cum să obțineți o autorizație de securitate: un ghid complet
Acest ghid se referă la modul în care profesioniștii în domeniul securității cibernetice pot obține o autorizație de securitate. Autorizațiile de securitate sunt o fațetă importantă a muncii în industria securității cibernetice și acest ghid va sublinia diferitele tipuri de autorizații de securitate, ce tipuri de locuri de muncă necesită autorizații de securitate și procesul de urmat pentru a obține o autorizație de securitate.
în sensul prezentului articol, o autorizație de securitate este o determinare oficială că o persoană poate accesa un anumit nivel de informații clasificate, așa cum este stabilit de o agenție a Guvernului Statelor Unite.
desigur, există și alte tipuri de autorizații de securitate emise de alte entități guvernamentale și neguvernamentale din întreaga lume, dar, ca o chestiune practică, sfera acestei discuții va fi limitată la cea a autorizațiilor emise de agențiile guvernului federal al SUA.
prezentare generală a clearance-ului de securitate
toți angajații guvernului federal al Statelor Unite sunt supuși unei investigații de bază a istoriilor lor penale și de credit. Acest lucru asigură că toți angajații federali sunt ” de încredere, de încredere, de bună conduită și caracter și de loialitate completă și neabătută față de Statele Unite.”în plus, pozițiile federale de angajare care includ accesul la informații sensibile necesită o autorizație de securitate. Aceasta include persoanele angajate de firme private în calitate de contractant pentru guvernul federal. Această autorizare trebuie obținută pentru a determina credibilitatea și fiabilitatea solicitantului înainte de a-i acorda acces la informațiile de securitate națională. autorizațiile de securitate sunt structurate într-o manieră ierarhică, fiecare denumire indicând nivelul maxim de informații clasificate care pot fi accesate de titularul autorizației. De la cel mai puțin restrictiv la cel mai restrictiv nivelurile de clasificare sunt:
- confidențial acest tip de autorizare de securitate oferă acces la informații care pot provoca daune securității naționale dacă sunt dezvăluite fără autorizație. Acesta trebuie reinvestigat la fiecare 15 ani.
o autorizare confidențială necesită o verificare a Agenției Naționale cu verificarea agenției locale și verificarea creditului (NACLC).
- Secret acest tip de autorizare de securitate oferă acces la informații care pot provoca daune grave securității naționale dacă sunt dezvăluite fără autorizație. Acesta trebuie reinvestigat la fiecare 10 ani.
o autorizare secretă necesită o NACLC și o investigație de Credit; trebuie, de asemenea, să fie re-investigată la fiecare 10 ani. Cerințele de investigație pentru autorizațiile Departamentului Apărării (DoD), care se aplică majorității situațiilor de contractanți civili, sunt cuprinse în emiterea programului de securitate a personalului cunoscut sub numele de Regulamentul DoD 5200.2-R, la partea C3.4.2.
- Top Secret (TS) acest tip de autorizare de securitate oferă acces la informații care pot provoca daune excepțional de grave securității naționale dacă sunt dezvăluite fără autorizație. Acesta trebuie reinvestigat la fiecare cinci ani.
Top Secret este un clearance mai stricte. O autorizare TS este adesea dată ca rezultat al unei investigații de fond cu un singur domeniu de aplicare (SSBI). Autorizațiile TS, în general, permit accesul la date care afectează securitatea națională, contraterorismul/contraspionajul sau alte date extrem de sensibile. Există mult mai puține persoane cu autorizații TS decât autorizații secrete. În cele mai multe cazuri, o persoană cu autorizație de top Secret este supusă unei reinvestigări la fiecare cinci ani.
obținerea unui anumit nivel de autorizare de securitate nu înseamnă că deținătorul autorizării are acces automat la informațiile autorizate pentru acel nivel de autorizare sau i se acordă acces la acestea. Pentru a gestiona în mod legal informațiile clasificate, titularul autorizației trebuie să aibă o „nevoie de cunoaștere” clară, pe lângă nivelul adecvat de autorizare a informațiilor. Necesitatea de a ști este, în general, determinată de un ofițer de divulgare desemnat la biroul de origine pentru informațiile clasificate.
există, de asemenea, două categorii de informații clasificate care necesită restricții suplimentare de manipulare și acces:
- informații compartimentate sensibile (SCI), care includ surse de informații, metode și procese.
