den här guiden handlar om hur cybersäkerhetspersonal kan få en säkerhetsprövning. Säkerhetsavstånd är en viktig aspekt av att arbeta inom cybersäkerhetsbranschen och den här guiden kommer att beskriva olika typer av säkerhetsavstånd, vilka typer av jobb som kräver säkerhetsavstånd och processen att följa för att få ett säkerhetsgodkännande.

naturligtvis finns det andra typer av säkerhetsavstånd utfärdade av andra statliga och icke-statliga enheter runt om i världen, men som en praktisk fråga kommer omfattningen av denna diskussion att begränsas till den för godkännanden utfärdade av myndigheter från den amerikanska federala regeringen.

säkerhetsprövning översikt

alla anställda av USA: s federala regering genomgår en grundläggande bakgrundsundersökning av deras kriminella och kredithistorier. Detta säkerställer att alla federala anställda är ”tillförlitliga, pålitlig, av gott uppförande och karaktär, och fullständig och orubblig lojalitet till USA.”

dessutom kräver federala anställningspositioner som inkluderar tillgång till känslig information en säkerhetsprövning. Detta inkluderar personer som är anställda av privata företag i egenskap av en entreprenör för den federala regeringen. Detta godkännande måste erhållas för att fastställa sökandens pålitlighet och tillförlitlighet innan de får tillgång till nationell säkerhetsinformation.

säkerhetsavstånd är strukturerade på ett hierarkiskt sätt med varje beteckning som anger den högsta nivån av sekretessbelagd information som kan nås av clearance innehavaren. Från minst restriktiva till mest restriktiva klassificeringsnivåerna är:

• konfidentiellt denna typ av säkerhetsgodkännande ger tillgång till information som kan orsaka skada på nationell säkerhet om den lämnas ut utan tillstånd. Det måste undersökas var 15: e år.
  ett konfidentiellt godkännande kräver en nationell Byråkontroll med lokal Byråkontroll och kreditkontroll (NACLC).

• Secret denna typ av säkerhetsgodkännande ger tillgång till information som kan orsaka allvarlig skada på nationell säkerhet om den lämnas ut utan tillstånd. Det måste undersökas var 10: e år.
  en hemlig clearance kräver en NACLC och en kreditupplysning; det måste också omprövas vart 10 år. Undersökningskrav för försvarsdepartementet (DoD), som gäller för de flesta civila entreprenörssituationer, finns i personalsäkerhetsprogrammets utfärdande som kallas DoD-förordning 5200.2-R, i del C3.4.2.

• Top Secret (TS) denna typ av säkerhetsgodkännande ger tillgång till information som kan orsaka exceptionellt allvarlig skada på nationell säkerhet om den avslöjas utan tillstånd. Det måste omprövas vart femte år.
  Top Secret är en strängare clearance. En TS clearance ges ofta som ett resultat av en enda omfattning bakgrundsundersökning, (SSBI). TS-godkännanden ger i allmänhet en tillgång till data som påverkar nationell säkerhet, kontraterrorism/motintelligens eller annan mycket känslig data. Det finns mycket färre individer med TS clearances än hemliga clearances. I de flesta fall genomgår en individ med topphemlig godkännande en nyundersökning vart femte år.

att ha erhållit en viss säkerhetsnivå betyder inte att clearance-innehavaren automatiskt har tillgång till eller får tillgång till information som godkänts för denna clearance-nivå. För att lagligt kunna hantera sekretessbelagd information måste clearinginnehavaren ha ett tydligt ”behov av att veta” utöver lämplig nivå av godkännande för informationen. Behovet av att veta bestäms i allmänhet av en upplysningsansvarig som tilldelats ursprungskontoret för de sekretessbelagda uppgifterna.

det finns också två kategorier av sekretessbelagd information som kräver ytterligare hanterings-och åtkomstbegränsningar:

