Io e alcuni dei miei colleghi abbiamo chiesto se fosse corretto inserire documenti FOUO (NSA) su SharePoint. La principale giustificazione era che la sua password protetta (che è corretta).
Ma è un sito ospitato quindi non abbiamo il controllo definitivo sul server.
Pensieri?
Chiedi al tuo responsabile della sicurezza o al tuo contatto / addetto alla sicurezza presso la NSA (l'originatore).
(Quando si tratta di gestire materiale classificato o FOUO, probabilmente non dovresti seguire comunque i consigli di sicurezza da Internet ...)
Apparentemente, FOUO significa spesso che contiene informazioni di identificazione personale che non dovrebbero essere rese pubbliche. Una parte cinica di me dice che FOUO sembra anche essere usato dove la divulgazione delle informazioni al pubblico potrebbe essere imbarazzante per qualche dipendente del governo. In ogni caso, FOUO significa che l'informazione non è molto sensibile. (Se la divulgazione rappresentasse effettivamente un pericolo per la sicurezza nazionale, sarebbe stata classificata segreta o superiore, non contrassegnata come FOUO. Lo scopo principale di FOUO è quello di assicurarsi che il pubblico non ne legga sui giornali.) Indipendentemente da violazione delle informazioni riservate o imbarazzante un potente impiegato del governo può essere una mossa limitante la propria carriera. Quindi, la tua preoccupazione principale dovrebbe essere la sicurezza del tuo lavoro. Pensa a questo dal punto di vista del CYA: che cosa hai bisogno di fare, per assicurarti che tu non venga incolpato se le informazioni vengono trapelate?
Il modo standard per CYA è di prendere la decisione di qualcun altro. Trova qualcun altro che è responsabile di prendere queste decisioni, chiedi loro cosa vogliono fare, documenta ciò che ti hanno detto e poi fai ciò che ti hanno detto, qualunque esso sia. In questo modo, non puoi essere incolpato: stavi solo seguendo le istruzioni, è colpa di qualcun altro.
Si può sostenere che dal momento che non è possibile raggiungere lo sharepoint senza immettere una password, è effettivamente protetto da password.
La NSA era solita contrassegnare la newsletter dei dipendenti FOUO e trasmetterla alle famiglie dei dipendenti. Controllo molto lento di FOUO. Vi è un prezioso supporto normativo per FOUO o CUI e ciò che differisce notevolmente tra le agenzie. A meno di un mese dall'elezione, il Presidente ha annullato lo sforzo di riformare il CUI e da allora non è successo nulla.
@ La risposta di DW è effettivamente corretta. Verificare con il proprietario delle informazioni e il proprietario del sistema. Determina quali sono le loro politiche, perché probabilmente sono molto più utili ed efficaci di Internet.
FOUO (solo per uso ufficiale) negli Stati Uniti ha un significato e uno scopo molto specifici. Sebbene la designazione sia ampiamente utilizzata nelle agenzie federali e statali, in un contesto di sicurezza delle informazioni il marchio ha lo scopo di impedire la divulgazione delle informazioni ai sensi del Freedom of Information Act (FOIA).
Esistono nove esenzioni specifiche e la prima esenzione (esenzione 1) riguarda i documenti classificati, vale a dire i documenti che hanno una classificazione di sicurezza nazionale rilasciata da un'autorità di classificazione originale. Per quegli Autorità di classificazione originali che designa un documento o altre informazioni come FOUO generalmente protegge informazioni sensibili ma non classificate.
Esenzione 2: "relativa esclusivamente alle regole e alle pratiche interne del personale di un'agenzia". Significava evitare richieste eccessive su "questioni in cui il pubblico non poteva ragionevolmente aspettarsi di avere un interesse". Es .: tipi di sabbia usati nei pesi di carta.
Esenzione 3: Leggi che esentano specificatamente un tipo o una categoria di informazioni dalla FOIA.
Eccezione 4: "segreti commerciali e informazioni commerciali o finanziarie ottenute da una persona e privilegiate o riservate". Si tratta generalmente di informazioni provenienti da una fonte commerciale o individuale che ha valore per tale fonte. Es: una ricetta segreta di famiglia per il Tiramisù che è stata registrata mentre raccoglieva prove contro un boss della mafia.
Esenzione 5: "memorandum o lettere inter-agenzia o intra-agenzia che non sarebbero disponibili per legge a una parte diversa da un'agenzia in contenzioso con l'agenzia". Es: Nessuna richiesta di valutazione delle prestazioni per i gestori meno performanti.
Esenzione 6: "file personali e medici e file simili la cui divulgazione costituirebbe un'invasione chiaramente ingiustificata della privacy personale". Es: le abitudini di pipì a letto degli informatori dell'FBI.
Esenzione 7: (A) potrebbe ragionevolmente presumere che interferisca con i procedimenti di esecuzione (B) priverebbe una persona di un diritto a un processo equo o ad un giudizio imparziale (C) si può ragionevolmente prevedere che costituirà un'invasione ingiustificata della privacy personale (D) si potrebbe ragionevolmente prevedere che divulga l'identità di una fonte riservata Es: Che tipo di fogli informano gli informatori dell'FBI.
Esenzione 8: "contenuta o correlata a rapporti di esame, funzionamento o condizione preparati da, per conto di, o per l'uso di un'agenzia incaricata della regolamentazione o vigilanza di istituti finanziari." Es: Perché Lehman Brothers era troppo grande per fallire.
Esenzione 9: "informazioni geologiche e geofisiche e dati, comprese le mappe, relative ai pozzi petroliferi". Es: Perché la NASA ha così tanta terra in Florida.
References:
Leggi altre domande sui tag government shared-hosting