Questa guida è tutto su come i professionisti della sicurezza informatica possono ottenere un nulla clearance di sicurezza. Le autorizzazioni di sicurezza sono un aspetto importante del lavoro nel settore della sicurezza informatica e questa guida illustrerà i diversi tipi di autorizzazioni di sicurezza, quali tipi di lavori richiedono autorizzazioni di sicurezza e il processo da seguire per ottenere un nulla security di sicurezza.

Naturalmente, ci sono altri tipi di autorizzazioni di sicurezza rilasciate da altre entità governative e non governative in tutto il mondo, ma in pratica, lo scopo di questa discussione sarà limitato a quello delle autorizzazioni rilasciate da agenzie del governo federale degli Stati Uniti.

Security clearance overview

Tutti i dipendenti del governo federale degli Stati Uniti subiscono un’indagine di base delle loro storie criminali e creditizie. Questo assicura che tutti i dipendenti federali sono ” affidabile, affidabile, di buona condotta e carattere, e di completa e incrollabile fedeltà agli Stati Uniti.”

Inoltre, le posizioni di lavoro federali che includono l’accesso a informazioni sensibili richiedono un nulla security di sicurezza. Questo include gli individui impiegati da imprese private in qualità di appaltatore per il governo federale. Tale autorizzazione deve essere ottenuta per determinare l’affidabilità e l’affidabilità del richiedente prima di concedere loro l’accesso alle informazioni sulla sicurezza nazionale.

Le autorizzazioni di sicurezza sono strutturate in modo gerarchico con ciascuna designazione che indica il livello massimo di informazioni classificate a cui può accedere il titolare delle autorizzazioni. Dal meno restrittivo al più restrittivo i livelli di classificazione sono:

• Confidenziale Questo tipo di nulla security di sicurezza consente l’accesso a informazioni che possono causare danni alla sicurezza nazionale se divulgate senza autorizzazione. Deve essere reinvestigato ogni 15 anni.
  Una liquidazione confidenziale richiede un controllo agenzia nazionale con agenzia locale di controllo e di controllo del credito (NACLC).

• Segreto Questo tipo di nulla security di sicurezza consente l’accesso a informazioni che possono causare gravi danni alla sicurezza nazionale se divulgate senza autorizzazione. Deve essere reinvestigato ogni 10 anni.
  Una liquidazione segreta richiede una NACLC e un’indagine creditizia; deve anche essere riesaminata ogni 10 anni. I requisiti investigativi per le autorizzazioni del Dipartimento della Difesa (DoD), che si applicano alla maggior parte delle situazioni di appaltatori civili, sono contenuti nell’emissione del programma di sicurezza del personale noto come Regolamento DoD 5200.2-R, nella parte C3.4.2.

• Top Secret (TS) Questo tipo di nulla security di sicurezza consente l’accesso a informazioni che possono causare danni eccezionalmente gravi alla sicurezza nazionale se divulgate senza autorizzazione. Deve essere reinvestitato ogni cinque anni.
  Top Secret è un gioco più rigoroso. Una clearance TS è spesso dato come il risultato di una singola indagine di fondo ambito, (SSBI). Le autorizzazioni TS, in generale, consentono un accesso a dati che riguardano la sicurezza nazionale, l’antiterrorismo/controspionaggio o altri dati altamente sensibili. Ci sono molti meno individui con clearance TS rispetto a clearance segrete. Nella maggior parte dei casi, un individuo con autorizzazione Top Secret subisce una nuova indagine ogni cinque anni.

Aver ottenuto un determinato livello di nulla clearance di sicurezza non significa che il titolare di nulla clearance abbia automaticamente accesso o abbia accesso alle informazioni autorizzate per tale livello di nulla.. Al fine di gestire legalmente le informazioni classificate, il titolare di autorizzazione deve avere un chiaro “bisogno di sapere” oltre al livello appropriato di autorizzazione per le informazioni. La necessità di sapere è generalmente determinata da un divulgatore assegnato all’ufficio di origine per le informazioni classificate.