• Sensitive compartmented information (SCI), som inkluderar intelligenskällor, metoder och processer.
  som med en TS-clearance tilldelas en SCI-clearance först efter att kandidaten har gått igenom en SSBI och en särskild bedömningsprocess för utvärdering av undersökningen. SCI-åtkomst tilldelas dock endast i”fack”. Dessa fack är nödvändigtvis separerade från varandra med avseende på organisationen så att en individ med tillgång till ett fack inte nödvändigtvis har tillgång till en annan. Varje fack kan innehålla sina egna ytterligare speciella krav och clearance process. En individ kan få tillgång till eller läsa in i ett fack under vilken tid som helst.
• Special access programs (SAPs), som är mycket känsliga projekt och program.
  DoD fastställer SAPs när sårbarheten för specifik information anses vara exceptionell och de normala reglerna för att bestämma behörighet för åtkomst anses inte vara tillräckliga för att skydda informationen. SAPs används vanligtvis för förbättrade säkerhetsåtgärder som strikt upprätthåller behovet av att veta. Antalet personer som godkänts för åtkomst till sådana program hålls vanligtvis lågt. Information om ny militär teknik kräver till exempel ofta sådan speciell tillgång.

dessa specialkategorier är för sekretessbelagd information som har ansetts vara särskilt sårbar, och behörighetsstandarder och undersökningskrav för tillgång till SCI-och SAPs-godkännanden är högre än för andra godkännanden.

säkerhetsavstängningar är endast aktiva för den tid då en person innehar det ursprungliga jobbet för vilket avklaringen utsågs. En clearance innehavare kan omprövas när som helst, men en formell översyn krävs efter det föreskrivna antalet år.

ett godkännande kan återaktiveras i vissa fall utan att gå igenom hela utredningsprocessen igen. Avbrottet i kandidatens anställning måste dock vara mindre än två år och den ursprungliga undersökningen får inte vara mer än 5, 10 eller 15 år för topphemliga, hemliga respektive konfidentiella kategorier.

historia av säkerhetsavstånd

myndigheten för klassificering av information och beviljande av säkerhetsavstånd för att få tillgång till den informationen finns i verkställande order (EOs) och amerikansk federal lag. Ursprunget till säkerhetsavstånd kan spåras tillbaka till Pendleton Act från 1883 som krävde att sökande för federal anställning skulle ha den nödvändiga karaktären, rykte, pålitlighet och lämplighet för anställning.

1941 föreskrev verkställande Order 8781 kravet på att alla federala anställda skulle fingeravtryck och undersökas av FBI och 1948 Förenade DoD det militära säkerhetsprogrammet och genomförde standarder och förfaranden som liknar dem som trädde i kraft för civila under eo 9835.

verkställande Order 10450 (1953) ersatte E. O. 9835 och krävde undersökningar av federala anställda för att fastställa deras tillförlitlighet, pålitlighet, gott uppförande och karaktär och lojalitet mot USA. Det krävde att sysselsättningen var ” tydligt förenlig med den nationella säkerhetsintresset.”

För närvarande klassificeras nationell säkerhetsinformation (NSI)under EO 13526 med ytterligare latitud som tillhandahålls av Säkerhetsdirektiv 4, nationella säkerhetsriktlinjer.

jobb som kräver säkerhetsprövning

många federala myndigheter och federala entreprenörer som arbetar med dessa byråer kräver nödvändigtvis att deras anställda håller säkerhetsprövningar för att kunna göra sitt jobb.

oavsett arbetsbeskrivning är det mer troligt att anställning inom vissa myndigheter kräver säkerhetsprövning. Anställning inom en statligt säkrad anläggning kräver också en säkerhetsprövning. Exempel på byråer som kan kräva högre nivåer av godkännande inkluderar:

• Central Intelligence Agency
• Homeland Security
• Defense Intelligence Agency
• Office of National Security Intelligence
• Drug Enforcement Administration
• Federal Bureau of Investigation
• National Geospatial-Intelligence Agency
• National Reconnaissance Office

den som har tillgång till sekretessbelagda uppgifter kräver godkännande på eller högre än den nivå där de uppgifter de måste hantera klassificeras. Av denna anledning krävs säkerhetsavstånd för ett brett utbud av jobb, från ledande befattningshavare till vaktmästare. Positioner som kan kräva säkerhetsprövning inkluderar Sekreterare, säkerhetsansvariga, bibliotekarier, systemadministratörer och datorstödspersonal som har tillgång till klassificerade dokument eller system.

