USGCB su un computer non in rete

Per aggiornare i computer non connessi, è possibile utilizzare gli strumenti di aggiornamento offline che scaricano gli aggiornamenti utilizzando un altro computer (che è possibile quindi trasferire al computer non in rete tramite unità USB per l'installazione). Ad esempio, è possibile utilizzare WSUS Offline Updater per Windows. Per il tuo fornitore di AV, però, dovresti controllare con loro come ottenere aggiornamenti offline.

Sto andando sul presupposto che tu o la tua azienda lavoriate come un appaltatore per il governo ... Nel qual caso, sapete se il contratto stipula che il computer deve essere certificato per funzionare (ovvero? verrà sottoposto a verifica per la conformità con l'USGCB)? Se è così, varrebbe la pena parlarne con l'auditor.

L'USGCB è derivato dalle raccomandazioni trovate in NIST SP 800-53, che è personalizzabile per un dato insieme di circostanze. Se il computer non è connesso a una rete, non è necessario un lettore di smart card o per procurarsi smart card: il computer non sarà connesso a nessun tipo di server di autenticazione che rende la smart card inutile ...

Se lavori come contraente per il governo degli Stati Uniti, come generalmente implicito nel tuo obbligo di conformità USGCB, probabilmente richiederanno che il tuo sistema venga inserito in un piano di sicurezza conforme a NIST SP 800-53 linee guida. Il processo per questo è non senza eccezioni. Per qualsiasi controllo nell'800-53 che non è possibile soddisfare, per qualsiasi motivo, è possibile che il cliente accetti semplicemente il rischio di non soddisfare il controllo.

In definitiva, spetterà al governo decidere se la proposta di rischio accettato sia approvata, ma non dovresti avere molti problemi finché la tua giustificazione è strong e solida. Se non approveranno la RA, potrebbero aggiungere la risoluzione del problema ai Piani di azione e alle pietre miliari del piano di sicurezza (POA & Ms).

Tutto ciò che ho detto, non mi aspetto che tu possa ottenere una rinuncia completa su Flaw Remediation (SI-02) o Protezione del codice dannoso (SI-03) semplicemente perché il computer non è in rete. Gli aggiornamenti di sicurezza possono essere inviati al sistema tramite sneaker-net (ad es .: WSUS offline) e la maggior parte dei produttori di antivirus fornisce anche download manuali delle proprie firme e degli aggiornamenti dei programmi per l'installazione offline.

Tuttavia, per l'autenticazione a più fattori, probabilmente dovrai proporre un AR. A meno che il sistema non sia collegato a una sorta di server di autenticazione in grado di gestire e convalidare le credenziali PIV, non credo che ci sia un modo in cui le Smart Card (o qualsiasi altro metodo di autenticazione a due fattori) possano essere di reale utilità. Per questo, dovrai proporre un AR contro alcuni dei miglioramenti apportati a Identificazione e autenticazione (Utenti organizzativi) (IA-02). Quali dipenderanno dalla categorizzazione FIPS-199 dei tipi di dati gestiti dal sistema.

Basso: 1
Medio: 1, 2, 3, 8
Alto: 1, 2, 3, 4, 8, 9

I miglioramenti 1, 2, 8 e 9 si applicano solo all'accesso di rete in modo che il tuo sistema ne sia comunque esentato. Mentre i miglioramenti 8 e 9 non richiamano specificamente l'autenticazione a più fattori, la maggior parte dei "meccanismi resistenti alla riproduzione" implicano l'autenticazione a più fattori. Verificare con il cliente per vedere quali sono i valori definiti dall'organizzazione (ODV) per "Elenco dei meccanismi di autenticazione resistenti alla riproduzione utilizzati per l'accesso alla rete agli account".