jak uzyskać poświadczenie bezpieczeństwa: kompletny przewodnik
Ten przewodnik dotyczy tego, w jaki sposób specjaliści ds. bezpieczeństwa cybernetycznego mogą uzyskać poświadczenie bezpieczeństwa. Poświadczenia bezpieczeństwa są ważnym aspektem pracy w branży cyberbezpieczeństwa, a ten przewodnik przedstawi różne rodzaje poświadczeń bezpieczeństwa, jakie zadania wymagają poświadczeń bezpieczeństwa oraz proces, który należy wykonać, aby uzyskać poświadczenie bezpieczeństwa.
dla celów niniejszego artykułu poświadczenie bezpieczeństwa jest oficjalnym określeniem, że dana osoba może uzyskać dostęp do pewnego poziomu informacji niejawnych, określonego przez agencję rządu Stanów Zjednoczonych.
oczywiście istnieją inne rodzaje zezwoleń wydawanych przez inne podmioty rządowe i pozarządowe na całym świecie, ale w praktyce zakres tej dyskusji będzie ograniczony do zezwoleń wydawanych przez agencje rządu federalnego USA.
przegląd poświadczeń bezpieczeństwa
każdy zatrudniony przez rząd federalny Stanów Zjednoczonych przechodzi podstawowe dochodzenie w sprawie ich historii kryminalnej i kredytowej. Gwarantuje to, że wszyscy pracownicy federalni są „niezawodni, godni zaufania, dobrego postępowania i charakteru oraz pełnej i niezachwianej lojalności wobec Stanów Zjednoczonych.”
ponadto federalne stanowiska pracy, które obejmują dostęp do poufnych informacji, wymagają poświadczenia bezpieczeństwa. Obejmuje to osoby zatrudnione przez prywatne firmy w charakterze wykonawcy dla rządu federalnego. Poświadczenie to należy uzyskać w celu ustalenia wiarygodności i wiarygodności Wnioskodawcy przed udzieleniem mu dostępu do informacji dotyczących bezpieczeństwa narodowego.
poświadczenia bezpieczeństwa są ustrukturyzowane w sposób hierarchiczny, przy czym każde oznaczenie wskazuje maksymalny poziom informacji niejawnych, do których posiadacz zezwolenia może uzyskać dostęp. Od najmniej restrykcyjnych do najbardziej restrykcyjnych poziomów klasyfikacji są następujące:
- poufne ten rodzaj poświadczenia bezpieczeństwa zapewnia dostęp do informacji, które mogą zaszkodzić bezpieczeństwu narodowemu, jeśli zostaną ujawnione bez zezwolenia. Musi być ponownie badany co 15 lat.
poufne poświadczenie wymaga sprawdzenia agencji krajowej Z local Agency Check and Credit Check (NACLC).
- Secret ten rodzaj poświadczenia bezpieczeństwa zapewnia dostęp do informacji, które mogą spowodować poważne szkody dla bezpieczeństwa narodowego, jeśli zostaną ujawnione bez zezwolenia. Musi być ponownie badany co 10 lat.
tajne poświadczenie wymaga NACLC i dochodzenia kredytowego; musi być również ponownie badane co 10 lat. Wymagania dochodzeniowe dla zezwoleń Departamentu Obrony (DoD), które mają zastosowanie do większości sytuacji cywilnych wykonawców, są zawarte w wydaniu programu bezpieczeństwa personelu znanego jako rozporządzenie DoD 5200.2-R, w części C3.4.2.
- ściśle tajne (TS) ten rodzaj poświadczenia bezpieczeństwa zapewnia dostęp do informacji, które mogą spowodować wyjątkowo poważne szkody dla bezpieczeństwa narodowego, jeśli zostaną ujawnione bez zezwolenia. Musi być ponownie badany co pięć lat.