Esistono anche due categorie di informazioni classificate che richiedono ulteriori restrizioni di gestione e accesso:

• Informazioni compartimentate sensibili (SCI), che includono fonti, metodi e processi di intelligence.
  Come con una clearance TS, una clearance SCI viene assegnata solo dopo che il candidato ha attraversato i rigori di un SSBI e un processo di aggiudicazione speciale per valutare l’indagine. L’accesso SCI, tuttavia, è assegnato solo in “compartimenti”. Questi compartimenti sono necessariamente separati l’uno dall’altro rispetto all’organizzazione in modo che un individuo con accesso a un compartimento non abbia necessariamente accesso a un altro. Ogni compartimento può includere i propri requisiti speciali aggiuntivi e il processo di liquidazione. A un individuo può essere concesso l’accesso o la lettura in un compartimento per qualsiasi periodo di tempo.
• Programmi di accesso speciali (SAPs), che sono progetti e programmi altamente sensibili.
  Il DoD stabilisce SAP quando la vulnerabilità di informazioni specifiche è considerata eccezionale e le normali regole per determinare l’idoneità all’accesso non sono considerate sufficienti per proteggere le informazioni. I SAP sono in genere impiegati per migliorare le misure di sicurezza che applicano rigorosamente need-to-know. Il numero di persone autorizzate per l’accesso a tali programmi è in genere mantenuto basso. Le informazioni sulle nuove tecnologie militari, ad esempio, richiedono spesso un accesso così speciale.

Queste categorie speciali riguardano le informazioni classificate che sono state ritenute particolarmente vulnerabili e gli standard di ammissibilità e i requisiti investigativi per l’accesso alle autorizzazioni SIC e SAP sono più elevati rispetto ad altre autorizzazioni.

Le autorizzazioni di sicurezza sono attive solo per il momento in cui un individuo detiene il lavoro originale per il quale è stata designata la liquidazione. Un titolare di autorizzazione può essere riesaminato in qualsiasi momento, ma è necessaria una revisione formale dopo il numero prescritto di anni.

Una clearance può essere riattivata in alcuni casi senza passare nuovamente attraverso l’intero processo investigativo. Tuttavia, l’interruzione dell’occupazione del candidato deve essere inferiore a due anni e l’indagine iniziale non può essere superiore a 5, 10 o 15 anni per le categorie top secret, secret e confidential, rispettivamente.

Cronologia delle autorizzazioni di sicurezza

L’autorità per la classificazione delle informazioni e la concessione delle autorizzazioni di sicurezza per accedere a tali informazioni si trova negli Ordini esecutivi (EOs) e nella legge federale degli Stati Uniti. Le origini delle autorizzazioni di sicurezza possono essere fatte risalire al Pendleton Act del 1883 che richiedeva ai candidati per l’occupazione federale di possedere il carattere necessario, la reputazione, l’affidabilità e l’idoneità all’impiego.

Nel 1941, l’Ordine esecutivo 8781 prevedeva il requisito che tutti i dipendenti federali fossero impronte digitali e indagati dall’FBI e nel 1948 il DoD unificò il programma di sicurezza militare e implementò standard e procedure simili a quelle messe in atto per i civili sotto E. O. 9835.

L’Ordine esecutivo 10450 (1953) sostituì l’E. O. 9835 e richiesto indagini dei dipendenti federali per accertare la loro affidabilità, affidabilità, buona condotta e carattere, e la lealtà verso gli Stati Uniti. Richiedeva che l’occupazione fosse ” chiaramente coerente con l’interesse della sicurezza nazionale.”

Attualmente, le informazioni sulla sicurezza nazionale (NSI) sono classificate sotto EO 13526 con qualche latitudine aggiuntiva fornita dalla Security Executive Agent Directive 4, National Security Adjudicative Guidelines.

Posti di lavoro che richiedono un nulla security di sicurezza

Molte agenzie federali e appaltatori federali che lavorano con quelle agenzie richiedono necessariamente i loro dipendenti a tenere le autorizzazioni di sicurezza al fine di fare il loro lavoro.

Indipendentemente dalla descrizione del lavoro, è più probabile che l’occupazione all’interno di alcune agenzie governative richieda un nulla security di sicurezza. L’occupazione all’interno di una struttura protetta dal governo richiede anche un nulla clearance di sicurezza. Esempi di agenzie che possono richiedere livelli più elevati di autorizzazione includono:

• Central Intelligence Agency
• Homeland Security
• Defense Intelligence Agency
• Office of National Intelligence di Sicurezza
• Drug Enforcement Administration
• Federal Bureau of Investigation
• National Geospatial-Intelligence Agency
• National Reconnaissance Office

Chiunque abbia accesso ai dati classificati richiede l’autorizzazione o superiore al livello a cui i dati devono gestire è classificato. Per questo motivo, le autorizzazioni di sicurezza sono necessarie per una vasta gamma di lavori, dal senior management al janitorial. Le posizioni che possono richiedere un nulla security di sicurezza includono segretari, agenti di sicurezza, bibliotecari, amministratori di sistema e personale di supporto informatico che hanno accesso a documenti o sistemi classificati.

