Peter Saderholm,安全政策委员会主任
副主任,安全政策董事会副主任丹雅各逊
Terry Thompson,安全政策委员会工作人员
Vicki LaBarre,安全政策委员会的参谋
私营部门的许多成员参加了会议。总共有23人出席。
一般韦尔奇讨论了总统决定指令29(PDD-29),因为它阐明了SPAB的作用。他介绍了spab的目标,即:
拉马雷女士然后为为什么SPB没有形成信息保证/安全委员会的背景。虽然一个复杂的问题,SPB和SPB工作人员的潜在原因在这个竞技场中未能向前迈进,但是通过国家安全顾问与SPB向总统的报告关系有关。。居住在CIA和DOD境内的主席和联合椅也存在一些不适。
代表六个谅解备忘录的行业协会的兰德公司特别安全主管Cindy Conlon女士表示,行业对尚未存在NISPOM第8章感到失望。Conlon女士表示,谅解备忘录认为,IAD的政策部分可以与基于性能的章节的行业草案相结合,创建一个新的NISPOM第8章——只要它不增加安全成本或安全要求。她鼓励SPB建立一个有基准的正式时间表,以便所有人,特别是行业,有一个目标完成日期。康伦女士表示,SPB应该在取代第8章方面发挥带头作用,其他地方正在进行的所有类似努力都应该被取消。她强调,咨询小组愿意在内部审计司的发展过程中发挥积极作用。(参见康伦女士事先准备好的评论。)
韦尔奇将军要求对康伦女士关于行业支持IAD,节省额外成本或要求的评论做一些澄清。他问业界是否认为现有的信息安全系统是足够的。康伦的回答是否定的,并要求里奇·格劳表达他们的担忧。
林康研究公司安全主管格劳先生解释了业界对现行版《NISPOM》第8章的担忧。他将其描述为死板且无法允许技术扩张。格劳承认,业界对信息系统安全并不是无所不知的,但目前的第8章太死板了,以至于他们甚至无法探索潜在的解决方案。IAD的起草者需要从中吸取教训,不要再犯同样的错误。此外,业界担心的是不可预见的安全成本,这不是基于威胁,因此没有实际价值。灵活性是满足大型和小型组织需求的关键因素。业界更喜欢IAD只处理机密信息,而没有附件。格劳得出的结论是,数据的可用性和完整性是业界非常关注的问题,而这两者都可能受到新安全层的不利影响。在没有明确界定和明确的威胁的情况下,不应实施这一额外的安全层。“给我们一个威胁,我们就保护它,”这是格劳先生的核心立场。
一般韦尔奇询问了SPB工作人员Peter Saderholm先生,如果是为了解决这些问题的过程。萨德霍尔姆先生建议IAD正在与行业和政府开放的开放起草。但是,他的受过教育意见,政府内部的人员在政府内部的要求可能没有充分的“脑”,以在灵活的准则内运作。格劳先生回应了这种情绪和解释了所需要的是解决争议的仲裁委员会。行业将欢迎一名政府实体由知识渊博的人员人员,这些问题可以提供所需指导和信息安全事项的专业知识。金博宝正规网址
韦尔奇将军要求格劳先生进一步说明他的说法,即目前的NISPOM不便于使用。格劳先生回应说,目前的NISPOM是一个相当好的开始,但它需要修复,我们(行业和政府)应该继续努力。
海军上将托马斯布鲁克斯致力于在创造新的第8章时努力进行了多少努力。Saderholm先生描述了二:佛罗里达州墨尔本的努力,与哈里斯公司一起进行,国家侦察办公室(NRO)继续努力朝着“清新”的灰烬300.海军上将布鲁克斯表明它没有多大有意义的努力。他要求行业代表如果目前的IAD草案愿意,在他们看来,为行业创造额外的负担和成本。格劳先生回应了某些领域不,为了保护秘密,答案是肯定的。海军上将布鲁克斯询问行业是否认为它在IAD的发展中具有足够的声音。格劳先生回答说,该行业只有一个涉及该过程的34个声音中的一个声音。他还表达了政府代表并不总是掌握成本问题的信念。
Welch将军要求SPB工作人员向SPB提供一份关于正在进行的多项工作的论文,以解决第8章中需要发生的建议。
Gianelli随后讨论了与拟议的财务披露要求相关的法律问题。金博宝正规网址他表示,加州宪法和联邦要求之间可能存在冲突。他总结说,行业反对使用财务披露表格。根据他的判断,在这个问题上应用成本收益分析,会显示出更大的损失,而不是收益。他说,鉴于政府有权审查个人财务记录,这一点尤其没有意义。