ściśle tajne jest bardziej rygorystyczne. Zezwolenie TS jest często udzielane w wyniku dochodzenia w tle o jednym zakresie (SSBI). Zezwolenia TS, ogólnie rzecz biorąc, zapewniają jeden dostęp do danych, które mają wpływ na bezpieczeństwo narodowe, antyterroryzm/kontrwywiad lub inne bardzo wrażliwe dane. Jest znacznie mniej osób z upoważnieniami TS niż tajne zezwolenia. W większości przypadków osoba posiadająca ściśle tajne uprawnienia podlega ponownemu dochodzeniu co pięć lat.
uzyskanie pewnego poziomu poświadczenia bezpieczeństwa nie oznacza, że posiadacz poświadczenia automatycznie ma dostęp lub otrzymuje dostęp do informacji zatwierdzonych dla tego poziomu poświadczenia. W celu legalnego obchodzenia się z informacjami niejawnymi posiadacz zezwolenia musi mieć wyraźną „potrzebę wiedzy”, oprócz odpowiedniego poziomu zezwolenia dla tych informacji. Informacje niejawne są zazwyczaj określane przez urzędnika ds. ujawniania informacji przypisanego do urzędu pochodzenia.
istnieją również dwie kategorie informacji niejawnych, które wymagają dodatkowej obsługi i ograniczeń dostępu:
- Sensitive compartmented information (SCI), która obejmuje źródła informacji wywiadowczych, metody i procesy.
podobnie jak w przypadku zezwolenia TS, Zezwolenie SCI jest przyznawane dopiero po przejściu przez kandydata rygorów SSBI i specjalnym procesie orzekania w celu oceny dochodzenia. Dostęp do SCI jest jednak przypisywany tylko w „przedziałach”. Przedziały te są koniecznie oddzielone od siebie w odniesieniu do organizacji,tak że osoba mająca dostęp do jednego przedziału niekoniecznie będzie miała dostęp do drugiego. Każdy przedział może zawierać własne dodatkowe specjalne wymagania i proces odprawy. Osoba fizyczna może uzyskać dostęp do enklawy lub wczytać ją do niej na dowolny okres czasu. - specjalne programy dostępu (SAPs), które są bardzo wrażliwymi projektami i programami.
Departament Obrony ustanawia SAPs, gdy wrażliwość konkretnych informacji jest uważana za wyjątkową, a normalne zasady ustalania kwalifikowalności do dostępu nie są uważane za wystarczające do ochrony informacji. SAPs są zazwyczaj stosowane w celu zwiększenia środków bezpieczeństwa, które ściśle wymuszają potrzebę wiedzy. Liczba osób uprawnionych do dostępu do takich programów jest zazwyczaj utrzymywana na niskim poziomie. Na przykład informacje o nowych technologiach wojskowych często wymagają takiego specjalnego dostępu.
te szczególne kategorie dotyczą informacji niejawnych, które zostały uznane za szczególnie wrażliwe, a standardy kwalifikowalności i wymogi dochodzeniowe dotyczące dostępu do zezwoleń na tzw i SAPs są wyższe niż w przypadku innych zezwoleń.
uprawnienia bezpieczeństwa są aktywne tylko przez czas, w którym osoba fizyczna posiada oryginalną pracę, do której zostało wyznaczone upoważnienie. Posiadacz zezwolenia może zostać ponownie zbadany w dowolnym momencie, ale po upływie określonej liczby lat wymagany jest formalny przegląd.
zezwolenie może zostać reaktywowane w niektórych przypadkach bez ponownego przechodzenia przez cały proces dochodzeniowy. Jednak przerwa w zatrudnieniu kandydata musi być krótsza niż dwa lata, a pierwotne dochodzenie nie może być dłuższe niż 5, 10 lub 15 lat odpowiednio dla kategorii ściśle tajnych, tajnych i poufnych.
Historia poświadczeń bezpieczeństwa
Organ klasyfikacji informacji i przyznawania poświadczeń bezpieczeństwa w celu uzyskania dostępu do tych informacji znajduje się w rozporządzeniach wykonawczych (EOs) i prawie federalnym USA. Początki poświadczeń bezpieczeństwa można prześledzić do ustawy Pendleton z 1883 roku, która wymagała od wnioskodawców do federalnego zatrudnienia posiadania wymaganego charakteru, reputacji, wiarygodności i przydatności do zatrudnienia.
w 1941 r.dekret wykonawczy 8781 przewidywał, że wszyscy pracownicy federalni będą pobierani odciskami palców i badani przez FBI, a w 1948 r. DoD zunifikowała wojskowy program bezpieczeństwa i wdrożyła standardy i procedury podobne do tych wprowadzonych w życie dla cywilów zgodnie z E. O. 9835.
