denne vejledning handler om, hvordan cybersecurity-fagfolk kan få en sikkerhedsgodkendelse. Sikkerhedsgodkendelser er en vigtig facet ved at arbejde i cybersikkerhedsindustrien, og denne vejledning vil skitsere de forskellige former for sikkerhedsgodkendelser, hvilke slags job der kræver sikkerhedsgodkendelser, og processen, der skal følges for at få en sikkerhedsgodkendelse.

selvfølgelig er der andre typer sikkerhedsgodkendelser udstedt af andre statslige og ikke-statslige enheder over hele verden, men som en praktisk sag vil omfanget af denne diskussion være begrænset til omfanget af godkendelser udstedt af agenturer fra den amerikanske føderale regering.

oversigt over sikkerhedsgodkendelse

alle, der er ansat af den amerikanske føderale regering, gennemgår en grundlæggende baggrundsundersøgelse af deres kriminelle og kredithistorier. Dette sikrer, at alle føderale medarbejdere er “pålidelige, pålidelige, af god opførsel og karakter, og af fuldstændig og urokkelig loyalitet over for De Forenede Stater.”

derudover kræver føderale ansættelsesstillinger, der inkluderer adgang til følsomme oplysninger, en sikkerhedsgodkendelse. Dette omfatter personer ansat af private virksomheder i egenskab af en entreprenør for den føderale regering. Denne godkendelse skal indhentes for at fastslå ansøgerens troværdighed og pålidelighed, før de får adgang til nationale sikkerhedsoplysninger.

sikkerhedsgodkendelser er struktureret på en hierarkisk måde, hvor hver betegnelse angiver det maksimale niveau for klassificerede oplysninger, som godkendelsesindehaveren kan få adgang til. Fra mindst restriktive til mest restriktive klassificeringsniveauerne er:

• fortroligt denne type sikkerhedsgodkendelse giver adgang til oplysninger, der kan forårsage skade på den nationale sikkerhed, hvis de afsløres uden tilladelse. Det skal undersøges igen hvert 15.år.
  en fortrolig godkendelse kræver en national agentur Check med lokale agentur Check og kredit Check (naclc).

• hemmelighed Denne type sikkerhedsgodkendelse giver adgang til oplysninger, der kan forårsage alvorlig skade på den nationale sikkerhed, hvis de afsløres uden tilladelse. Det skal undersøges igen hvert 10.år.
  En hemmelig godkendelse kræver en NACLC og en Kreditundersøgelse; det skal også undersøges igen hvert 10.år. Undersøgelseskrav til Forsvarsministeriets (DoD) godkendelser, der gælder for de fleste civile entreprenørsituationer, er indeholdt i udstedelse af Personalesikkerhedsprogram kendt som DoD-forordning 5200.2-R, I del C3.4.2.

• Top Secret (TS) denne type sikkerhedsgodkendelse giver adgang til oplysninger, der kan forårsage usædvanlig alvorlig skade på den nationale sikkerhed, hvis de afsløres uden tilladelse. Det skal undersøges igen hvert femte år.
  Top Secret er en strengere clearance. En TS-godkendelse gives ofte som et resultat af en enkelt anvendelsesområde baggrundsundersøgelse, (SSBI). TS-godkendelser giver generelt en adgang til data, der påvirker national sikkerhed, terrorbekæmpelse/kontraintelligens eller andre meget følsomme data. Der er langt færre personer med TS-clearances end hemmelige clearances. I de fleste tilfælde, en person med tophemmelig godkendelse gennemgår en ny undersøgelse hvert femte år.

efter at have opnået et vist sikkerhedsgodkendelsesniveau betyder det ikke, at godkendelsesindehaveren automatisk har adgang til eller får adgang til oplysninger, der er godkendt for dette sikkerhedsgodkendelsesniveau. For lovligt at håndtere klassificerede oplysninger skal godkendelsesindehaveren have et klart” behov for at vide ” ud over det passende niveau for godkendelse af oplysningerne. Behov for at vide bestemmes generelt af en oplysningsofficer, der er tildelt oprindelseskontoret for de klassificerede oplysninger.

der er også to kategorier af klassificerede oplysninger, der kræver yderligere håndterings-og adgangsbegrænsninger:

• Sensitive compartmented information (SCI), som omfatter efterretningskilder, metoder og processer.
  som med en TS-godkendelse tildeles en SCI-godkendelse først, efter at kandidaten har været igennem en SSBI ‘ s strenghed og en særlig bedømmelsesproces til evaluering af undersøgelsen. SCI-adgang tildeles dog kun i”rum”. Disse rum er nødvendigvis adskilt fra hinanden i forhold til organisationen, så en person med adgang til et rum ikke nødvendigvis har adgang til et andet. Hvert rum kan omfatte sine egne yderligere særlige krav og clearance proces. En person kan få adgang til, eller læses ind i, et rum i en hvilken som helst periode.
• særlige adgangsprogrammer (SAP ‘ er), som er meget følsomme projekter og programmer.DoD fastlægger SAP ‘ er, når sårbarheden af specifikke oplysninger betragtes som usædvanlig, og de normale regler for bestemmelse af adgangsberettigelse ikke betragtes som tilstrækkelige til at beskytte oplysningerne. Sap ‘ er anvendes typisk til forbedrede sikkerhedsforanstaltninger, der strengt håndhæver behov for at vide. Antallet af personer, der er ryddet for adgang til sådanne programmer, holdes typisk lavt. Oplysninger om ny militærteknologi kræver for eksempel ofte en sådan særlig adgang.

disse særlige kategorier er for klassificerede oplysninger, der er blevet anset for særligt sårbare, og kvalifikationsstandarder og undersøgelseskrav for adgang til SCI-og SAPs-godkendelser er højere end for andre godkendelser.

sikkerhedsgodkendelser er kun aktive i det tidspunkt, hvor en person har det oprindelige job, som godkendelsen blev udpeget til. En godkendelsesindehaver kan til enhver tid undersøges igen, men en formel gennemgang er påkrævet efter det foreskrevne antal år.

en godkendelse kan genaktiveres i visse tilfælde uden at gennemgå hele efterforskningsprocessen igen. Imidlertid, pausen i kandidatens ansættelse skal være mindre end to år, og den oprindelige undersøgelse kan ikke være mere end 5, 10, eller 15 år gammel for henholdsvis Top secret, hemmelighed, og fortrolige kategorier.

History of security clearances

myndigheden til klassificering af oplysninger og tildeling af sikkerhedsgodkendelser for at få adgang til disse oplysninger findes i bekendtgørelser (EOs) og amerikansk føderal lov. Oprindelsen af sikkerhedsgodkendelser kan spores tilbage til Pendleton Act of 1883, som krævede, at ansøgere om føderal beskæftigelse havde den nødvendige karakter, omdømme, troværdighed og egnethed til beskæftigelse.

i 1941 indeholdt bekendtgørelse 8781 kravet om, at alle føderale medarbejdere skulle fingeraftryk og undersøges af FBI, og i 1948 Forenede DoD det militære sikkerhedsprogram og implementerede standarder og procedurer svarende til dem, der blev gennemført for civile under E. O. 9835. bekendtgørelse 10450 (1953) afløste E. O. 9835 og krævede undersøgelser af føderale medarbejdere for at fastslå deres pålidelighed, troværdighed, god opførsel og karakter og loyalitet over for USA. Det krævede, at beskæftigelsen var “klart i overensstemmelse med den nationale sikkerheds interesse.”

i øjeblikket er National Security Information (NSI) klassificeret under EO 13526 med en vis yderligere breddegrad leveret af Sikkerhedsdirektivets direktiv 4, retningslinjer for National Security Adjudicative.

job, der kræver en sikkerhedsgodkendelse

mange føderale agenturer og føderale entreprenører, der arbejder med disse agenturer, kræver nødvendigvis, at deres ansatte har sikkerhedsgodkendelser for at udføre deres job.

uanset jobbeskrivelsen er det mere sandsynligt, at ansættelse inden for visse regeringsorganer kræver en sikkerhedsgodkendelse. Beskæftigelse inden for en statssikret facilitet kræver også en sikkerhedsgodkendelse. Eksempler på agenturer, der kan kræve højere niveauer af godkendelse, inkluderer:

• Central Intelligence Agency
• Homeland Security
• Defense Intelligence Agency
• Office of National Security Intelligence
• Drug Enforcement Administration
• Federal Bureau of Investigation
• National Geospatial-Intelligence Agency
• National Reconnaissance Office

enhver, der har adgang til klassificerede data, kræver godkendelse på eller højere end det niveau, hvor de data, de skal håndtere, klassificeres. Af denne grund kræves sikkerhedsgodkendelser for en lang række job, fra den øverste ledelse til vagtmanden. Stillinger, der kan kræve en sikkerhedsgodkendelse, inkluderer sekretærer, sikkerhedsofficerer, bibliotekarer, systemadministratorer og computerstøttepersonale, der har adgang til klassificerede dokumenter eller systemer.