i december 2017 United States Government Accountability Office (GAO) rapport till kongressen anges, ”från och med den 1 oktober 2015, det senaste datumet för vilket data finns tillgängliga, cirka 4,2 miljoner statliga och entreprenörsanställda, vid nästan 80 verkställande filialbyråer, var berättigade att hålla ett säkerhetsprövning.”

processen för att få en säkerhetsprövning

innan processen för att få en säkerhetsprövning kan även börja det måste finnas ett verifierbart behov för den person som söker clearance för att hålla en. Medan företag med kontrakt eller bidrag med den federala regeringen kan kräva att anställda har ett säkerhetsprövning, kan inget företag utan kontrakt med den federala regeringen självständigt söka säkerhetsprövning.

när byrån eller entreprenören väljer en kandidat att anställa, kommer sökanden att få ett jobberbjudande som kan vara beroende av att framgångsrikt få en säkerhetsprövning. En omfattande bakgrundsundersökning sker efter att erbjudandet har accepterats och de nödvändiga blanketterna har fyllts i.

omfattningen av den bakgrundsundersökning som behövs beror på positionens krav samt nivån på säkerhetsprövning som behövs för positionen. Denna process kan ta flera månader eller upp till ett år beroende på eftersläpningen, behovet av mer information, djupet i undersökningsprocessen och andra faktorer.

Executive Order 10450 anger delvis, ” omfattningen av utredningen ska bestämmas… enligt graden av negativ effekt som den åkande av den position som eftersträvas fyllas kan medföra, på grund av positionens karaktär, på den nationella säkerheten, men under inga omständigheter ska utredningen omfatta mindre än en nationell byråkontroll (inklusive en kontroll av fingeravtrycksfiler från Federal Bureau of Investigation) och skriftliga förfrågningar till lämpliga lokala brottsbekämpande organ, tidigare arbetsgivare och handledare, referenser och skolor som personen under undersökningen har undersökning.”

den tid som krävs för att få ett säkerhetsgodkännande växer och är ett betydande problem för federala myndigheter och entreprenörer. Vissa fall där individer skulle ta längre tid än normalt att undersökas är många tidigare bostäder, har bostäder i utlandet, har släktingar utanför USA, eller betydande band med icke-amerikanska medborgare.

om ett anställningskontor begär interimistisk säkerhetsprövning kan en sökande beviljas interimistisk säkerhetsprövning inom några veckor efter att ha lämnat in ett komplett säkerhetspaket. Enligt Försvarssäkerhetstjänsten (en byrå för försvarsdepartementet) kommer alla sökande för en personalsäkerhetsprövning som lämnats in av en rensad entreprenör rutinmässigt att övervägas för tillfällig behörighet. Den tillfälliga behörigheten utfärdas endast när tillgången till sekretessbelagd information tydligt överensstämmer med Förenta staternas nationella säkerhetsintressen. Den interimistiska stödberättigande utfärdas samtidigt som inledandet av undersökningen och kommer i allmänhet att förbli i kraft tills undersökningen är avslutad. Vid den tiden anses sökanden för slutlig behörighet.

om en sökande anser att de är en seriös kandidat för en position som kräver en säkerhetsprövning kan de påskynda processen genom att samla in relevant information innan de får ett jobberbjudande från anställningsbyrån eller entreprenören. Uthyrningsbyrån eller entreprenören kan rikta sökanden till lämpliga formulär för den nivå av godkännande som krävs för den position för vilken de övervägs.

bakgrundsundersökningen för säkerhetsprövning

den centrala komponenten i processen för att erhålla ett säkerhetsprövning är bakgrundsundersökningen. Processen börjar med att sökanden registrerar och fyller i lämpliga formulär via US Office of Personaladministrations (OPM) elektroniska frågeformulär för Utredningsbehandling (e-QIP) applikationswebbplats. Nästa fas av processen innebär en utredning som utförs av OPM, DoD och Kontoret för direktören för nationell intelligens eller en annan leverantör av utredningstjänster (ISP), beroende på positionen.

det finns fem nivåer av utredningsstandarder som gäller för applikationer för säkerhetsavstånd. Den specifika undersökningsnivå som är lämplig för en viss kandidat bestäms av klassificeringen och risken i samband med den information som sökanden behöver hantera. OPM e-QIP-formuläret som behövs för varje nivå avgränsas i tabellen nedan.