ca și în cazul unei autorizații TS, o autorizare SCI este atribuită numai după ce candidatul a trecut prin rigorile unui SSBI și printr-un proces special de adjudecare pentru evaluarea investigației. Cu toate acestea, accesul SCI este atribuit numai în „compartimente”. Aceste compartimente sunt în mod necesar separate unele de altele în raport cu organizația, astfel încât o persoană cu acces la un compartiment nu va avea neapărat acces la altul. Fiecare compartiment poate include propriile cerințe speciale suplimentare și procesul de degajare. Unei persoane i se poate acorda acces la un compartiment sau se poate citi într-un compartiment pentru orice perioadă de timp. - programe speciale de acces (SAPs), care sunt proiecte și programe extrem de sensibile.DoD stabilește SAPs atunci când vulnerabilitatea informațiilor specifice este considerată excepțională și normele normale pentru determinarea eligibilității pentru acces nu sunt considerate suficiente pentru a proteja informațiile. Sap – urile sunt de obicei folosite pentru măsuri de securitate îmbunătățite care aplică cu strictețe nevoia de a cunoaște. Numărul de persoane autorizate pentru accesul la astfel de programe este de obicei menținut scăzut. Informațiile despre noile tehnologii militare, de exemplu, necesită frecvent un astfel de acces special.
aceste categorii speciale sunt destinate informațiilor clasificate care au fost considerate deosebit de vulnerabile, iar standardele de eligibilitate și cerințele de investigare pentru accesul la autorizațiile SCI și SAPs sunt mai ridicate decât pentru alte autorizații.
autorizațiile de securitate sunt active numai pentru perioada în care o persoană deține funcția inițială pentru care a fost desemnată autorizația. Un deținător al autorizației poate fi reexaminat în orice moment, dar este necesară o reexaminare formală după numărul prescris de ani.
o autorizare poate fi reactivată în anumite cazuri fără a trece din nou prin întregul proces de investigație. Cu toate acestea, pauza în angajarea candidatului trebuie să fie mai mică de doi ani, iar ancheta inițială nu poate fi mai mare de 5, 10 sau 15 ani pentru categoriile top secret, secret și, respectiv, confidențiale.
Istoricul autorizațiilor de securitate
Autoritatea pentru clasificarea informațiilor și acordarea autorizațiilor de securitate pentru a accesa aceste informații se găsește în ordinele Executive (EOs) și Legea federală a SUA. Originile autorizațiilor de securitate pot fi urmărite înapoi la Legea Pendleton din 1883, care impunea solicitanților de locuri de muncă federale să posede caracterul necesar, reputația, încrederea și aptitudinea pentru angajare.în 1941, Ordinul executiv 8781 prevedea cerința ca toți angajații federali să fie amprentați și investigați de FBI, iar în 1948 DoD a unificat programul de securitate militară și a implementat standarde și proceduri similare cu cele puse în aplicare pentru civili în temeiul E. O. 9835. Ordinul Executiv 10450 (1953) a înlocuit E. O. 9835 și a necesitat investigații ale angajaților federali pentru a-și stabili fiabilitatea, încrederea, buna conduită și caracter și loialitatea față de Statele Unite. Este necesar ca ocuparea forței de muncă să fie „în mod clar în concordanță cu interesul securității naționale.”în prezent, informațiile de Securitate Națională (INS) sunt clasificate în EO 13526 cu o anumită latitudine suplimentară oferită de Directiva 4 a agentului executiv de securitate, orientări Adjudecative pentru securitatea națională.
locuri de muncă care necesită o autorizație de securitate
multe agenții federale și contractori federali care lucrează cu aceste agenții necesită în mod necesar angajații lor să dețină autorizații de securitate pentru a-și face treaba.
necesitatea unei autorizații de securitate este dictată de necesitatea de a gestiona informații sensibile sau clasificate, mai degrabă decât de o descriere specifică a postului.