9835 i wymagały dochodzenia od pracowników federalnych w celu ustalenia ich wiarygodności, wiarygodności, dobrego zachowania i charakteru oraz lojalności wobec Stanów Zjednoczonych. Wymagało to, aby zatrudnienie było „wyraźnie zgodne z interesem bezpieczeństwa narodowego.”
obecnie Informacje o bezpieczeństwie narodowym (NSI) są klasyfikowane w ramach EO 13526 z pewną dodatkową swobodą zapewnioną przez dyrektywę agenta Wykonawczego ds. bezpieczeństwa 4, wytyczne dotyczące orzekania w sprawie bezpieczeństwa narodowego.
zadania, które wymagają poświadczenia bezpieczeństwa
wiele agencji federalnych i wykonawców federalnych pracujących z tymi agencjami koniecznie wymaga od swoich pracowników posiadania poświadczeń bezpieczeństwa w celu wykonywania swojej pracy.
potrzeba poświadczenia bezpieczeństwa jest podyktowana koniecznością obsługi poufnych lub niejawnych informacji, a nie konkretnym opisem stanowiska.
niezależnie od opisu stanowiska, zatrudnienie w niektórych agencjach rządowych jest bardziej prawdopodobne, że wymaga poświadczenia bezpieczeństwa. Zatrudnienie w zabezpieczonej przez rząd placówce wymaga również poświadczenia bezpieczeństwa. Przykłady agencji, które mogą wymagać wyższych poziomów rozliczania obejmują:
- Central Intelligence Agency
- Homeland Security
- Defense Intelligence Agency
- Office of National Security Intelligence
- Drug Enforcement Administration
- Federal Bureau of Investigation
- National Geospatial-Intelligence Agency
- National Reconnaissance Office
każdy, kto ma dostęp do niejawnych danych, wymaga poświadczenia na poziomie lub wyższym niż poziom, na którym dane, które muszą przetwarzać, są niejawne. Z tego powodu wymagane są poświadczenia bezpieczeństwa w szerokim zakresie zadań, od kierownictwa wyższego szczebla po sprzątanie. Stanowiska, które mogą wymagać poświadczenia bezpieczeństwa, obejmują sekretarzy, funkcjonariuszy ds. bezpieczeństwa, bibliotekarzy, administratorów systemów i personel wsparcia komputerowego, którzy mają dostęp do niejawnych dokumentów lub systemów.
raport GAO (United States Government Accountability Office) z grudnia 2017 r.dla Stanów kongresowych: „od 1 października 2015 r., ostatniego dnia, w którym dostępne są dane, około 4,2 mln pracowników rządowych i wykonawców w prawie 80 agencjach wykonawczych było uprawnionych do posiadania poświadczenia bezpieczeństwa.”
proces uzyskiwania poświadczenia bezpieczeństwa
zanim proces uzyskiwania poświadczenia bezpieczeństwa może się nawet rozpocząć, musi istnieć możliwa do zweryfikowania potrzeba posiadania go przez osobę ubiegającą się o poświadczenie. Podczas gdy firmy posiadające umowy lub dotacje z rządem federalnym mogą wymagać od pracowników posiadania poświadczenia bezpieczeństwa, Żadna firma bez umowy z rządem federalnym nie może samodzielnie ubiegać się o poświadczenie bezpieczeństwa.
tylko osoby zatrudnione przez agencję federalną lub wykonawcę federalnego mogą uzyskać poświadczenie bezpieczeństwa.
gdy agencja lub wykonawca wybierze kandydata do zatrudnienia, kandydat otrzyma ofertę pracy, która może być uzależniona od pomyślnego uzyskania poświadczenia bezpieczeństwa. Po zaakceptowaniu oferty i wypełnieniu wymaganych formularzy przeprowadza się szczegółowe dochodzenie.
zakres potrzebnego dochodzenia w tle zależy od wymagań stanowiska, a także od poziomu poświadczenia bezpieczeństwa potrzebnego na to stanowisko. Proces ten może potrwać kilka miesięcy lub nawet rok w zależności od zaległości, potrzeby uzyskania dodatkowych informacji, głębokości procesu dochodzenia i innych czynników.
