatifs d'identité.
• Contrôle d'autorité extrait: sanctions judiciaires s'ils compromettent, endommagent ou mettent sciemment, volontairement ou par négligence en danger les informations du DoD en ne garantissant pas la mise en œuvre des exigences de sécurité du DoD selon la DoDI 8500.01, 14 mars 2014.

Éléments de désignation

• Preuve d'autorité liée: DoD liste cette politique applicable pour la catégorie; le texte de la politique liée est extrait ci-dessous lorsque disponible.
• Contexte de désignation dans le registre: Basique, CUI. Le texte d'autorité lié contient un langage de portée de catégorie ou d'applicabilité qui aide à déterminer quand l'information relève de cette catégorie CUI. Le texte d'autorité lié contient un langage de contrôle de divulgation, d'accès, de protection, de diffusion ou de distribution pertinent pour la gestion. Le texte d'autorité lié contient un langage relatif à la violation, pénalité, sanction ou application pouvant affecter les conséquences en cas de mauvaise gestion.
• La désignation dans le registre pour cette catégorie est Basique avec la bannière CUI.

Sens extrait de l'autorité

• Titre: DoDI 8510.01, "Cadre de gestion des risques pour les systèmes DoD," 19 juillet 2022
• Contexte de désignation dans le registre: Basique, CUI. Le texte d'autorité lié contient un langage de portée de catégorie ou d'applicabilité qui aide à déterminer quand l'information relève de cette catégorie CUI. Le texte d'autorité lié contient un langage de contrôle de divulgation, d'accès, de protection, de diffusion ou de distribution pertinent pour la gestion. Le texte d'autorité lié contient un langage relatif à la violation, pénalité, sanction ou application pouvant affecter les conséquences en cas de mauvaise gestion.

Conditions opérationnelles

• Le DoD liste cette politique applicable pour la catégorie; le texte de la politique liée est extrait ci-dessous lorsqu'il est disponible.
• Condition d'autorité extraite: (6) Examiner le dossier d'autorisation de sécurité à la lumière des indicateurs de mission et d'environnement d'information et déterminer une action à fournir au CIO ou CISO responsable pour les exigences de rapport décrites dans FISMA.
• Condition d'autorité extraite: circonstance potentielle ou événement dans le réseau interdépendant des infrastructures de technologie de l'information, incluant les réseaux de télécommunications, les systèmes informatiques et les processeurs et contrôleurs embarqués.
• Condition d'autorité extraite: > Tâche P-2 > Stratégie de gestion des risques > Une stratégie de gestion des risques pour l’organisation incluant une détermination et une expression de la tolérance au risque organisationnelle est établie. [CSF: ID.RM; ID.SC ] > Chef d'agence > Tâche P-3 > Évaluation des risques – Organisation > Une évaluation des risques à l’échelle de l’organisation est terminée ou une évaluation existante est mise à jour. [CSF: ID.RA; ID.SC-2 ] > • Responsable principal de la gestion des risques ou cadre exécutif des risques (fonction) > • Responsable principal de la sécurité de l'information de l'agence (ISO) > • Responsable principal de la confidentialité de l'agence > Tâche P-4 > Profils CSF et lignes de base des contrôles adaptés organisationnellement (optionnel) > Des profils CSF et/ou des lignes de base adaptées organisationnellement sont établis et mis à disposition. [CSF: > Profil ] > • Propriétaire de mission ou d’entreprise > Responsable principal de la gestion des risques ou cadre exécutif des risques (fonction)

Contrôles de protection et de diffusion

• Contrôle d'autorité extrait: Catégoriser le système conformément à la CNSSI n° 1253 en se basant sur les informations analysées, stockées et transmises par le système ainsi que sur une analyse de l’impact d’une perte potentielle de confidentialité, intégrité et disponibilité sur les opérations et actifs organisationnels, les individus, d’autres organisations, et la Nation par rapport à la perte de confidentialité, intégrité, et disponibilité des systèmes organisationnels.
• Contrôle d'autorité extrait: Les praticiens RMF du DoD ont besoin d’accès aux orientations, normes et outils RMF pour appliquer de manière efficace et efficiente les méthodes, normes et pratiques appropriées requises pour protéger la technologie de l'information du DoD.
• Contrôle d'autorité extrait: (b) Exécute la fonction de cadre exécutif des risques comme décrit dans la DoDI 8500.01 et la NIST SP 800-39, et prend des décisions d'acceptation de risque au niveau de l'entreprise pour les systèmes d'entreprise autorisés, satisfaisant aux exigences de réciprocité en cybersécurité.
• Contrôle d'autorité extrait: Vérifie que les bureaux exécutifs des programmes d'acquisition et les gestionnaires de programme du DoD sont responsables de la coordination des décisions de compromis durant la maintenance des systèmes (c'est-à-dire les décisions de retenir ou de retarder la correction des vulnérabilités, qui impactent significativement la survivabilité des systèmes dans les conditions de l'environnement opérationnel prévu) avec les sponsors des exigences, AO, et les forces d’opérations cyberspatiales du Composant.
• Contrôle d'autorité extrait: Évalue la posture globale de sécurité des systèmes de sécurité nationale, identifie leurs vulnérabilités et diffuse des informations concernant les menaces au DoD.
• Contrôle d'autorité extrait: (1) Le cadre d'acquisition adaptatif est défini et illustré dans la DoDI 5000.02.