rapporten fra december 2017 United States Government Accountability Office (GAO) til Kongressen siger: “fra 1.oktober 2015, den seneste Dato, for hvilken data er tilgængelige, var cirka 4,2 millioner regerings-og entreprenøransatte hos næsten 80 udøvende filialagenturer berettiget til at holde en sikkerhedsgodkendelse.”

processen til opnåelse af en sikkerhedsgodkendelse

før processen til opnåelse af en sikkerhedsgodkendelse endda kan begynde, skal der være et verificerbart behov for, at den person, der søger godkendelsen, skal have en. Mens virksomheder med kontrakter eller tilskud med den føderale regering kan kræve, at medarbejderne har en sikkerhedsgodkendelse, kan intet selskab uden en kontrakt med den føderale regering uafhængigt søge en sikkerhedsgodkendelse.

når agenturet eller entreprenøren vælger en kandidat til at ansætte, vil ansøgeren modtage et jobtilbud, der kan være betinget af, at der opnås en sikkerhedsgodkendelse. En omfattende baggrundsundersøgelse finder sted, efter at tilbuddet er accepteret, og de krævede formularer er udfyldt. omfanget af den nødvendige baggrundsundersøgelse afhænger af stillingens krav samt niveauet for sikkerhedsgodkendelse, der er nødvendig for stillingen. Denne proces kan tage flere måneder eller op til et år afhængigt af efterspørgslen, behovet for mere information, dybden af undersøgelsesprocessen og andre faktorer.

bekendtgørelse 10450 siger delvis, “omfanget af undersøgelsen skal bestemmes… i henhold til graden af negativ virkning, som beboeren af den stilling, der søges besat, kunne medføre i kraft af stillingens art på den nationale sikkerhed, men under ingen omstændigheder skal undersøgelsen omfatte mindre end en national agenturkontrol (inklusive en kontrol af fingeraftryksfiler fra Federal Bureau of Investigation) og skriftlige forespørgsler til passende lokale retshåndhævende myndigheder, tidligere arbejdsgivere og tilsynsførende, referencer og skoler, som personen deltager i undersøgelse.”

den tid, der kræves for at opnå en sikkerhedsgodkendelse, vokser og er en betydelig bekymring for føderale agenturer og entreprenører. Nogle tilfælde, hvor enkeltpersoner ville tage længere tid end normalt at blive undersøgt, er mange tidligere boliger, have boliger i fremmede lande, have slægtninge uden for USA eller betydelige bånd med ikke-amerikanske borgere.

Hvis et ansættelseskontor anmoder om en midlertidig sikkerhedsgodkendelse, kan en ansøger få en midlertidig sikkerhedsgodkendelse inden for få uger efter indsendelse af en komplet sikkerhedspakke. Ifølge Forsvarssikkerhedstjenesten (et agentur for Forsvarsministeriet) vil alle ansøgere om en personalesikkerhedsgodkendelse, der er indsendt af en ryddet entreprenør, rutinemæssigt overvejes for midlertidig berettigelse. Den midlertidige berettigelse udstedes kun, når adgangen til klassificerede oplysninger klart er i overensstemmelse med de forenede staters nationale sikkerhedsinteresser. Den foreløbige støtteberettigelse udstedes samtidig med indledningen af undersøgelsen og vil generelt forblive i kraft, indtil undersøgelsen er afsluttet. På det tidspunkt anses ansøgeren for endelig støtteberettigelse.

hvis en ansøger føler, at de er en seriøs kandidat til en stilling, der kræver en sikkerhedsgodkendelse, kan de fremskynde processen ved at indsamle relevante oplysninger, inden de modtager et jobtilbud fra ansættelsesbureauet eller entreprenøren. Ansættelsesbureauet eller entreprenøren kan henvise ansøgeren til de relevante formularer for det niveau for godkendelse, der kræves for den stilling, som de overvejes for.

baggrundsundersøgelsen om sikkerhedsgodkendelse

den centrale komponent i processen med at opnå en sikkerhedsgodkendelse er baggrundsundersøgelsen. Processen begynder med, at ansøgeren registrerer og udfylder de relevante formularer gennem US Office of Personnel Management ‘ S (OPM) elektroniske spørgeskemaer til Undersøgelsesbehandling (e-CIP) ansøgningsside. Den næste fase af processen involverer en undersøgelse foretaget af OPM, DoD og Kontoret for direktøren for National Intelligence eller en anden efterforskningstjenesteudbyder (ISP) afhængigt af stillingen.

der er fem niveauer af undersøgelsesstandarder, der gælder for ansøgninger om sikkerhedsgodkendelse. Det specifikke undersøgelsesniveau, der er passende for en given kandidat, bestemmes af klassificeringen og risikoen forbundet med de oplysninger, som ansøgeren skal håndtere. Den opm-E-Chip-formular, der er nødvendig for hvert niveau, er afgrænset i nedenstående tabel.

