中央情报局局长1/16号指令1
统一保护的安全政策
(1988年7月19日生效)
情报耗时
自动化信息系统
和网络(U)1本指示将取代DCID 1/16,自1983年1月4日起生效。(U)
按照法定权限和职责分配给中央情报局局长的情报来源和方法保护国家安全法案的102节1947人,行政命令12333年和12356年,145年国家安全决策指令,政策和程序是用此方法建立的安全机密情报处理,沟通,或者存储在自动信息系统(中特别有指导性和网络。(U)
本指令适用于所有利用AISs和网络来处理、存储和传输已根据行政命令12356(或后续命令)归类的美国外国情报和反情报信息(以下简称情报)的美国政府组织、其商业承包商和盟国政府。2(U)
2“外国情报”和“反间谍”具有第12333号行政命令(或后续命令)赋予的含义。“智能”包括敏感分割信息,特殊的访问计划的情报,和其他情报涉及敏感的来源或方法(有时被称为抵押情报)或应该标记WNINTEL:智能识别或会合理允许识别来源或方法容易对策可以取消或减少其有效性。(U)
1.总的政策指导(U)一个。政策目标。The purpose of this directive is to establish long-term (year 2000) goals and near-term (year 1992) requirements intended to improve the security of U.S. intelligence processed in AISs, and networks with respect to its possible compromise (1) due to penetration by hostile intelligence services, (2) by otherwise legitimate users who gain access to data or processes for which they are not authorized, or (3) as a result of inadequate security design, implementation, or operation. The directive also assigns policy execution roles and responsibilities, and establishes a procedural framework within which they are to be implemented. Specific guidance is provided in the Security Manual for Uniform Protection of Intelligence Processed in Automated Information Systems and Networks (Security Manual), a supplement to this directive. Additional security measures may be established by the accrediting authority if deemed appropriate. Such measures should also be in accordance with other DCIDs listed in references 9 to 13 in Annex A of the Security Manual. The provisions contained in the Security Manual have the same force as this directive. (U)
2.系统工作模式(U)b。信任系统。描述信任技术水平的标准(即AISs处理情报所满足的是国防部出版物5200.28-STD中规定的国防部可信计算机系统评估标准,1985年12月。3.这些标准对于受信任系统建立代表的AIS公司,以保护敏感信息的能力的相对度量信任度。一定程度的信任并不仅仅在保护机制在AIS的存在基础。相反,它是基于使用的工程学科正常结构AIS和执行分析,以确保AIS提供信任的适当水平的系统。因此,信任的适当水平的可信系统可以通过实施(1)正确使用和执行关于国家计算机安全中心的评估的产品列表(EPL)提供的产品;(2)设计和实施一个新的AIS满足指定信任程度,或(3)两者的组合。在任何情况下,所得到的系统应在其操作环境进行评估,以确保所有的适当的标准被满足。当合适的产品都可以在英超,他们应尽快可行纳入新的系统和到现有系统的升级。我们的目标是为所有情报机构AISS成为在2000年并入值得信赖的产品值得信赖的系统(U)
3.国防部对本标准的修改应由DCI在纳入本指令之前进行审查。(U)
c。(两行删除)(1)[4行删除]
d。(约。10行删除)(2)(约。7行删除]
(3)(约。两行删除)
(约。20行删除]
一个网络的操作方式是由它必须可靠地分离情报通过AISs或其他附加网络传输的程度决定的。这是由情报的分类和类型决定的,网络在传输过程中必须保持独立。(U)
3.评审当局和责任(U)
一个。定义。认证是官方管理授权以操作AIS或网络:在一个特定的安全模式(1);(2)与一组规定的行政,环境和技术的安全保障措施;(3)针对限定的威胁,并与所述漏洞和对策;(4)在给定的操作环境;(5)根据所陈述的运行概念;(6)与所述互连其它AISS或网络;在的量,评审当局正式承担责任可接受的风险水平(7)。针对派驻机关正式接受了AIS或网络的运行安全的责任,并正式宣布指定的AIS或网络将反对妥协,破坏,或者通过连续的就业保障措施,包括行政,程序,物理,人员擅自涂改充分保护情报, communications security, emanations security, and computer-based (e.g., hardware, firmware, software) controls. The accreditation statement affixes security responsibility with the accrediting authority and shows that due care has been taken for security in accordance with references 9-13 in Annex A of the Security Manual. (U)
4.排除(U)湾(约。10行删除)
4NFIB成员这个指令下主要评审权威是:DCI,DDCI,DIRNSA,d / DIA,d / INR / DOS,AD / FBI(INTELL DIV),DASI / DOE,SAS /财政部。该DCI也是中情局的头。(U)
c. NFIB成员应在其代理机构内建立和维护正式的自动化信息系统和网络安全程序,并要求获得授权的代理机构和组件运行类似程序。国防情报局局长将负责DODIIS/SCINET/DSNET-3的认证工作。国家安全局局长负责社区在线情报系统(硬币)的认证工作。(U)d。凡AIS或网络基本涉及多个主要评审机构,一个由中央情报总监指定经双方协议,评审机构,或必要时。一个AIS或网络处理情报工作由一个组织,不是国家外国情报计划的一部分,应由其赞助商,最合适的主要评审机构(或适当授权指派者)共同认可。For example, the Worldwide Military Command and Control System (WWMCCS) AISs require joint accreditation if they process intelligence contained within the scope of this directive (i.e., intelligence that identifies or would reasonably permit identification of a source or method susceptible to countermeasures that could nullify or reduce its effectiveness). (U)
即主要评审机构应当为维护在第八安全手册的规定章关于AISS他们的职权范围,以及问题报告和通知中的认可资格和网络的完整记录提供。ReportsReports(U)
F。(约。6行删除)
5该DCI可以授权多和认可进一步授权在申请时特定的情况下分割模式的系统。(U)
g.情报系统人员应代表中央情报局局长处理与本指令的管理有关的事宜。(U)6同前。
一个。美国国家电信系统(例如,AUTODIN,DDN,DTS),包括与之相关的技术控制中心,这是根据国家电信政策认可的,不属于本指令的范围之内。(U)
补充:湾(约。7行删除]
c。没有这些条款或在安全手册取代需求在1954年原子能法修订的(第二部分,公法585),控制,使用,和传播限制数据或以前限制数据,或要求对通信安全(COMSEC) -相关材料建立了根据现有法规或继任者,指令或总统的政策。(U)
安全手册统一的保护
情报耗时自动化
资讯系统及网络
资料来源:由Jeffrey T. Richelson提供的中央情报局硬拷贝
原始分类:秘密REL UK/CAN/AUS
批准放行:2001年1月
MORI文件身份证号:504374
转录和HTML通过FAS