一般韦尔奇询问Gianelli先生是否相信Hughes的任何人都占据了足够敏感的职位,以保证完成金融披露表格。Gianelli先生答复了这种要求的候选人,具体取决于背景的整体。如果他反对任何级别的财务披露,那么威尔奇将会询问Gianelli先生。他说他并不是单方面反对一切形式的财务披露,但相信目前的提案推动了个人隐私的限制。
Conlon女士在SPB过程中建立了所有变化,并在SPB过程中进行了相信。根据Conlon女士的说法,行业不希望看到在流程之外工作的组织。
一般韦尔奇观察到互惠的重要目标可能在短期内成本,但长期以来会省钱。
海军上将布鲁克询问了SAP世界的需求的扩散。萨达霍尔姆先生回应了,只有现在我们有一种感觉,SAP多群体有多么导致规则和法规的扩散。萨达霍尔姆先生表示,萨普社区在秘密和最重要的秘密抵押层面上没有信任清水和其他形式的安全。一旦建立了互通接受的基线,那么SAP程序只需要应用独特的要求。SPB工作人员与OSD(政策)人员保持了良好的对话。它是符合OSD政策和服务以有效的方式管理这些计划的服务。然而,SAP世界争辩,他们受到阻碍,因为它们没有提供可接受的可接受的基线。尽管有这种障碍,他们正在努力提高各种包装中的均匀性。
在描述到目前为止取得的重大进展时,萨德霍尔姆解释说,“责任”一词已经消失。但是,虽然对文件进行核算已不再是一种例行工具,但当物质、人员和技术安全控制不足时,可以采用补充的行政控制。妮娜·斯图尔特询问,问责制是否仍是检查中的一个因素。Saderholm先生回答说,将继续使用收据,但不再要求承包商找到个别文件,即使是为了检查。斯图尔特接着问,SAP世界是否也是如此。Saderholm先生对SCI世界做出了肯定的回应,但承认该问题仍在国防部SAP世界中发展。但是,他重申,在这两个领域,趋势都是远离文件控制。
Saderholm先生进一步解释说,新的保障指令将具有开放存储建设的标准以及深度安全性。豁免需求可以由程序管理员发出通知ISO。一般韦尔奇然后询问计划经理是否有权放弃互惠使用SCIFS。萨德霍尔姆先生回答说,如果经理放弃对一个SCIF的要求,答案是肯定的;如果为一组SCIFS,则答案是否定的。
一般韦尔奇表示担心含有私人SCIF的建筑物的要求。海军上将布鲁克斯观察到众多私人SCIF仍然存在,但他认为情况正在改善。这种情绪被行业代表出席的业界代表融为一体。一般韦尔奇对COFS联合使用的实际改善表示了一些怀疑论。海军上将布鲁克斯观察到建立一个值得信赖的基线对于这个领域的改善希望至关重要。
斯图尔特女士询问了将FGI(外国政府信息)关切纳入该指令的情况,并询问了我们如何解决这些关切。Saderholm先生回答说,美国的标准将是所有新条约谈判的起点,而旧条约将在此之前设定标准。斯图尔特注意到,外国政府还有其他担忧,并询问这些担忧如何得到解决。萨德霍尔姆回答说,他不确定具体细节,但这些担忧目前正在通过程序得到解决。
锁定容器的问题有大量的讨论。斯图尔特女士询问为什么成立了2012年10月1日的日落条款。Saderholm先生回应说,锁定保险柜不可靠,政府代表希望他们淘汰出局。斯图尔特女士随后询问是否成本已经考虑到这一决定。Saderholm先生回应说,在没有真正的威胁信息的情况下,任何成本数据都是不可靠的。一般韦尔奇询问为什么国防部日落条款是2002年副副士组2012年。萨默霍尔姆先生表示国防部一直在五年的时间工作,比社区长五年。海军上将布鲁克斯质疑是否建议了两个标准。一般韦尔奇同意并观察到国防部需要与社会合作。必须和解2002年或2012年的日落条款的这个问题,并且SPAB的意愿是2012年是更好的选择。
康伦女士注意到,没有完成关于消除锁杆保险柜的成本效益分析。她称这项新要求是“荒谬的”,因为它不是基于威胁。她建议,安全官员在试图向上层管理人员解释一个带锁的集装箱不能用另一个带锁的集装箱替换时,显得过于可信,尤其是在一个带锁的集装箱需要200美元,而一个新保险箱需要3000美元的情况下。SPAB随后询问了观众,目前工业上使用的锁杆容器的数量,结果相当高。一位公司代表表示,他的公司仍有6000个带锁的集装箱。韦尔奇将军接着问谁负责这一要求。萨德霍尔姆回应说,国会和政府安全官员已经提出了这一要求。