Tier 1	Low Risk, Non-Sensitive, including HSPD-12 Credentialing	Form SF85
Tier 2	Moderate Risk Public Trust (MRPT)	Form SF85P
Tier 3	Non-Critical Sensitive National Security	Form SF86
Tier 4	High-Risk Public Trust (HRPT)	Form SF85P
Tier 5	Critical Sensitive and Special Sensitive National Security, including Top Secret, and SCI	Form SF86

e-Chip-formularen, der anvendes til følsomme eller nationale sikkerhedspositioner, er SF-86 som angivet i Tier 3 og Tier 5 undersøgelsesstandarder. SF85 og SF85P er velegnede til arbejde i statslige agenturstillinger, der kræver offentlig tillid snarere end nationale sikkerhedsproblemer.

ud over og efter verifikationen af svarene på de spørgsmål, der stilles af OPM-formularen, vil mange undersøgelser omfatte en samtale som en rutinemæssig del af undersøgelsesprocessen. Ansøgeren kan blive bedt om at besvare spørgsmål vedrørende deres udfyldte formular. Dette hjælper efterforskeren med at få klarhed om ufuldstændige eller uklare svar på formularen. Afvisning af samtalen kan resultere i, at efterforskningen, og relateret ansøgning om sikkerhedsgodkendelse, annulleres.

ud over spørgsmålene om disse formularer kan efterforskeren også stille en forespørgsel om ansøgerens overholdelse af sikkerhedskrav, deres ærlighed og integritet, deres mulige sårbarhed over for udnyttelse eller tvang eller enhver anden adfærd, der potentielt kan demonstrere, at kandidaten ikke er pålidelig, troværdig eller loyal over for den amerikanske regering. Department of State ‘ s Diplomatic Security Service (DSS) gennemfører personalesikkerhedsbaggrundsundersøgelser for Department of State og andre føderale agenturer. DSS beskriver baggrundsundersøgelsesprocessen som inklusive disse trin:

• en jobkandidat modtager et betinget tilbud om ansættelse og udfylder og indsender den relevante formular – enten et spørgeskema til nationale sikkerhedsstillinger, spørgeskema til ikke-følsomme stillinger eller spørgeskema til offentlige Tillidsstillinger – og andre krævede formularer til det relevante ansættelseskontor.
• ansættelseskontoret gennemgår og indsender det udfyldte spørgeskema og andre påkrævede formularer – kendt som sikkerhedspakken – til DSS.
• DSS gennemgår sikkerhedspakken og åbner formelt en baggrundsundersøgelse.
• DSS udfører registreringer og fingeraftrykskontrol mod kommercielle og offentlige databaser.
• DSS verificerer og bekræfter vigtige oplysninger og begivenheder fra kandidatens fortid og nyere historie. Dette kan omfatte samtaler af personer, der kender kandidaten godt. Efterforskeren kan gennemføre en ansigt til ansigt samtale med kandidaten som en del af processen.
• når undersøgelsen er afsluttet, DSS dømmer og bestemmer kandidatens nationale sikkerhedsberettigelse i henhold til direktivet om sikkerhed udøvende Agent (SEAD) 4: retningslinjer for national sikkerhed.
• i nogle tilfælde kan baggrundsundersøgelser videresendes til et Department of State Human Resources egnethedspanel.
• efter bestemmelse af kandidatens nationale sikkerhedsberettigelse kontakter DSS den relevante ansættelsesmyndighed.

USA. Straffeloven (afsnit 18, afsnit 1001) bestemmer, at bevidst forfalskning eller skjul af en materiel kendsgerning er en forbrydelse, der kan resultere i bøder og/eller op til fem (5) års fængsel. derudover fyrer føderale agenturer generelt, giver ikke sikkerhedsgodkendelse eller diskvalificerer personer, der materielt og bevidst har forfalsket disse former, og dette forbliver en del af den permanente rekord for fremtidige placeringer.