indiferent de descrierea postului, angajarea în cadrul anumitor agenții guvernamentale este mai probabil să necesite o autorizație de securitate. Angajarea într-o unitate securizată de guvern necesită, de asemenea, o autorizație de securitate. Exemple de agenții care pot necesita niveluri mai ridicate de autorizare includ:
- Central Intelligence Agency
- Homeland Security
- Defense Intelligence Agency
- Biroul de informații pentru Securitate Națională
- Drug Enforcement Administration
- Biroul Federal de Investigații
- Agenția Națională de informații geospațiale
- Biroul Național de recunoaștere
- oricine are acces la date clasificate necesită o autorizare la sau mai mare decât nivelul la care datele pe care trebuie să le gestioneze sunt clasificate. Din acest motiv, autorizațiile de securitate sunt necesare pentru o gamă largă de locuri de muncă, de la conducerea superioară la janitorial. Pozițiile care pot necesita o autorizație de securitate includ secretari, ofițeri de securitate, bibliotecari, Administratori de sistem și personal de asistență informatică care au acces la documente sau sisteme clasificate.în decembrie 2017, Biroul de responsabilitate al Guvernului Statelor Unite (GAO) raportează Statelor Congresului: „începând cu 1 octombrie 2015, ultima dată pentru care sunt disponibile date, aproximativ 4,2 milioane de angajați guvernamentali și contractori, la aproape 80 de agenții executive, erau eligibili să dețină o autorizație de securitate.”
procesul de obținere a unei autorizații de securitate
înainte ca procesul de obținere a unei autorizații de securitate să poată începe chiar trebuie să existe o nevoie verificabilă pentru ca persoana care solicită autorizarea să dețină una. În timp ce companiile cu contracte sau subvenții cu guvernul federal pot solicita angajaților să aibă o autorizație de securitate, nicio companie fără contract cu guvernul federal nu poate solicita în mod independent o autorizație de securitate.
numai persoanele angajate de o agenție federală sau contractant federal pot obține o autorizație de securitate.
odată ce agenția sau contractantul selectează un candidat pentru angajare, solicitantul va primi o ofertă de muncă care poate fi condiționată de obținerea cu succes a unei autorizații de securitate. O investigație amplă de fond are loc după ce oferta a fost acceptată și formularele necesare au fost completate.
domeniul de aplicare al investigației de fond necesare depinde de cerințele poziției, precum și de nivelul de autorizare de securitate necesar pentru poziție. Acest proces poate dura câteva luni sau până la un an, în funcție de restanțele, nevoia de mai multe informații, profunzimea procesului de investigare și alți factori.
Ordinul Executiv 10450 prevede în parte: „domeniul de aplicare al anchetei va fi determinat… în funcție de gradul de efect advers pe care ocupantul postului căutat să îl ocupe ar putea aduce, în virtutea naturii poziției, asupra securității naționale, dar în niciun caz ancheta nu va include mai puțin decât o verificare a Agenției Naționale (inclusiv o verificare a fișierelor de amprentă ale Biroului Federal de Investigații) și anchete scrise către agențiile locale de aplicare a legii, foști angajatori și supraveghetori, referințe și școli la care participă persoana aflată sub supraveghere) anchetă.”
durata de timp necesară pentru a obține o autorizație de securitate este în creștere și este o preocupare semnificativă pentru agențiile federale și contractori. Unele cazuri în care indivizii ar dura mai mult decât în mod normal pentru a fi investigați sunt multe reședințe din trecut, având reședințe în țări străine, având rude în afara Statelor Unite sau legături semnificative cu cetățeni non-americani.
dacă un birou de angajare solicită o autorizație de securitate provizorie, unui solicitant i se poate acorda o autorizație de securitate provizorie în termen de câteva săptămâni de la depunerea unui pachet de securitate complet. Potrivit Serviciului de securitate al Apărării (o agenție a Departamentului Apărării), toți solicitanții unei autorizații de securitate a personalului depuse de un contractant autorizat vor fi luați în considerare în mod obișnuit pentru eligibilitate intermediară. Eligibilitatea provizorie este emisă numai atunci când accesul la informații clasificate este în mod clar în concordanță cu interesele de securitate națională ale Statelor Unite. Eligibilitatea intermediară este emisă în același timp cu deschiderea anchetei și va rămâne, în general, în vigoare până la finalizarea anchetei. În acel moment, solicitantul este considerat eligibilitatea finală.dacă un solicitant consideră că este un candidat serios pentru o poziție care necesită o autorizație de securitate, acesta poate accelera procesul prin colectarea de informații relevante înainte de a primi o ofertă de muncă de la Agenția de angajare sau contractantul. Agenția de angajare sau Contractantul poate îndruma solicitantul către formularele adecvate pentru nivelul de autorizare necesar pentru funcția pentru care sunt luate în considerare.
