4 Strumenti di sicurezza necessari per gli appaltatori della difesa

Gli appaltatori autorizzati della difesa forniscono la tecnologia e il know-how che forniscono prodotti e servizi al nostro settore della difesa. CDC ed essere un appaltatore principale o un subappaltatore e sono incaricati di supportare organizzazioni governative. La designazione di CDC indica che l’organizzazione è un appaltatore governativo con un nulla osta per la struttura ed è composta da dipendenti con nulla osta di sicurezza del personale. Con i contratti classificati, i CDC sono tenuti a proteggere le informazioni classificate dei loro clienti governativi durante l’esecuzione di contratti classificati.

I CDC fanno parte del National Industrial Security Program (NISP). Il Manuale operativo del National Industrial Security Program (NISPOM) fornisce indicazioni su come eseguire contratti classificati. La guida include argomenti come le responsabilità dei dipendenti, la formazione richiesta, la valutazione continua, il mantenimento del nulla osta di sicurezza e molto altro. La Defense Counter-Intelligence and Security Agency (DCSA) formalmente nota come DSS fornisce la maggior parte delle revisioni della conformità e della supervisione delle agenzie del DoD. Eseguono valutazioni della vulnerabilità e determinano in che misura un CDC protegge le informazioni classificate secondo il NISPOM.

Gli appaltatori della difesa autorizzati hanno un grande lavoro non solo nell’esecuzione di contratti classificati, nella protezione delle informazioni classificate, ma anche nel documentare o convalidare la conformità. I seguenti strumenti dovrebbero essere nella cassetta degli attrezzi del CDC e possono essere utilizzati per aiutarli a rimanere conformi e dimostrare il loro livello di conformità.

1. Manuale operativo del programma industriale nazionale (NISPOM)

Il Manuale operativo del National Industrial Security Program (NISPOM) è l’istruzione del Dipartimento della Difesa agli appaltatori su come proteggere le informazioni classificate. Questa stampa del NISPOM include le ultime notizie dei servizi di sicurezza della difesa che includono un indice e lettere di sicurezza industriale. Il NISPOM affronta le responsabilità di un appaltatore autorizzato, tra cui: autorizzazioni di sicurezza, formazione e briefing richiesti, classificazione e contrassegni, protezione delle informazioni classificate, visite e riunioni, subappalto, sicurezza del sistema informativo, requisiti speciali, requisiti di sicurezza internazionale e molto altro.

2. Regolamento sul traffico internazionale di armi (ITAR)

“Qualsiasi persona che si impegna negli Stati Uniti nell’attività di produzione o esportazione di articoli per la difesa o fornitura di servizi per la difesa è tenuta a registrarsi…” ITAR “È responsabilità dell’appaltatore rispettare tutte le leggi e i regolamenti applicabili in materia di esportazione controllata articoli.”-DDTC

Le aziende che forniscono beni e servizi per la difesa dovrebbero capire come proteggere la tecnologia statunitense; l’ITAR fornisce le risposte. ITAR è la guida del fornitore di prodotti e servizi per la difesa per sapere quando e come ottenere una licenza di esportazione. Questo libro fornisce risposte a:

Quali appaltatori della difesa dovrebbero registrarsi presso il DDTC?

Quali prodotti per la difesa richiedono licenze di esportazione?

Quali servizi di difesa richiedono licenze di esportazione?

Quali sono le responsabilità di esportazione aziendali e governative?

Che cosa costituisce un’esportazione?

Come si richiede una licenza o un contratto di assistenza tecnica?