Forsvarssikkerhedstjenesten udsteder følgende status under hele undersøgelsen for at lade kandidaterne vide, hvad der sker under processen:

• modtaget undersøgelsestjenesteudbyderen (ISP) har anerkendt modtagelsen af efterforskningsanmodningen og vil gennemgå den for accept.
• uacceptabel internetudbyderen fastslog, at undersøgelsesanmodningen var mangelfuld. Ansøgeren modtager derefter en meddelelse med årsagen til, at anmodningen blev afvist. Hvis medarbejderen stadig kræver en godkendelse, skal en ny undersøgelsesanmodning indledes og indsendes med de korrigerede oplysninger.
• planlagt internetudbyderen har bestemt, at undersøgelsesanmodningen er acceptabel, og undersøgelsen er i øjeblikket i gang/åben.
• lukket internetudbyderen har afsluttet undersøgelsen, og undersøgelsen er sendt til afgørelse.

hvorfor en ansøger kan nægtes en sikkerhedsgodkendelse

Der findes forskellige grunde til, at en ansøger kan nægtes en sikkerhedsgodkendelse. De primære overvejelser i en undersøgelse er individets ærlighed, åbenhed og grundighed i færdiggørelsen af deres sikkerhedsgodkendelsesformularer.

der gøres alt for at afgøre, om tildeling eller fortsat berettigelse til en sikkerhedsgodkendelse er i overensstemmelse med den nationale sikkerheds interesser. En lang række faktorer kan undersøges.

omfanget af en sikkerhedsgodkendelsesbaggrundsundersøgelse vil sandsynligvis omfatte følgende personlige egenskaber, tilbøjeligheder og adfærd. Enhver indikation af, at ansøgeren kan have betydelige problemer på et af disse områder, vil sandsynligvis hæve et flag, der indikerer et behov for yderligere undersøgelse og mulig nægtelse af godkendelsen.

• troskab til USA
• potentiale for udenlandsk indflydelse
• en udenlandsk præference
• seksuel adfærd
• personlig adfærd
• økonomiske overvejelser
• alkoholforbrug
• Narkotikainddragelse og stofmisbrug
• følelsesmæssige, mentale og personlighedsforstyrrelser
• kriminel adfærd
• håndtering af beskyttede oplysninger
• eksterne aktiviteter
• misbrug af informationsteknologi

ubetalte regninger samt strafferetlige anklager diskvalificerer ofte en ansøger til godkendelse. Konkurs vil dog blive vurderet fra sag til sag og er ikke en automatisk diskvalifikator. Dårlig økonomisk historie er den største årsag til afvisning, og udenlandske aktiviteter og strafferegistre er også almindelige årsager til diskvalifikation.

det er bemærkelsesværdigt, at efterforskere kan overveje offentligt tilgængelige sociale medieoplysninger i forbindelse med en ansøgning om sikkerhedsgodkendelse. Sikkerhedsdirektiv 5, indsamling, brug, og opbevaring af offentligt tilgængelige sociale medieoplysninger i undersøgelser og afgørelser om Personalesikkerhed, kodificerer føderal efterforskningsmyndighed for baggrund for at inkorporere offentligt tilgængelige sociale medieoplysninger i sikkerhedsgodkendelsesprocessen.

disse retningslinjer gør det klart, at agenturer kan målrette offentligt tilgængelige sociale medieindlæg, hvis de finder det nødvendigt, men ikke kan tvinge folk til at udlevere deres adgangskoder til private konti eller give pseudonymer til nogen profiler.politikken siger, at sociale mediedata indsamlet som en del af en baggrundskontrol ikke vil blive opbevaret, medmindre det betragtes som “relevant” for den pågældende persons sikkerhedsstatus.

ressourcer til opnåelse af en sikkerhedsgodkendelse

retningslinjer og opdateringer relateret til sikkerhedsgodkendelser fra USA. udenrigsministerium.regeringens internetbaserede portal for adgang til elektroniske spørgeskemaer til behandling af undersøgelser.

Department of Defense (DoD) personale sikkerhed program forordning.

vejledning til standardformularen (SF) 86.

oplysningerne i denne artikel er ikke juridisk rådgivning og er ikke en erstatning for sådan rådgivning. Statslige og føderale love ændres ofte, og oplysningerne i denne artikel afspejler muligvis ikke din egen stats love eller de seneste ændringer i loven.