Sürekli gelişen veri güvenliği ortamı, özellikle Kontrollü Sınıflandırılmamış Bilgiyi (CUI) işleyenler için sürekli dikkatli olmayı gerektirir. USAF Siber Aylık toplantısında Siber Güvenlik KOBİ ve Güvenlik Mühendisi Greg Cooper tarafından yapılan sunum, veri şifrelemeyle ilgili yaygın yanlış anlamalara ve özel veri sınıflandırmanız için doğru sertifikaları almanın kritik rolüne ışık tuttu.
Şifrelemenin çok önemli bir güvenlik önlemi olduğu geniş çapta anlaşılsa da, birçok yanlış anlama vardır. Yalnızca aktarılan verileri şifrelemeye odaklanmanın yeterli koruma sağladığı yaygın bir yanılgıdır. Gerçek çok daha incelikli. Örneğin teknik veriler aynı zamanda sağlam şifreleme stratejileri gerektiren CUI olarak da nitelendirilebilir.
Belki de en kritik sonuç FIPS 140-3 uyumluluğunun sınırlamalarıyla ilgilidir. Bu standart, şifreleme modülleri için bir temel sunarken, CUI korumasını garanti etmez. CUI şifrelemesi için çözümlerin, Ulusal Bilgi Güvencesi Ortaklığı (NIAP) tarafından belirlenen sıkı güvenlik standartlarını karşıladıklarından emin olmak için NIAP-CC sertifikasına sahip olması gerekir.
NIAP, CUI ve Sınıflandırılmış (CSfC) verilerle kullanım için siber güvenlik ürünlerinin değerlendirilmesinde merkezi bir rol oynar. Ulusal Güvenlik Ajansı (NSA) tarafından denetlenen NIAP, FIPS uyumlu modülleri yerleşik Koruma Profillerine göre doğrular. Bu titiz değerlendirme süreci genellikle 90-180 gün sürer.
Ulusal Güvenlik Sistemleri (NSS) olarak sınıflandırılan veriler için kriptografik gereksinimler, Ticari Ulusal Güvenlik Algoritmaları (CNSA) tarafından belirlenir. En önemlisi, CNSA 2.0, bu güncellenmiş standartlara geçiş için son tarihin 2025 olduğu yeni algoritmalar sunuyor.
Doğru Şifrelemeyi Seçmenin Önemi
Savunma Sözleşme Yönetimi Ajansı’na (DCMA) göre, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayını (SP) 800-171 güvenlik gerekliliklerinin karşılanamaması, Savunma Bakanlığı için son üç yıldaki denetimlerde bir numaralı bulgu oldu. Savunma (DoD) müteahhitleri [1]. Bu, Kontrollü Sınıflandırılmamış Bilgilerin (CUI) ve Gizli verilerin güvenliğinde uygun şifrelemenin oynadığı kritik rolü vurgulamaktadır.
Görüntü Veri Kaynağı: Savunma Sözleşme Yönetim Ajansı (DCMA) – Savunma Sanayi Üssü Siber Güvenlik Değerlendirme Merkezi (DIBCAC) Powerpoint
Doğru şifreleme çözümünün elde edilmesi, verilerinizin sınıflandırılmasının anlaşılmasına bağlıdır. Aşağıda CUI ve Gizli veriler için şifreleme gereksinimlerinin bir dökümü verilmiştir:
Kontrollü Sınıflandırılmamış Bilgiler (CUI):
AFMAN 17-1301, paragraf 4.7 tarafından zorunlu kılınan şifreleme [2].
Siber güvenlik ürünleri NIAP-CC sertifikası gerektirir.
Kullanımda Olmayan Gizli Veriler (DAR):
NSA onaylı kriptografik ve anahtar yönetim sistemlerini kullanmalı [2].
Onaylanan iki seçenek:
Devletin Kullanıma Hazır (GOTS)/Tip 1 donanımı
Sınıflandırılmış Ticari Çözümler (CSfC)
NIAP ve CSfC Arasındaki Farkları Anlamak
CSfC stratejisi aracılığıyla sektördeki yeniliklerden yararlanmak verimlilik avantajları sunarken, CSfC ile NIAP sertifikalı ürünler arasındaki temel farkları anlamak önemlidir. CSfC çözümleri, yeterli koruma için iki bağımsız şifreleme katmanı gerektirir; bu, NIAP sertifikalı ürünler tarafından kullanılan tek katmanlı yaklaşımdan önemli ölçüde farklıdır.
Yetkilendirme Görevlilerinin (AO’lar) Rolü ve NSA Onayına Giden Yol
Yetkilendirme Görevlileri (AO’lar), Yetenek Paketinde (CP) belirtilen tüm güvenlik gereksinimlerinin doğru şekilde uygulanmasının sağlanmasında hayati bir rol oynar. Buna uyumluluk matrislerinin incelenmesi ve Kayıt Formu’nun imzalanması da dahildir.
Sunum, hem CUI hem de CSfC çözümleri için NSA onayı alma sürecine ilişkin ayrıntılı bir genel bakışla sona erdi. Kuruluşlar, veri sınıflandırmasının inceliklerini ve uygun şifreleme çözümlerini anlayarak, hassas bilgilerinin gizliliğini ve bütünlüğünü sağlayabilirler.
Unutmayın: Şifreleme güçlü bir araçtır ancak etkinliği, spesifik veri sınıflandırmanız için doğru çözümün seçilmesine bağlıdır. Yaygın yanlış anlamalara aldanmayın; değerli bilgilerinizi korumak için doğru sertifikalara sahip olduğunuzdan emin olun.
Sözlük
CNSA: Ticari Ulusal Güvenlik Algoritmaları
CNSS: Ulusal Güvenlik Sistemleri Komitesi
CNSSI: CNSS Talimatı
CNSSP: CNSS Politikası
COTS: Ticari Kullanıma Hazır
CSfC: Sınıflandırılmış Ticari Çözümler
DAR: Kullanımda Olmayan Veriler
CP: Yetenek Paketi
DCMA: Savunma Sözleşme Yönetim Ajansı
Savunma Bakanlığı: Savunma Bakanlığı
GOTS: Hazır Devlet
IA: Bilgi Güvencesi
NIST: Ulusal Standartlar ve Teknoloji Enstitüsü
NIAP: Ulusal Bilgi Güvencesi Ortaklığı
NIAP-CC: Ulusal Bilgi Güvencesi Ortaklığı / Ortak Kriterler
NSA: Ulusal Güvenlik Ajansı
Yazar Hakkında
Ben Warner, CRU Veri Güvenliği Grubu | Ben Warner, kariyeri boyunca ABD ordusuyla çalışarak siber güvenlik uzmanlığını geliştirdi. Wright-Patterson Hava Kuvvetleri Üssü’ndeki Uygulamalı Araştırma Çözümleri ile ülkenin en hassas ve gizli bilgilerinden bazılarını barındıran ağların güvenliği ve korunmasını içeren projeler üzerinde çalıştı. Aynı zamanda önde gelen siber savunma yüklenicilerinden Booz Allen ve GE Aviation ile de çalışmıştır ve ABD Hava Kuvvetleri’nde kıdemli bir kişidir. Ben’e linkedin.com/in/davidbenwarner/ adresinden çevrimiçi olarak ulaşılabilir.