zarządzenie wykonawcze 10450 stwierdza częściowo: „zakres dochodzenia zostanie określony… w zależności od stopnia negatywnego wpływu, jaki osoba zajmująca stanowisko, które ma zostać obsadzone, może spowodować, ze względu na charakter stanowiska, na bezpieczeństwo narodowe, ale w żadnym wypadku dochodzenie nie powinno obejmować mniej niż sprawdzenie agencji Narodowej (w tym sprawdzenie plików odcisków palców Federalnego Biura Śledczego) oraz pisemne zapytania do odpowiednich lokalnych organów ścigania, byłych pracodawców i przełożonych, referencji i szkół uczęszczanych przez osobę pod nadzorem Federalnego Biura Śledczego. śledztwo.”
czas potrzebny na uzyskanie poświadczenia bezpieczeństwa rośnie i jest istotnym problemem dla agencji federalnych i kontrahentów. Niektóre przypadki, w których osoby potrzebowałyby więcej niż zwykle, aby zostać zbadane, to wiele przeszłych rezydencji, rezydencje w innych krajach, krewni spoza Stanów Zjednoczonych lub znaczące więzi z obywatelami spoza USA.
Jeśli Biuro zatrudniające poprosi o tymczasowe poświadczenie bezpieczeństwa, kandydat może otrzymać tymczasowe poświadczenie bezpieczeństwa w ciągu kilku tygodni od złożenia kompletnego pakietu zabezpieczeń. Według Służby Bezpieczeństwa obrony (agencji Departamentu Obrony) wszyscy wnioskodawcy ubiegający się o poświadczenie bezpieczeństwa osobowego przedłożone przez zatwierdzonego wykonawcę będą rutynowo rozpatrywani pod kątem tymczasowej kwalifikowalności. Kwalifikacja tymczasowa jest wydawana tylko wtedy, gdy dostęp do informacji niejawnych jest wyraźnie zgodny z interesami bezpieczeństwa narodowego Stanów Zjednoczonych. Okresowa kwalifikowalność jest wydawana w tym samym czasie co wszczęcie dochodzenia i będzie zasadniczo obowiązywać do czasu zakończenia dochodzenia. W tym czasie wnioskodawca jest uważany za ostatecznego kwalifikowalności.
jeśli kandydat uważa, że jest poważnym kandydatem na stanowisko, które wymaga poświadczenia bezpieczeństwa, może przyspieszyć proces, zbierając odpowiednie informacje przed otrzymaniem oferty pracy od agencji rekrutacyjnej lub wykonawcy. Agencja wynajmu lub Wykonawca może skierować wnioskodawcę do odpowiednich formularzy dla poziomu odprawy wymaganej dla stanowiska, na które są one rozpatrywane.
dochodzenie w tle dotyczące poświadczenia bezpieczeństwa
centralnym elementem procesu uzyskiwania poświadczenia bezpieczeństwa jest dochodzenie w tle. Proces rozpoczyna się od rejestracji wnioskodawcy i wypełnienia odpowiednich formularzy za pośrednictwem strony internetowej aplikacji e-QIP (Electronic Ankiets for Investigations Processing) Biura Zarządzania Personelem Stanów Zjednoczonych (OPM). Kolejny etap procesu obejmuje dochodzenie prowadzone przez OPM, DoD i Biuro Dyrektora wywiadu krajowego lub innego dostawcy usług dochodzeniowych (ISP), w zależności od stanowiska.
istnieje pięć poziomów standardów dochodzeniowych, które mają zastosowanie do wniosków o poświadczenie bezpieczeństwa. Konkretny poziom dochodzenia, który jest odpowiedni dla danego kandydata, jest określany przez klasyfikację i ryzyko związane z informacjami, którymi wnioskodawca będzie musiał się zająć. Formularz OPM e-QIP wymagany dla każdego poziomu jest opisany w poniższej tabeli.
Tier 1 | Low Risk, Non-Sensitive, including HSPD-12 Credentialing | Form SF85 |
Tier 2 | Moderate Risk Public Trust (MRPT) | Form SF85P |
Tier 3 | Non-Critical Sensitive National Security | Form SF86 |
Tier 4 | High-Risk Public Trust (HRPT) | Form SF85P |
Tier 5 | Critical Sensitive and Special Sensitive National Security, including Top Secret, and SCI | Form SF86 |
formularz E-QIP używany dla wrażliwych pozycji lub pozycji bezpieczeństwa narodowego to SF-86 zgodnie ze standardami Tier 3 i Tier 5. SF85 i SF85P nadają się do pracy na stanowiskach agencji rządowych wymagających zaufania publicznego, a nie troski o bezpieczeństwo narodowe.