Tier 1	Low Risk, Non-Sensitive, including HSPD-12 Credentialing	Form SF85
Tier 2	Moderate Risk Public Trust (MRPT)	Form SF85P
Tier 3	Non-Critical Sensitive National Security	Form SF86
Tier 4	High-Risk Public Trust (HRPT)	Form SF85P
Tier 5	Critical Sensitive and Special Sensitive National Security, including Top Secret, and SCI	Form SF86

e-QIP-formuläret som används för känsliga eller nationella säkerhetspositioner är SF-86 enligt Tier 3 och Tier 5-utredningsstandarder. SF85 och SF85P är lämpliga för arbete i statliga myndighetspositioner som kräver allmänhetens förtroende snarare än nationella säkerhetsproblem.

förutom och efter verifieringen av svaren på frågorna från OPM e-QIP-formuläret kommer många undersökningar att innehålla en intervju som en rutinmässig del av utredningsprocessen. Sökanden kan bli ombedd att svara på frågor relaterade till deras ifyllda formulär. Detta hjälper utredaren att få klarhet om ofullständiga eller oklara svar på formuläret. Att avvisa intervjun kan leda till att utredningen, och relaterad säkerhetsprövningsapplikation, avbryts. Förutom frågorna på dessa formulär kan utredaren också göra en förfrågan om sökandens efterlevnad av säkerhetskrav, deras ärlighet och integritet, deras eventuella sårbarhet för exploatering eller tvång eller något annat beteende som potentiellt kan visa att kandidaten inte är pålitlig, pålitlig eller lojal mot den amerikanska regeringen.

Utrikesdepartementets diplomatiska säkerhetstjänst (DSS) genomför personalsäkerhetsbakgrundsundersökningar för utrikesdepartementet och andra federala myndigheter. DSS beskriver bakgrundsundersökningsprocessen som att inkludera dessa steg:

• en jobbkandidat får ett villkorligt erbjudande om anställning och fyller i och lämnar in lämplig blankett – antingen ett frågeformulär för nationella säkerhetspositioner, frågeformulär för icke-känsliga positioner eller frågeformulär för offentliga Förtroendepositioner – och andra obligatoriska formulär till lämpligt anställningskontor.
• anställningskontoret granskar och skickar in det ifyllda frågeformuläret och andra obligatoriska formulär – känt som säkerhetspaketet – till DSS.
• DSS granskar säkerhetspaketet och öppnar formellt en bakgrundsundersökning.
• DSS genomför register och fingeravtryckskontroller mot kommersiella och statliga databaser.
• DSS verifierar och bekräftar nyckelinformation och händelser från kandidatens tidigare och senaste historia. Detta kan inkludera intervjuer av personer som känner kandidaten väl. Utredaren kan genomföra en intervju ansikte mot ansikte med kandidaten som en del av processen.
• när utredningen är klar bedömer och bestämmer DSS kandidatens nationella säkerhetsberättigande enligt säkerhetsdirektivet (Sead) 4: nationella säkerhetsriktlinjer.
• i vissa fall kan bakgrundsundersökningar vidarebefordras till en Department of State Human Resources lämplighet panel.
• efter att ha fastställt kandidatens nationella säkerhetsberättigande kontaktar DSS lämplig anställningsmyndighet.

USA. Strafflagen (avdelning 18, avsnitt 1001) föreskriver att medvetet förfalskning eller döljande av ett väsentligt faktum är ett brott som kan leda till böter och/eller upp till fem (5) års fängelse. dessutom, federala myndigheter brand i allmänhet, inte bevilja en säkerhetsprövning, eller diskvalificera individer som har materiellt och medvetet förfalskade dessa former, och detta är fortfarande en del av den permanenta rekord för framtida placeringar.