3. Manuale di autoispezione per gli appaltatori NISP

Il Manuale operativo del National Industrial Security Program (NISPOM) richiede a tutti i partecipanti al National Industrial Security Program (NISP) di condurre le proprie revisioni di sicurezza (autoispezioni). Questo manuale di autoispezione è concepito come un ausilio lavorativo per assistervi nel rispetto di questo requisito. Non è inteso per essere utilizzato solo come una lista di controllo. Piuttosto, ha lo scopo di assistervi nello sviluppo di un valido programma di autoispezione specificamente adattato alle esigenze classificate della vostra azienda autorizzata. Scoprirai anche che hanno incluso varie tecniche che ti aiuteranno a migliorare la qualità complessiva della tua auto-ispezione. Per essere più efficace, si suggerisce di considerare l’autoispezione come un processo in tre fasi: 1) pre-ispezione 2) auto-ispezione 3) post-ispezione.

4. Formazione per i dipendenti autorizzati

un. Consapevolezza iniziale della sicurezza Formazione e aggiornamento sulla sensibilizzazione alla sicurezza

Formazione iniziale sulla sensibilizzazione alla sicurezza e formazione di aggiornamento sulla sensibilizzazione alla sicurezza

La presentazione principale è ottima per la formazione iniziale o per la formazione annuale di aggiornamento sulla sensibilizzazione alla sicurezza richiesta a tutti i dipendenti autorizzati.

NISPOM richiede i seguenti argomenti di formazione durante la formazione iniziale e la formazione di aggiornamento:

• Briefing sulla sicurezza della consapevolezza delle minacce, comprese le minacce interne

• Briefing sulla consapevolezza del controspionaggio

• Panoramica del sistema di classificazione della sicurezza

• Obblighi e requisiti di segnalazione dei dipendenti, inclusa la minaccia privilegiata

• Formazione sulla sensibilizzazione alla sicurezza informatica per tutti gli utenti IS autorizzati

La formazione NISPOM contiene i requisiti per la sensibilizzazione annuale sulla sicurezza e la formazione iniziale sulla sicurezza.

b. Formazione sui classificatori derivati

Il NISPOM delinea i requisiti per la formazione sulla classificazione dei derivati ​​per includere… la corretta applicazione dei principi di classificazione dei derivati, con un’enfasi sull’evitare una classificazione eccessiva, almeno una volta ogni 2 anni. Coloro che non hanno questa formazione non sono autorizzati a svolgere i compiti.

Il personale dell’appaltatore prende decisioni di classificazione derivata quando incorpora, parafrasa, riformula o genera in una nuova forma informazioni che sono già classificate; quindi contrassegnare il materiale di nuova concezione coerentemente con i contrassegni di classificazione che si applicano alle informazioni sulla fonte.

c. Formazione sulle minacce interne

Questo programma di formazione include i requisiti di formazione sulle minacce interne identificati da NISPOM. Il NISPOM ha identificato i seguenti requisiti per istituire un programma di minacce interne. Scarica e presenta la formazione qui e soddisfa i requisiti di formazione:

• Designare un alto funzionario di Insider Threat

• Istituire un programma di minacce interne/autocertificare il piano di attuazione per iscritto a DSS.

• Istituire un gruppo di programma per le minacce interne

• Fornire formazione sulle minacce interne

• Monitorare l’attività di rete classificata

• Raccogliere, integrare e riportare informazioni rilevanti e credibili; rilevare gli insider che mettono a rischio le informazioni classificate; e mitigare il rischio di minacce interne

• Condurre auto-ispezioni del programma di minacce interne.

d. SF 312 Briefing

Questa formazione è per i dipendenti appena autorizzati e deve essere impartita prima dei briefing iniziali sulla sicurezza

I dipendenti appena autorizzati devono firmare un SF-312, Accordo di non divulgazione. Invece di fargli firmare semplicemente la scatola, perché non consegnare loro il briefing SF-312 appropriato che descrive cosa c’è esattamente sul modulo e perché lo stanno firmando.

Come accennato in precedenza, i CDC non solo devono eseguire contratti classificati in base ai requisiti contrattuali, ma vengono valutati in base al livello di protezione delle informazioni classificate. Gli strumenti sopra menzionati sono progettati per aiutare i CDC a soddisfare i requisiti.

Leave a Comment

Your email address will not be published. Required fields are marked *