Éléments de désignation

• Preuve d'autorité liée: DoD liste cette politique applicable pour la catégorie; le texte de la politique liée est extrait ci-dessous lorsque disponible.
• Contexte de désignation du registre: Basique, CUI. Le texte d'autorité lié contient un langage de portée ou d'applicabilité de catégorie qui aide à déterminer quand l'information relève de cette catégorie CUI. Le texte d'autorité lié contient des dispositions relatives à la divulgation, l'accès, la protection, la diffusion, la distribution ou le contrôle pertinentes au traitement.
• La désignation dans le registre pour cette catégorie est Basique avec la bannière CUI.

Sens extrait de l'autorité

• Titre: DoDI 8531.01, « Gestion des vulnérabilités DoD », 15 septembre 2020
• Contexte de désignation du registre: Basique, CUI. Le texte d'autorité lié contient un langage de portée ou d'applicabilité de catégorie qui aide à déterminer quand l'information relève de cette catégorie CUI. Le texte d'autorité lié contient des dispositions relatives à la divulgation, l'accès, la protection, la diffusion, la distribution ou le contrôle pertinentes au traitement.

Conditions opérationnelles

• Le DoD liste cette politique applicable pour la catégorie; le texte de la politique liée est extrait ci-dessous lorsqu'il est disponible.
• Condition d'autorité extraite: (2) Les informations soumises au DoD par le biais du VDP doivent être utilisées à des fins défensives pour atténuer ou corriger les vulnérabilités dans les systèmes, sous-systèmes ou composants du DODIN.
• Condition d'autorité extraite: • Établit la politique, assigne les responsabilités et fournit les procédures pour la gestion des vulnérabilités DoD et la réponse aux vulnérabilités identifiées dans tous les logiciels, micrologiciels et matériels au sein du réseau d'information DoD (DODIN).
• Condition d'autorité extraite: Coordonne toutes questions ou préoccupations relatives à la gestion des vulnérabilités DoD, à la gestion des actifs, à la gestion de configuration ainsi qu’aux mesures de remédiation ou d'atténuation avec le Commandant, Commandement Cyber des États-Unis (USCYBERCOM), et le Quartier général interarmées - Réseau d'information DoD (JFHQ-DODIN).
• Condition d'autorité extraite: Effectuer des analyses mensuelles des vulnérabilités non authentifiées et authentifiées pour obtenir des informations précises sur le système en vue d’une surveillance continue des systèmes antérieurement affectés.

Contrôles de protection et de diffusion

• Contrôle d'autorité extrait: (6) Détails sur la manière dont la perte de confidentialité, d'intégrité ou de disponibilité pourrait affecter les opérations du DoD, les actifs organisationnels ou les individus (par exemple, effets limités, graves, catastrophiques ou cataclysmiques).
• Contrôle d'autorité extrait: Coordonne avec le DoD SISO sur la politique de sécurité et les questions liées au renseignement et à la sécurité pour la protection des informations sur les systèmes et réseaux.
• Contrôle d'autorité extrait: Les Composants DoD effectueront des évaluations d’impact pour déterminer la perte probable attendue d’intégrité, de confidentialité et de disponibilité si la vulnérabilité n’est pas corrigée ou atténuée.
• Contrôle d'autorité extrait: Déterminer, au cas par cas, quelle méthode de remédiation ou d'atténuation est la plus bénéfique et considérer la perte de confidentialité, intégrité et disponibilité.
• Contrôle d'autorité extrait: Évalue la posture globale de sécurité de tous les systèmes du DoD et diffuse des informations sur les menaces et vulnérabilités impactant les composants des systèmes du DoD en coordination avec USCYBERCOM.