investigația de fond a clearance-ului de securitate
componenta centrală în procesul de obținere a unei autorizații de securitate este investigația de fond. Procesul începe cu înregistrarea solicitantului și completarea formularelor corespunzătoare prin intermediul site-ului web al aplicației birourilor de gestionare a personalului (OPM) din SUA chestionare electronice pentru procesarea investigațiilor (e-QIP). Următoarea fază a procesului implică o investigație efectuată de OPM, DoD și biroul directorului informațiilor naționale sau al unui alt furnizor de servicii de investigație (ISP), în funcție de funcție.
există cinci niveluri de standarde de investigație care se aplică aplicațiilor pentru autorizații de securitate. Nivelul specific al investigației care este adecvat pentru un anumit candidat este determinat de clasificarea și riscul asociat informațiilor pe care solicitantul va trebui să le gestioneze. Formularul OPM e-QIP necesar pentru fiecare nivel este delimitat în tabelul de mai jos.
Tier 1 Low Risk, Non-Sensitive, including HSPD-12 Credentialing Form SF85 Tier 2 Moderate Risk Public Trust (MRPT) Form SF85P Tier 3 Non-Critical Sensitive National Security Form SF86 Tier 4 High-Risk Public Trust (HRPT) Form SF85P Tier 5 Critical Sensitive and Special Sensitive National Security, including Top Secret, and SCI Form SF86 formularul e-QIP utilizat pentru poziții sensibile sau de securitate națională este SF-86, așa cum este indicat în standardele de investigare de nivel 3 și de nivel 5. SF85 și SF85P sunt potrivite pentru a lucra în funcții de agenție guvernamentală care necesită încredere publică, mai degrabă decât probleme de securitate națională.
pe lângă și după verificarea răspunsurilor la întrebările puse de formularul OPM e-QIP, multe investigații vor include un interviu ca parte de rutină a procesului de investigare. Solicitantul poate fi rugat să răspundă la întrebări legate de formularul completat. Acest lucru ajută investigatorul să obțină claritate cu privire la răspunsurile incomplete sau neclare din formular. Refuzarea interviului poate duce la anularea anchetei și a aplicației de autorizare de securitate aferente. în plus față de întrebările din aceste formulare, investigatorul poate face, de asemenea, o anchetă cu privire la aderarea solicitantului la cerințele de securitate, onestitatea și integritatea acestuia, posibila vulnerabilitate la exploatare sau constrângere sau orice alt comportament care ar putea demonstra că candidatul nu este de încredere, de încredere sau loial Guvernului SUA.
serviciul de securitate diplomatică al Departamentului de Stat (DSS) efectuează investigații de fond pentru securitatea personalului pentru Departamentul de stat și alte agenții federale. DSS descrie procesul de investigare de fond ca incluzând acești pași:
- un candidat la un loc de muncă primește o ofertă condiționată de angajare și completează și depune formularul corespunzător – fie un chestionar pentru poziții de Securitate Națională, chestionar pentru poziții nesensibile, fie chestionar pentru poziții de încredere publică-și alte formulare necesare la biroul de angajare corespunzător.
- biroul de angajare revizuiește și transmite chestionarul completat și alte formulare necesare – cunoscute sub numele de pachetul de securitate – către DSS.
- DSS revizuiește pachetul de securitate și deschide în mod oficial o investigație de fond.
- DSS efectuează înregistrări și verificări ale amprentelor digitale împotriva bazelor de date comerciale și guvernamentale.
- DSS verifică și coroborează informații cheie și evenimente din trecutul candidatului și istoria recentă. Aceasta poate include interviuri cu persoane care cunosc bine candidatul. Investigatorul poate efectua un interviu față în față cu candidatul ca parte a procesului.
- după finalizarea investigației, DSS judecă și determină eligibilitatea candidatului pentru securitatea națională în conformitate cu Directiva privind agentul executiv de securitate (Sead) 4: orientări Adjudecative pentru securitatea națională.
- în unele cazuri, investigațiile de fond pot fi transmise unui panou de adecvare a Resurselor Umane al Departamentului de stat.
- după determinarea eligibilității de securitate națională a candidatului, DSS contactează Autoritatea de angajare corespunzătoare.