Il rapporto del GAO (Government Accountability Office) del dicembre 2017 al Congresso afferma: “A partire dal 1 ° ottobre 2015, data ultima per la quale sono disponibili i dati, circa 4,2 milioni di dipendenti governativi e appaltatori, presso quasi 80 agenzie di ramo esecutivo, erano idonei a detenere un nulla security di sicurezza.”

Il processo per ottenere un nulla security di sicurezza

Prima che il processo per ottenere un nulla clearance di sicurezza può anche iniziare ci deve esistere una necessità verificabile per l’individuo che cerca il nulla clearance di tenere uno. Mentre le aziende con contratti o sovvenzioni con il governo federale possono richiedere ai dipendenti di avere un nulla security di sicurezza, nessuna azienda senza un contratto con il governo federale può cercare in modo indipendente un nulla clearance di sicurezza.

Una volta che l’agenzia o il contraente seleziona un candidato da assumere, il richiedente riceverà un’offerta di lavoro che può essere subordinata all’ottenimento di un nulla security di sicurezza. Una vasta indagine di fondo si svolge dopo l’offerta è stata accettata e le forme richieste sono state completate.

L’ambito dell’indagine di base necessaria dipende dai requisiti della posizione e dal livello di autorizzazione di sicurezza necessaria per la posizione. Questo processo può richiedere diversi mesi o fino a un anno a seconda dell’arretrato, della necessità di ulteriori informazioni, della profondità del processo di indagine e di altri fattori.

Ordine Esecutivo 10450 stati, in parte, “L’ambito di indagine deve essere determinato secondo il grado di effetto avverso il titolare della posizione ricercata per essere riempito potrebbe portare, in virtù della natura dell’incarico, la sicurezza nazionale, ma che in nessun caso le indagini sono a meno di un’agenzia nazionale di controllo (tra cui un controllo delle impronte digitali dei file del Federal Bureau of Investigation), e richieste scritte di locali competenti organi di polizia, ex datori di lavoro e supervisori, i riferimenti e le scuole frequentate da una persona sotto indagine.”

La lunghezza del tempo necessario per ottenere un nulla security di sicurezza è in crescita ed è una preoccupazione significativa per le agenzie federali e appaltatori. Alcuni casi in cui gli individui richiederebbero più tempo del normale per essere indagati sono molte residenze passate, avendo residenze in paesi stranieri, avendo parenti al di fuori degli Stati Uniti o legami significativi con cittadini non statunitensi.

Se un ufficio di assunzione richiede un nulla interim di sicurezza provvisorio, un richiedente può essere concesso un nulla clearance di sicurezza provvisorio entro poche settimane dopo la presentazione di un pacchetto di sicurezza completo. Secondo il Servizio di sicurezza della Difesa (un’agenzia del Dipartimento della Difesa), tutti i candidati per un nulla security di sicurezza del personale presentato da un appaltatore autorizzato saranno regolarmente considerati per l’ammissibilità provvisoria. L’ammissibilità provvisoria viene rilasciata solo quando l’accesso a informazioni classificate è chiaramente coerente con gli interessi di sicurezza nazionale degli Stati Uniti. L’ammissibilità provvisoria è rilasciata contemporaneamente all’apertura dell’inchiesta e rimarrà in vigore fino al completamento dell’inchiesta. A quel tempo, il richiedente è considerato per l’ammissibilità finale.

Se un richiedente ritiene di essere un candidato serio per una posizione che richiede un nulla security di sicurezza, può accelerare il processo raccogliendo informazioni pertinenti prima di ricevere un’offerta di lavoro dall’agenzia di assunzione o dall’appaltatore. L’agenzia di assunzione o l’appaltatore può indirizzare il richiedente alle forme appropriate per il livello di autorizzazione richiesto per la posizione per la quale sono presi in considerazione.

