Se lavori come contraente per il governo degli Stati Uniti, come generalmente implicito nel tuo obbligo di conformità USGCB, probabilmente richiederanno che il tuo sistema venga inserito in un piano di sicurezza conforme a NIST SP 800-53 linee guida. Il processo per questo è non senza eccezioni. Per qualsiasi controllo nell'800-53 che non è possibile soddisfare, per qualsiasi motivo, è possibile che il cliente accetti semplicemente il rischio di non soddisfare il controllo.
In definitiva, spetterà al governo decidere se la proposta di rischio accettato sia approvata, ma non dovresti avere molti problemi finché la tua giustificazione è strong e solida. Se non approveranno la RA, potrebbero aggiungere la risoluzione del problema ai Piani di azione e alle pietre miliari del piano di sicurezza (POA & Ms).
Tutto ciò che ho detto, non mi aspetto che tu possa ottenere una rinuncia completa su Flaw Remediation (SI-02) o Protezione del codice dannoso (SI-03) semplicemente perché il computer non è in rete. Gli aggiornamenti di sicurezza possono essere inviati al sistema tramite sneaker-net (ad es .: WSUS offline) e la maggior parte dei produttori di antivirus fornisce anche download manuali delle proprie firme e degli aggiornamenti dei programmi per l'installazione offline.
Tuttavia, per l'autenticazione a più fattori, probabilmente dovrai proporre un AR. A meno che il sistema non sia collegato a una sorta di server di autenticazione in grado di gestire e convalidare le credenziali PIV, non credo che ci sia un modo in cui le Smart Card (o qualsiasi altro metodo di autenticazione a due fattori) possano essere di reale utilità. Per questo, dovrai proporre un AR contro alcuni dei miglioramenti apportati a Identificazione e autenticazione (Utenti organizzativi) (IA-02). Quali dipenderanno dalla categorizzazione FIPS-199 dei tipi di dati gestiti dal sistema.
Basso: 1
Medio: 1, 2, 3, 8
Alto: 1, 2, 3, 4, 8, 9
I miglioramenti 1, 2, 8 e 9 si applicano solo all'accesso di rete in modo che il tuo sistema ne sia comunque esentato. Mentre i miglioramenti 8 e 9 non richiamano specificamente l'autenticazione a più fattori, la maggior parte dei "meccanismi resistenti alla riproduzione" implicano l'autenticazione a più fattori. Verificare con il cliente per vedere quali sono i valori definiti dall'organizzazione (ODV) per "Elenco dei meccanismi di autenticazione resistenti alla riproduzione utilizzati per l'accesso alla rete agli account".