Oprócz i po weryfikacji odpowiedzi na pytania zadane przez formularz OPM e-QIP, wiele dochodzeń obejmie wywiad jako rutynową część procesu dochodzenia. Wnioskodawca może zostać poproszony o udzielenie odpowiedzi na pytania związane z wypełnionym formularzem. Pomaga to badaczowi uzyskać jasność na temat niekompletnych lub niejasnych odpowiedzi na formularzu. Odmowa przesłuchania może spowodować anulowanie dochodzenia i związanego z nim wniosku o poświadczenie bezpieczeństwa.
oprócz pytań na tych formularzach, badacz może również złożyć zapytanie o przestrzeganie przez wnioskodawcę wymagań bezpieczeństwa, ich uczciwość i uczciwość, ich ewentualną podatność na wyzysk lub przymus, lub jakiekolwiek inne zachowanie, które mogłyby potencjalnie wykazać, że kandydat nie jest wiarygodny, godny zaufania, lub lojalny wobec rządu USA.
Department of State ’ s Diplomatic Security Service (DSS) prowadzi dochodzenia w zakresie bezpieczeństwa personalnego dla Departamentu Stanu i innych agencji federalnych. DSS opisuje proces dochodzenia w tle jako obejmujący następujące etapy:
- kandydat do pracy otrzymuje warunkową ofertę zatrudnienia i wypełnia i przesyła odpowiedni formularz-kwestionariusz dla stanowisk Bezpieczeństwa Narodowego, kwestionariusz dla stanowisk niewrażliwych lub kwestionariusz dla stanowisk zaufania publicznego-i inne wymagane formularze do odpowiedniego biura zatrudniania.
- Biuro rekrutacji dokonuje przeglądu i przesyła wypełniony kwestionariusz oraz inne wymagane formularze – tzw. pakiet bezpieczeństwa – do DSS.
- DSS przegląda pakiet bezpieczeństwa i oficjalnie otwiera dochodzenie w tle.
- DSS prowadzi rejestry i kontrole odcisków palców w komercyjnych i rządowych bazach danych.
- DSS weryfikuje i potwierdza kluczowe informacje i wydarzenia z przeszłości i najnowszej historii kandydata. Może to obejmować wywiady z ludźmi, którzy dobrze znają kandydata. W ramach procesu badacz może przeprowadzić wywiad z kandydatem w cztery oczy.
- Po zakończeniu dochodzenia DSS osądza i określa uprawnienia kandydata do bezpieczeństwa narodowego zgodnie z dyrektywą Security Executive Agent (SEAD) 4: wytyczne dotyczące bezpieczeństwa narodowego.
- w niektórych przypadkach dochodzenia w tle mogą zostać przekazane do Zespołu ds. adekwatności Zasobów Ludzkich Departamentu Stanu.
- Po ustaleniu, czy kandydat spełnia kryteria bezpieczeństwa narodowego, DSS kontaktuje się z odpowiednim organem zatrudniającym.
Kodeks karny (tytuł 18, sekcja 1001) stanowi, że świadome fałszowanie lub ukrywanie faktów jest przestępstwem, które może skutkować grzywną i/lub do pięciu (5) lat pozbawienia wolności.
ponadto agencje federalne zazwyczaj zwalniają, nie przyznają poświadczenia bezpieczeństwa ani nie dyskwalifikują osób, które materialnie i celowo sfałszowały te formularze, co pozostaje częścią stałej dokumentacji dla przyszłych staży.
Służba Bezpieczeństwa obrony wydaje następujące statusy w trakcie dochodzenia, aby poinformować kandydatów, co dzieje się w trakcie procesu:
- otrzymał dostawca usług śledczych (ISP) potwierdził otrzymanie wniosku o dochodzenie i będzie go rozpatrywać pod kątem akceptacji.
- Następnie wnioskodawca otrzyma wiadomość z powodem odrzucenia wniosku. Jeśli pracownik nadal wymaga zgody, konieczne będzie wszczęcie nowego dochodzenia i przedłożenie poprawionych informacji.
