Предупреждение об уязвимости для обеспечения информации

Эта статья не цитирует какие-либо источники . Пожалуйста, помогите улучшить эту статью , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален . Найдите источники:   «Предупреждение об уязвимости информационной безопасности» — новости   · газеты   · книги   · ученые   · JSTOR ( август 2010 г. ) ( Узнайте, как и когда удалить это сообщение )

Предупреждение об уязвимости обеспечения информационной безопасности ( IAVA компьютерного прикладного программного обеспечения или операционной системы ) — это объявление об уязвимости в форме предупреждений, бюллетеней и технических рекомендаций, определенных US-CERT, https://www.us-cert.gov/ US-CERT управляется Национальным центром интеграции кибербезопасности и коммуникаций (NCCIC), который является частью Агентства кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США (DHS). CISA, в состав которого входит Национальный центр интеграции кибербезопасности и коммуникаций (NCCIC), в 2017 году перестроила свою организационную структуру, интегрировав аналогичные функции, которые ранее выполнялись независимо Группой готовности к компьютерным чрезвычайным ситуациям США (US-CERT) и Группой реагирования на кибер-чрезвычайные ситуации промышленных систем управления (ICS). -СЕРТ). Эти выбранные уязвимости представляют собой обязательную базовую или минимальную конфигурацию всех хостов, находящихся в GIG . US-CERT анализирует каждую уязвимость и определяет, необходима ли она или полезна для Министерство обороны выпустит его как IAVA. Реализация политики IAVA поможет гарантировать, что компоненты Министерства обороны предпримут соответствующие меры по снижению уязвимостей, чтобы избежать серьезных компрометаций активов компьютерных систем Министерства обороны , которые потенциально могут ухудшить производительность миссии.

Боевые командования , службы, агентства и полевые подразделения обязаны внедрять уведомления об уязвимостях в форме предупреждений, бюллетеней и технических рекомендаций. USCYBERCOM имеет право направлять корректирующие действия, которые в конечном итоге могут включать отключение любого анклава или затронутой системы в анклаве, не соответствующих директивам программы IAVA и мерам реагирования на уязвимости (т. е. приказам или сообщениям о задании связи). USCYBERCOM будет координировать свои действия со всеми затронутыми организациями, чтобы определить эксплуатационные последствия для Министерства обороны, прежде чем приступать к отключению.

16 ноября 2018 года президент Трамп подписал Закон об Агентстве по кибербезопасности и безопасности инфраструктуры 2018 года . Этот знаковый закон повысил миссию бывшего Управления национальной защиты и программ (NPPD) в составе Министерства внутренней безопасности (DHS) и учредил CISA, в состав которого входит Национальный центр интеграции кибербезопасности и коммуникаций (NCCIC). В 2017 году NCCIC изменила свою организационную структуру, объединив аналогичные функции, которые ранее выполнялись независимо Группой готовности к компьютерным чрезвычайным ситуациям США (US-CERT) и Группой реагирования на киберчрезвычайные ситуации в промышленных системах управления (ICS-CERT). Согласно меморандуму, система оповещения должна:

• Определите системного администратора, который будет контактным лицом для каждой соответствующей сетевой системы,
• Отправляйте оповещения каждому контактному лицу,
• Требовать подтверждения от каждого контактного лица, подтверждающего получение каждого уведомления о тревоге,
• Установите дату реализации корректирующего действия и дайте возможность DISA подтвердить, было ли исправление реализовано.

30 декабря 1999 года заместитель министра обороны издал меморандум о политике оповещения об уязвимостях информации (IAVA). Текущие события того времени продемонстрировали, что во всех сетях Министерства обороны существуют широко известные уязвимости, которые могут серьезно ухудшить эффективность миссии. Политический меморандум предписывает DISA разработать и поддерживать систему баз данных IAVA , которая обеспечит механизм положительного контроля для системных администраторов при получении, подтверждении и соблюдении уведомлений об уязвимостях системы. Политика IAVA требует, чтобы команды компонентов , службы и агентства регистрировали и сообщали о своем подтверждении и соответствии базе данных IAVA . Согласно меморандуму о политике, данные о соответствии, которые необходимо сообщать, должны включать количество затронутых активов, количество активов, соответствующих требованиям, и количество активов с отказами.

• Атака (вычисления)
• Компьютерная безопасность
• Информационная безопасность
• ИТ-риск
• Угроза (компьютер)
• Уязвимость (вычисления)
• Руководство по технической реализации безопасности
• Протокол автоматизации контента безопасности

• [1] Управление генерального инспектора Министерства обороны США по соблюдению политики оповещения об уязвимостях, декабрь 2001 г.
• [2] Инструкция председателя Объединенного комитета начальников штабов, 6510.01E, август 2007 г.
• Схема политики DoD IA Схема политики DoD IA
• [3] JAVA-сайт