Indagine sullo sfondo del nulla security di sicurezza

La componente centrale nel processo di ottenimento di un nulla clearance di sicurezza è l’indagine sullo sfondo. Il processo inizia con la registrazione del richiedente e la compilazione dei moduli appropriati attraverso il sito web dell’applicazione e-QIP (e-QIP) degli uffici statunitensi della gestione del personale (OPM). La fase successiva del processo prevede un’indagine condotta dall’OPM, dal DoD e dall’Ufficio del Direttore dell’intelligence nazionale o da un altro investigation Service provider (ISP), a seconda della posizione.

Ci sono cinque livelli di standard di indagine che si applicano alle domande di autorizzazioni di sicurezza. Il livello specifico di indagine appropriato per un determinato candidato è determinato dalla classificazione e dal rischio associato alle informazioni che il richiedente dovrà gestire. Il modulo OPM e-QIP necessario per ogni livello è delineato nella tabella seguente.

Tier 1	Low Risk, Non-Sensitive, including HSPD-12 Credentialing	Form SF85
Tier 2	Moderate Risk Public Trust (MRPT)	Form SF85P
Tier 3	Non-Critical Sensitive National Security	Form SF86
Tier 4	High-Risk Public Trust (HRPT)	Form SF85P
Tier 5	Critical Sensitive and Special Sensitive National Security, including Top Secret, and SCI	Form SF86

Il modulo e-QIP utilizzato per posizioni sensibili o di sicurezza nazionale è l’SF-86 come indicato negli standard di indagine Tier 3 e Tier 5. SF85 e SF85P sono adatti per lavorare in posizioni di agenzie governative che richiedono la fiducia del pubblico piuttosto che preoccupazioni di sicurezza nazionale.

Oltre e dopo la verifica delle risposte alle domande poste dal modulo OPM e-QIP, molte indagini includeranno un colloquio come parte di routine del processo di indagine. Al richiedente può essere chiesto di rispondere a domande relative al modulo compilato. Questo aiuta l’investigatore a ottenere chiarezza sulle risposte incomplete o poco chiare sul modulo. Declinare l’intervista può comportare l’annullamento dell’indagine e della relativa domanda di autorizzazione di sicurezza.

Oltre alle domande su questi moduli, lo sperimentatore può anche fare un’indagine sull’aderenza del richiedente ai requisiti di sicurezza, la loro onestà e integrità, la loro possibile vulnerabilità allo sfruttamento o alla coercizione o qualsiasi altro comportamento che potrebbe potenzialmente dimostrare che il candidato non è affidabile, affidabile o fedele al governo degli Stati Uniti.

Il Servizio di sicurezza diplomatica del Dipartimento di Stato (DSS) conduce indagini sulla sicurezza del personale per il Dipartimento di Stato e altre agenzie federali. Il DSS descrive il processo di indagine in background come comprendente questi passaggi:

• Un candidato riceve un’offerta di lavoro condizionale e completa e invia il modulo appropriato – un questionario per le posizioni di sicurezza nazionale, un questionario per le posizioni non sensibili o un questionario per le posizioni di fiducia pubblica-e altri moduli richiesti all’ufficio di assunzione appropriato.
• L’ufficio assunzioni esamina e invia il questionario compilato e altri moduli richiesti – noti come pacchetto di sicurezza – a DSS.
• DSS esamina il pacchetto di sicurezza e apre formalmente un’indagine di fondo.
• DSS conduce registrazioni e controlli delle impronte digitali contro i database commerciali e governativi.
• DSS verifica e corrobora le informazioni chiave e gli eventi dalla storia passata e recente del candidato. Questo può includere interviste di persone che conoscono bene il candidato. Lo sperimentatore può condurre un colloquio faccia a faccia con il candidato come parte del processo.
• Al termine dell’indagine, il DSS giudica e determina l’idoneità alla sicurezza nazionale del candidato secondo la Security Executive Agent Directive (SEAD) 4: National Security Adjudicative Guidelines.
• In alcuni casi, le indagini in background possono essere inoltrate a un pannello di idoneità delle risorse umane del Dipartimento di Stato.
• Dopo aver determinato l’idoneità alla sicurezza nazionale del candidato, DSS contatta l’autorità di assunzione appropriata.

Gli Stati Uniti Codice penale (titolo 18, sezione 1001) prevede che consapevolmente falsificare o nascondere un fatto materiale è un crimine che può comportare multe e/o fino a cinque (5) anni di reclusione.