- planowy ISP uznał wniosek o wszczęcie dochodzenia za dopuszczalny i dochodzenie jest obecnie w toku/otwarte.
- zamknięty ISP zakończył śledztwo i śledztwo zostało skierowane do rozstrzygnięcia.
dlaczego wnioskodawcy można odmówić poświadczenia bezpieczeństwa
istnieją różne powody, dla których wnioskodawcy można odmówić poświadczenia bezpieczeństwa. Podstawowe względy w dochodzeniu są uczciwość jednostki, szczerość, i dokładność w zakończeniu ich formularzy poświadczenia bezpieczeństwa.
dokładamy wszelkich starań, aby ustalić, czy przyznanie lub kontynuowanie uprawnień do poświadczenia bezpieczeństwa jest zgodne z interesami bezpieczeństwa narodowego. Można badać wiele różnych czynników.
zakres dochodzenia w tle poświadczenia bezpieczeństwa może obejmować następujące cechy osobiste, skłonności i zachowanie. Każde wskazanie, że wnioskodawca może mieć poważne problemy w którymkolwiek z tych obszarów, prawdopodobnie podniesie banderę wskazującą na potrzebę dalszego dochodzenia i możliwą odmowę udzielenia zezwolenia.
- lojalność wobec Stanów Zjednoczonych
- potencjalne wpływy zagraniczne
- preferencje zagraniczne
- zachowania seksualne
- postępowanie osobiste
- względy finansowe
- spożycie alkoholu
- udział w narkotykach i nadużywanie substancji
- zaburzenia emocjonalne, psychiczne i osobowości
- postępowanie karne
- Obsługa chronionych informacji
- działalność zewnętrzna
- nadużycie technologii informacyjnej
niezapłacone rachunki, a także zarzuty karne, często dyskwalifikują wnioskodawcę do zatwierdzenia. Bankructwo będzie jednak oceniane indywidualnie i nie będzie automatycznie dyskwalifikujące. Słaba Historia finansowa jest najczęstszą przyczyną odrzucenia, a działalność zagraniczna i kartoteka kryminalna są również częstymi przyczynami dyskwalifikacji.
warto zauważyć, że śledczy mogą rozważyć publicznie dostępne informacje w mediach społecznościowych w związku z wnioskiem o poświadczenie bezpieczeństwa. Security Executive Agent Dyrektywa 5, gromadzenie, wykorzystanie, i przechowywanie publicznie dostępnych informacji w mediach społecznościowych w Personnel Security Background Investigations and Adjudications, kodyfikuje federalny organ dochodzeniowy w tle włączenie publicznie dostępnych informacji w mediach społecznościowych w procesie poświadczania bezpieczeństwa.Facebook, Instagram i inne podobne strony.
według Biura Dyrektora Wywiadu Narodowego, polityka ta pozwala śledczym na rozważenie historii wnioskodawcy na Twitterze, Facebooku, Instagramie i innych podobnych stronach.
wytyczne te wyjaśniają, że agencje mogą kierować publicznie dostępne posty w mediach społecznościowych, jeśli uznają to za konieczne, ale nie mogą zmusić ludzi do przekazywania haseł do kont prywatnych lub podawania pseudonimów do jakichkolwiek profili.
Polityka stanowi, że dane z mediów społecznościowych zebrane w ramach kontroli przeszłości nie będą przechowywane, chyba że zostaną uznane za „istotne” dla bezpieczeństwa danej osoby.
zasoby do uzyskania poświadczenia bezpieczeństwa
wytyczne i aktualizacje związane z poświadczeniami bezpieczeństwa z USA. Departament Stanu.
rządowy internetowy portal dostępu do formularzy elektronicznych kwestionariuszy do przetwarzania dochodzeń (e-QIP).
Regulamin programu bezpieczeństwa personalnego Departamentu Obrony (DoD).
Przewodnik dla formularza standardowego (SF) 86.
informacje zawarte w tym artykule nie stanowią porady prawnej i nie zastępują takiej porady. Prawo stanowe i federalne często się zmieniają, A Informacje zawarte w tym artykule mogą nie odzwierciedlać prawa własnego państwa lub najnowszych zmian w prawie.