Spravovaná důvěryhodná služba internetového protokolu - Managed Trusted Internet Protocol Service - Wikipedia

Spravovaná důvěryhodná služba internetového protokolu (MTIPS) byl vyvinut americkou General Services Administration (GSA), aby umožnil americkým federálním agenturám fyzicky a logicky se připojit k veřejnému internetu a dalším externím připojením v souladu s Úřadem pro správu a rozpočet (OMB) Důvěryhodné připojení k internetu (TIC) iniciativa.[1]

MTIPS sníží počet připojení, jak bylo původně stanoveno v mandátu TIC, ale nezredukuje body připojení na původně citovaný stupeň. Místo toho se pozornost přesunula na zabezpečení stávajícího připojení pomocí architektury MTIPS.[2]

Spravované služby

The Networx Program usnadňuje přechod na poskytovatele dopravy MTIPS pro zúčastněné agentury. Verizon, AT&T a Qwest (nyní CenturyLink ) jsou dopravci, kteří se budou účastnit služeb MTIPS.

Architektura

Soulad s normami

„MTIPS musí splňovat následující normy, pokud jsou použitelné, a pokud jsou komerčně dostupné. Po zadání zakázky může dodavatel navrhnout vládě bez dalších nákladů alternativy, které splňují nebo překračují ustanovení uvedených norem.“ [3]

  • Použitelný Pracovní skupina pro internetové inženýrství (IETF) RFC.
  • T1.276-2003 Americký národní standard pro telekomunikace - provoz, správa, údržba a zajišťování bezpečnostních požadavků pro veřejnou telekomunikační síť: Základní bezpečnostní požadavky pro rovinu řízení.[4]
  • IP / MPLS Fórum.
  • IEEE
  • Fórum Metro Ethernet (MEF).
  • The Standard zabezpečení dat PCI (PCI DSS).
  • Všechny nové verze, dodatky a úpravy výše uvedených dokumentů a standardů, pokud jsou nabízeny komerčně.
  • Poskytovatelé MTIPS musí dodržovat současné a budoucí předpisy, zásady, požadavky, standardy a pokyny pro technologii federální vlády USA a kybernetickou bezpečnost, včetně těch, které jsou uvedeny níže. Dodavatelé musí dodržovat nové verze dokumentu, dodatky a úpravy. Mezi nejpozoruhodnější patří minimální očekávání pro MTIPS specifikované bezpečnostní služby uvedené v této SOW. Po zadání zakázky může dodavatel vládě navrhnout alternativy bez dalších nákladů, které splňují nebo překračují ustanovení.
  • Zákon o elektronické správě z roku 2002, Hlava III (Federální zákon o řízení bezpečnosti informací (FISMA)).
  • NIST Publikace Federal Information Processing Standards Publication (FIPS) NIST FIPS PUB 140-2 - Bezpečnostní požadavky na kryptografické moduly.[5]
  • NIST FIPS PUB 199 - Standardy pro kategorizaci zabezpečení federálních informačních a informačních systémů.[6]
  • Tým připravenosti na počítačovou pohotovost USA (US CERT) požadavky na podávání zpráv. (http://www.us-cert.gov/federal/reportingRequirements.html )
  • The Zákon o přenositelnosti a odpovědnosti v oblasti zdravotního pojištění z roku 1996 (HIPAA) Standardy pro bezpečnost elektronických zdravotních informací.
  • The Zákon o Sarbanes-Oxley z roku 2002.
  • The Zákon o modernizaci finančních služeb společnosti Gramm-Leach-Bliley, Pub. L. č. 106-102, 113 Stat. 1338, 12. listopadu 1999 (GLBA).
  • The Standard zabezpečení dat PCI (PCI DSS).
  • (redigováno v odkazu)
  • Standardy obsažené ve smlouvě Networx, část C.2.4.3.1.2, Collocated Hosting Service (CHS).
  • Standardy obsažené ve smlouvě Networx, sekce C.2.7.3.1.2, Síťová služba virtuální privátní sítě IP (NBIP-VPNS).
  • Standardy obsažené ve smlouvě Networx, část C.2.10.1.1.2, Managed Firewall Service (MFS).
  • Standardy obsažené ve smlouvě Networx, sekce C.2.10.2.1.2, Služba detekce a prevence narušení (IDPS).
  • Standardy obsažené ve smlouvě Networx, část C.2.10.4.1.2, Služba antivirové správy (AVMS).
  • Ministerstvo vnitřní bezpečnosti Směrnice o managementu číslo 11042, DHS MD11042, 2005. (https://fas.org/sgp/othergov/dhs-sbu.html )[7]
  • Elektronický kodex federálního nařízení, hlava 49, ČÁST 1520 - Ochrana citlivých bezpečnostních informací
  • IETF RFC 1757 - Informační základna pro správu vzdáleného monitorování sítě.
  • Sada dokumentů NIST pro provádění C&A.
    • SP 800-18 Rev 1 - Průvodce vývojem bezpečnostních plánů pro Federal Information Systems.
    • SP 800-30 - Průvodce řízením rizik pro systémy informačních technologií.
    • SP 800-34 - Příručka pro nouzové plánování pro systémy informačních technologií.
    • SP 800-37 - Příručka pro bezpečnostní certifikaci a akreditaci federálních informačních systémů.
    • SP 800-53 Rev 2 - Doporučené bezpečnostní kontroly pro Federal Information Systems.
    • Příloha 3 SP 800-53 Rev 2 - základní linie s vysokým dopadem.
    • SP 800-53 A - Průvodce hodnocením bezpečnostních kontrol ve federálních informačních systémech.
    • SP 800-59 - Směrnice pro identifikaci informačního systému jako národního bezpečnostního systému.
    • SP 800-60 - Průvodce mapováním typů informačních a informačních systémů na kategorie zabezpečení.
    • SP 800-64 Rev 1 - Bezpečnostní aspekty v životním cyklu vývoje informačního systému.
    • SP 800-84 - Průvodce testovacími, výcvikovými a cvičebními programy pro plány a schopnosti IT.
  • Označení a sdílení kontrolovaných neutajovaných informací (CUI), http://www.whitehouse.gov/news/releases/2008/05/20080509-6.html * Všechny komerčně dostupné standardy pro všechny příslušné základní přístupové a dopravní služby.
  • OMB Memo M-05-22 - Plánování přechodu pro internetový protokol verze 6 (IPv6).

Reference

  1. ^ MTIPS: Změna krajiny Jeff Erlichman, vládní počítačové zprávy
  2. ^ Přepracován plán zabezpečení internetu v USA Carolyn Duffy Marsan, Network World
  3. ^ Prohlášení o práci se spravovanou sítí Trusted Internet Protocol Service (MTIPS) (redigováno) Archivováno 2009-05-09 na Wayback Machine (PDF) Networx MTIPS SOW, gsa.gov (ref: únor 2010)
  4. ^ Provoz, správa, údržba a zajišťování (OAM & P) Bezpečnostní požadavky na veřejnou telekomunikační síť: Základní úroveň bezpečnostních požadavků pro rovinu správy (PDF) NSTAC, (ref. Únor 2010)
  5. ^ [1] (PDF) NIST FIPS PUB 140-2
  6. ^ [2] (PDF) PUB 199
  7. ^ [3] (PDF) DHS MD11042.1, nahrazuje citované DHS MD11042