Inoltre, le agenzie federali generalmente licenziano, non concedono un nulla security di sicurezza o squalificano individui che hanno materialmente e deliberatamente falsificato queste forme, e questo rimane una parte del record permanente per i posizionamenti futuri.

Il Servizio di sicurezza della difesa emette i seguenti stati durante l’indagine per far sapere ai candidati cosa sta succedendo durante il processo:

• Ricevuto Il fornitore di servizi investigativi (ISP) ha confermato la ricezione della richiesta di indagine e la esaminerà per accettabilità.
• Inaccettabile L’ISP ha ritenuto che la richiesta di indagine fosse carente. Il richiedente riceverà quindi un messaggio con il motivo per cui la richiesta è stata respinta. Se il dipendente richiede ancora un’autorizzazione, una nuova richiesta di indagine dovrà essere avviata e presentata con le informazioni corrette.
• Scheduled L’ISP ha stabilito che la richiesta di indagine è accettabile e l’indagine è attualmente in corso/aperta.
• Chiuso L’ISP ha completato l’indagine e l’indagine è stata inviata per aggiudicazione.

Perché un richiedente può essere negato un nulla clearance di sicurezza

Esistono vari motivi per cui un richiedente può essere negato un nulla clearance di sicurezza. Le considerazioni principali in un’indagine sono l’onestà dell’individuo, il candore e la completezza nel completamento delle loro forme di autorizzazione di sicurezza.

Viene fatto ogni sforzo per determinare se la concessione o il mantenimento dell’ammissibilità per un nulla security di sicurezza sia coerente con gli interessi della sicurezza nazionale. Un’ampia varietà di fattori può essere studiata.

È probabile che l’ambito di un’indagine sullo sfondo del nulla security di sicurezza includa le seguenti caratteristiche personali, inclinazioni e comportamento. Qualsiasi indicazione che il richiedente possa avere problemi sostanziali in uno di questi settori probabilmente solleverà una bandiera che indica la necessità di ulteriori indagini e l’eventuale rifiuto dell’autorizzazione.

• giuramento di Fedeltà agli Stati Uniti
• Potenziale influenza straniera
• straniera preferenza
• il comportamento Sessuale
• comportamento Personale
• considerazioni
• consumo di Alcol
• Interazioni coinvolgimento e l’abuso di sostanze
• Emotivo, mentale, e disturbi di personalità
• la condotta Criminale
• Gestione delle informazioni protette
• attività all’aperto
• uso Improprio della tecnologia dell’informazione;

le fatture non pagate, nonché penali, spesso squalificare un candidato per l’approvazione. Tuttavia, il fallimento sarà valutato caso per caso e non è una squalifica automatica. La scarsa storia finanziaria è la causa numero uno del rifiuto, e anche le attività straniere e i precedenti penali sono cause comuni per la squalifica.

È interessante notare che gli investigatori possono considerare pubblicamente disponibili informazioni sui social media in relazione a una domanda di nulla security di sicurezza. Security Executive Agent Direttiva 5, Raccolta, Uso, e la conservazione delle informazioni di social media a disposizione del pubblico nelle indagini di sfondo di sicurezza del personale e le sentenze, codifica sfondo federale autorità investigativa di incorporare le informazioni di social media a disposizione del pubblico nel processo di nulla security di sicurezza.

Queste linee guida rendono chiaro che le agenzie possono indirizzare post sui social media pubblicamente disponibili, se lo ritengono necessario, ma non possono costringere le persone a consegnare le loro password per account privati o fornire pseudonimi per qualsiasi profilo.

La politica afferma che i dati dei social media raccolti come parte di un controllo dei precedenti non saranno conservati a meno che non siano considerati “rilevanti” per la sicurezza della persona in questione.

Risorse per ottenere un’autorizzazione di sicurezza

Linee guida e aggiornamenti relativi alle autorizzazioni di sicurezza dagli Stati Uniti Dipartimento di Stato.

Il portale web del governo per l’accesso a questionari elettronici per l’elaborazione delle indagini (e-QIP) moduli.

Il Dipartimento della Difesa (DoD) Regolamento Programma di sicurezza del Personale.

Guida per il modulo standard (SF) 86.

Le informazioni contenute in questo articolo non sono consigli legali e non sostituiscono tali consigli. Le leggi statali e federali cambiano frequentemente e le informazioni contenute in questo articolo potrebbero non riflettere le leggi del proprio stato o le modifiche più recenti alla legge.