4 outils de sécurité dont les entrepreneurs de la défense ont besoin
Les sous-traitants de la défense agréés fournissent la technologie et le savoir-faire qui fournissent des produits et des services à notre industrie de la défense. Les CDC et être un entrepreneur principal ou un sous-traitant et sont engagés pour soutenir les organisations gouvernementales. La désignation de CDC indique que l’organisation est un entrepreneur du gouvernement avec une autorisation d’installation et est composée d’employés avec des autorisations de sécurité du personnel. Avec les contrats classifiés, les CDC sont tenus de protéger les informations classifiées de leurs clients gouvernementaux tout en exécutant des contrats classifiés.
Les CDC font partie du Programme national de sécurité industrielle (NISP). Le manuel d’exploitation du programme national de sécurité industrielle (NISPOM) fournit des conseils sur la manière d’exécuter les contrats classifiés. Les conseils incluent des sujets tels que les responsabilités des employés, la formation requise, l’évaluation continue, le maintien de l’habilitation de sécurité, et bien plus encore. La Defense Counter-Intelligence and Security Agency (DCSA), anciennement connue sous le nom de DSS, fournit la plupart des contrôles de surveillance et de conformité des agences du DoD. Ils effectuent des évaluations de vulnérabilité et déterminent dans quelle mesure un CDC protège les informations classifiées selon le NISPOM.
Les sous-traitants de la défense autorisés ont un travail important, non seulement pour exécuter des contrats classifiés, protéger les informations classifiées, mais aussi documenter ou valider la conformité. Les outils suivants doivent figurer dans la boîte à outils du CDC et peuvent être utilisés pour les aider à rester en conformité et à démontrer leur niveau de conformité.
1. Manuel d’exploitation du programme industriel national (NISPOM)
Le manuel d’exploitation du programme national de sécurité industrielle (NISPOM) est l’instruction du ministère de la Défense aux sous-traitants sur la manière de protéger les informations classifiées. Cette impression du NISPOM comprend les dernières nouvelles des services de sécurité de la défense pour inclure un index et des lettres de sécurité industrielle. Le NISPOM aborde les responsabilités d’un entrepreneur autorisé, notamment : les autorisations de sécurité, la formation et les séances d’information requises, la classification et les marquages, la protection des informations classifiées, les visites et les réunions, la sous-traitance, la sécurité du système d’information, les exigences spéciales, les exigences de sécurité internationales et bien plus encore.
2. Règlement sur le trafic international d’armes (ITAR)
« Toute personne qui exerce aux États-Unis une activité de fabrication ou d’exportation d’articles de défense ou de fourniture de services de défense est tenue de s’enregistrer… » ITAR « Il est de la responsabilité de l’entrepreneur de se conformer à toutes les lois et réglementations applicables concernant les exportations contrôlées. articles. »-DDTC
Les entreprises qui fournissent des biens et services de défense doivent comprendre comment protéger la technologie américaine ; l’ITAR fournit les réponses. ITAR est le guide du fournisseur de produits et services de défense pour savoir quand et comment obtenir une licence d’exportation. Ce livre apporte des réponses à :
Quels sous-traitants de la défense doivent s’inscrire auprès du DDTC ?
Quels produits de défense nécessitent des licences d’exportation ?
Quels services de défense nécessitent des licences d’exportation ?
Quelles sont les responsabilités des entreprises et des gouvernements en matière d’exportation ?
Qu’est-ce qu’une exportation?
Comment demander une licence ou un contrat d’assistance technique ?
3. Manuel d’auto-inspection pour les entrepreneurs NISP
Le manuel d’exploitation du programme national de sécurité industrielle (NISPOM) exige que tous les participants au programme national de sécurité industrielle (NISP) mènent leurs propres examens de sécurité (auto-inspections). Ce manuel d’auto-inspection est conçu comme un outil de travail pour vous aider à vous conformer à cette exigence. Il n’est pas destiné à être utilisé uniquement comme liste de contrôle. Il est plutôt destiné à vous aider à développer un programme d’auto-inspection viable spécifiquement adapté aux besoins classifiés de votre entreprise dédouanée. Vous constaterez également qu’ils ont inclus diverses techniques qui aideront à améliorer la qualité globale de votre auto-inspection. Pour être plus efficace, il est suggéré que vous considériez votre auto-inspection comme un processus en trois étapes : 1) pré-inspection 2) auto-inspection 3) post-inspection.
4. Formation pour les employés autorisés
un. Formation initiale de sensibilisation à la sécurité et formation de remise à niveau sur la sensibilisation à la sécurité
Formation initiale de sensibilisation à la sécurité et formation de remise à niveau sur la sensibilisation à la sécurité
La présentation principale est idéale pour la formation initiale ou pour la formation annuelle de sensibilisation à la sécurité requise pour tous les employés autorisés.
NISPOM requiert les sujets de formation suivants lors de la formation initiale et de la formation de recyclage :
• Briefing de sécurité sur la sensibilisation aux menaces, y compris les menaces internes
• Briefing de sensibilisation au contre-espionnage
• Aperçu du système de classification de sécurité
• Obligations et exigences de signalement des employés, y compris les menaces internes
• Formation de sensibilisation à la cybersécurité pour tous les utilisateurs autorisés du SI
La formation NISPOM contient des exigences pour la sensibilisation annuelle à la sécurité et la formation initiale à la sécurité.
b. Formation sur les classificateurs dérivés
Le NISPOM décrit les exigences de la formation en classification dérivée pour inclure… la bonne application des principes de classification dérivée, en mettant l’accent sur la prévention de la surclassification, au moins une fois tous les 2 ans. Ceux qui n’ont pas cette formation ne sont pas autorisés à effectuer les tâches.
Le personnel de l’entrepreneur prend des décisions de classification dérivées lorsqu’il incorpore, paraphrase, reformule ou génère sous une nouvelle forme des informations déjà classifiées ; marquez ensuite le matériel nouvellement développé conformément aux marques de classification qui s’appliquent à l’information source.
c. Formation sur les menaces internes
Ce programme de formation comprend les exigences de formation sur les menaces internes identifiées par le NISPOM. Le NISPOM a identifié les exigences suivantes pour établir un programme de menace interne. Téléchargez et présentez la formation ici et répondez aux exigences de formation :
• Désigner un haut responsable des menaces internes
• Établir un programme de menace interne / Auto-certifier le plan de mise en œuvre par écrit au DSS.
• Établir un groupe de programme sur les menaces internes
• Fournir une formation sur les menaces internes
• Surveiller l’activité classifiée du réseau
• Recueillir, intégrer et rapporter des informations pertinentes et crédibles ; détecter les initiés présentant un risque pour les informations classifiées ; et atténuer le risque de menace interne
• Mener des auto-inspections du programme de menaces internes.
d. Briefing SF 312
Cette formation est destinée aux employés nouvellement autorisés et doit être donnée avant les briefings de sécurité initiaux
Les employés nouvellement autorisés doivent signer un accord de non-divulgation SF-312. Au lieu de simplement leur faire signer la boîte, pourquoi ne pas leur donner le briefing SF-312 approprié décrivant exactement ce qui est sur le formulaire et pourquoi ils le signent.
Comme mentionné précédemment, les CDC doivent non seulement exécuter des contrats classifiés conformément aux exigences contractuelles, mais ils sont évalués sur la façon dont ils protègent les informations classifiées. Les outils mentionnés ci-dessus sont conçus pour aider les CDC à répondre aux exigences.
Leave a Reply