Försvarssäkerhetstjänsten utfärdar följande status under hela utredningen för att låta kandidaterna veta vad som händer under processen:

• mottagen undersökningstjänstleverantören (ISP) har bekräftat mottagandet av utredningsbegäran och kommer att granska den för acceptans.
• oacceptabelt ISP fastställde att undersökningsbegäran var bristfällig. Sökanden kommer då att få ett meddelande med anledningen till att begäran avvisades. Om arbetstagaren fortfarande kräver godkännande måste en ny utredningsförfrågan initieras och lämnas in med korrigerad information.
• planerad ISP har fastställt att utredningsbegäran är acceptabel och utredningen pågår för närvarande/öppen.
• stängd ISP har avslutat undersökningen och utredningen har skickats för bedömning.

varför en sökande kan nekas en säkerhetsprövning

det finns olika skäl till varför en sökande kan nekas en säkerhetsprövning. De primära övervägandena i en utredning är individens ärlighet, uppriktighet och noggrannhet i slutförandet av deras säkerhetsformulär.

alla ansträngningar görs för att avgöra om beviljandet eller fortsatt berättigande till säkerhetsprövning är förenligt med den nationella säkerhetsintressen. En mängd olika faktorer kan undersökas.

omfattningen av en bakgrundsundersökning för säkerhetsprövning kommer sannolikt att innehålla följande personliga egenskaper, benägenheter och beteende. Alla uppgifter om att sökanden kan ha betydande problem på något av dessa områden kommer sannolikt att föra upp en flagga som indikerar ett behov av ytterligare utredning och eventuellt avslag på godkännandet.

• trohet till USA
• Potential för utländskt inflytande
• en utländsk preferens
• sexuellt beteende
• personligt beteende
• ekonomiska överväganden
• alkoholkonsumtion
• drog involvering och missbruk av ämnen
• emotionella, mentala och personlighetsstörningar
• kriminellt beteende
• hantering av skyddad information
• utanför aktiviteter
• missbruk av informationsteknik

obetalda räkningar, såväl som straffrättsliga avgifter, diskvalificerar ofta en sökande för godkännande. Konkurs kommer dock att utvärderas från fall till fall och är inte en automatisk diskvalificerare. Dålig ekonomisk historia är den främsta orsaken till avslag, och utländsk verksamhet och kriminalregister är också vanliga orsaker till diskvalificering.

det är anmärkningsvärt att utredare kan överväga offentligt tillgänglig information om sociala medier i samband med en ansökan om säkerhetsprövning. Security Executive Agent Directive 5, insamling, användning, och lagring av offentligt tillgänglig information om sociala medier i Personalsäkerhetsbakgrundsutredningar och domar, kodifierar federal background investigative authority för att införliva offentligt tillgänglig information om sociala medier i säkerhetsklareringsprocessen.

dessa riktlinjer klargör att byråer kan rikta offentligt tillgängliga sociala medier inlägg, om de anser det nödvändigt, men kan inte tvinga folk att lämna över sina lösenord för privata konton eller ge pseudonymer för alla profiler.

policyn säger att sociala medier som samlas in som en del av en bakgrundskontroll inte kommer att behållas om det inte anses vara ”relevant” för den berörda personens säkerhetsställning.

resurser för att få en säkerhetsprövning

riktlinjer och uppdateringar relaterade till säkerhetsprövningar från USA. Department of State.

regeringens webbaserade portal för åtkomst till elektroniska frågeformulär för Utredningsbehandling (e-QIP) formulär.

försvarsdepartementet (DoD) Personalsäkerhetsprogram förordning.

Guide för standardformuläret (SF) 86.

informationen i denna artikel är inte juridisk rådgivning och ersätter inte sådan rådgivning. Statliga och federala lagar ändras ofta, och informationen i den här artikeln kanske inte återspeglar din egen stats lagar eller de senaste ändringarna av lagen.