SUA. Codul penal (titlul 18, secțiunea 1001) prevede că falsificarea sau ascunderea cu bună știință a unui fapt material este o infracțiune care poate duce la amenzi și/sau până la cinci (5) ani de închisoare. în plus, agențiile federale, în general, concediază, nu acordă o autorizație de securitate sau descalifică persoanele care au falsificat în mod material și deliberat aceste formulare, iar acest lucru rămâne o parte a înregistrării permanente pentru viitoarele destinații de plasare.
serviciul de securitate al Apărării emite următoarele stări pe parcursul anchetei pentru a informa candidații ce se întâmplă în timpul procesului:
- primit furnizorul de servicii de investigație (ISP) a confirmat primirea cererii de investigație și o va examina pentru acceptabilitate.
- inacceptabil ISP a determinat cererea de anchetă să fie deficitară. Solicitantul va primi apoi un mesaj cu motivul pentru care cererea a fost respinsă. În cazul în care angajatul necesită în continuare o autorizare, va trebui inițiată o nouă cerere de investigație și prezentată împreună cu informațiile corectate.
- programat ISP a stabilit cererea de anchetă pentru a fi acceptabil și ancheta este în curs de desfășurare/deschis.
- închis ISP-ul a finalizat ancheta și ancheta a fost trimisă spre adjudecare.
De ce unui solicitant i se poate refuza autorizația de securitate
există diverse motive pentru care unui solicitant i se poate refuza autorizația de securitate. Considerațiile principale într-o investigație sunt onestitatea individului, candoarea și temeinicia în completarea formularelor lor de autorizare de securitate.
se depun toate eforturile pentru a determina dacă acordarea sau continuarea eligibilității pentru o autorizație de securitate este în concordanță cu interesele securității naționale. O mare varietate de factori pot fi investigați.
domeniul de aplicare al unei investigații de fond de autorizare de securitate este probabil să includă următoarele caracteristici personale, înclinații și comportament. Orice indicație că solicitantul ar putea avea probleme substanțiale în oricare dintre aceste domenii va ridica probabil un steag care indică necesitatea unei investigații suplimentare și a unei posibile refuzuri a autorizării.
- loialitate față de Statele Unite
- potențialul de influență străină
- o preferință străină
- comportament Sexual
- comportament Personal
- considerații financiare
- consumul de alcool
- implicarea drogurilor și abuzul de substanțe
- tulburări emoționale, mentale și de personalitate
- comportament Criminal
- manipularea informațiilor protejate
- activități
- utilizarea abuzivă a Tehnologiei Informației
facturile neplătite, precum și acuzațiile penale, vor descalifica adesea un solicitant de aprobare. Cu toate acestea, falimentul va fi evaluat de la caz la caz și nu este un descalificator automat. Istoricul financiar slab este cauza numărul unu a respingerii, iar activitățile străine și cazierele judiciare sunt, de asemenea, cauze comune pentru descalificare.este demn de remarcat faptul că anchetatorii pot lua în considerare informațiile de pe rețelele sociale disponibile publicului în legătură cu o cerere de autorizare de securitate. Directiva 5 privind agentul executiv de securitate, colectarea, utilizarea și păstrarea informațiilor de pe rețelele sociale disponibile publicului în investigațiile și Adjudecările privind securitatea personalului, codifică autoritatea federală de investigare a fundalului pentru a încorpora informațiile de pe rețelele sociale disponibile publicului în procesul de autorizare a securității.
potrivit biroului directorului de informații Naționale, această politică permite anchetatorilor să ia în considerare istoricul unui solicitant pe Twitter, Facebook, Instagram și alte site-uri similare.
aceste linii directoare clarifică faptul că agențiile pot viza postări de social media disponibile publicului, dacă consideră necesar, dar nu pot forța oamenii să predea parolele lor pentru conturi private sau să furnizeze pseudonime pentru orice profiluri.Politica prevede că datele de pe rețelele sociale colectate ca parte a unei verificări de fond nu vor fi păstrate decât dacă sunt considerate „relevante” pentru starea de securitate a persoanei în cauză.
resurse pentru obținerea unei autorizații de securitate
orientări și actualizări legate de autorizațiile de securitate din SUA. Departamentul de Stat.
portalul web al Guvernului pentru accesarea chestionarelor electronice pentru procesarea investigațiilor (e-QIP).Departamentul Apărării (DoD) regulamentul programului de securitate a personalului.
ghid pentru formularul Standard (SF) 86.
informațiile conținute în acest articol nu reprezintă consultanță juridică și nu înlocuiesc o astfel de consiliere. Legile de stat și federale se schimbă frecvent, iar informațiile din acest articol pot să nu reflecte legile statului dvs. sau cele mai recente modificări ale legii.