Thompson先生然后讨论了相对于财务披露表格的缺点。侵入性是最常见的反对意见,最重要的是,它明显地认为,完成这种表格侵犯隐私。绝对没有保证金融披露计划将工作和捕捉间谍。没有先例可以研究,因此,成功的预测仅推断。金融披露表格不是谎言探测器;文件管理器只能伪造或省略数据,从而击败披露目的。富裕,无论是通过间谍还是其他不端行为所获得的,都可以隐藏)保险箱是隐藏方法的一个例子。财务披露计划将是非常昂贵的,并且必须仔细保护所收集的信息,潜力总是存在滥用。最后,财务披露的完成和收集表明是一个乏味的过程。
汤普森先生随后讨论了支持一种形式的论点。财务披露表可以为调查人员提供一个起点,很像现在的人事历史声明。因为调查人员将获得更多的信息,假阳性调查实际上可能会减少。例如,如果一个申报者继承了一大笔财产,他的声明可能会节省大量的调查工作,否则就有必要核实新发现的财富的来源。这可能会减少手术的侵入性。填写表格可能对潜在的违法者起到某种威慑作用。虽然现金确实可以被隐藏,但大多数间谍使用间谍活动的收益和购买资产是可以追踪的,这也是事实。最后,如果案件进入法庭,案卷人的陈述可以作为证据审判的开始。
康伦女士询问了谁将为这个项目买单,以及政府内部是否有足够的资源来分析收集到的表格。汤普森先生回答说,它将要求对调查人员和审裁人员进行再培训,以适当地管理这些信息。除此之外,美国政府必须为此买单。
布鲁克斯将军询问了中情局现行表格的使用情况。CMS的卡尔·达比(Carl Darby)表示,CIA的表格在重新调查过程中被选择性地使用。
布鲁克斯上将随后将这一要求描述为“一种愚蠢的官僚反应”。他进一步表示,政府似乎对整个问题没有明确的了解。他允许资产和账目的价值每天都在变化。他敦促,财务披露计划应成为整个过程的一部分,而不仅仅是表格的组成部分。萨德霍尔姆回应说,形式并不是唯一的重点;相反,我们一直从整体的角度看待这个问题。韦尔奇将军指出,货币价值并不是总统或国会所要求的。是司法部副部长支持这些价值观,而这些价值观在艾姆斯案中没有任何帮助。海军上将布鲁克斯还表示,财务披露要求将会让大量拥有独立财富的诚实人士感到不安,尤其是工业界的资深人士。他还指出,大量的误报似乎不可避免。 Mr. Saderholm interjected that there is little support in the security community for a form; Congress and the White House have mandated it. General Welch countered with the impression that the SPB Staff is proceeding "pelf mell" to develop a form. Mr. Saderholm responded that that is simply not the case. He opined that the CIA form leads many to conclude that a form and a program are already in place for the whole community. Instead, the SPB Staff is exploring all possibilities and the favored option is the expansion and enhancement of the financial aspects of the background investigation.
康伦女士代表工业界发言,她认为没有人支持这一要求,她质疑为什么没有就这个问题与国会进行对话。Saderholm先生表示,没有任何一方愿意这样做。布鲁克斯上将接着询问,是否有办法更仔细地划分这个问题,即目标是什么和实现目标的行动手段是什么。他接着认为,政府只需要确定通过清算的个人的财务生活方式,并将该数据纳入裁决。一般韦尔奇表示同意。然后他观察到,许多人都知道艾姆斯拥有无法解释的财富,但他们只是不知道如何利用这些财富。Saderholm先生提醒他们,政府的调查资源已经大幅减少。
格劳先生表示,财务披露将造成招聘问题,并且需要对整体局面进行招聘问题。达比先生提出了安全专业人士的可信度也在问题上。在改善安全官员的情况下,取得了进展,但是,金融披露进程持有现在改善图像的污染前景。
韦尔奇将军对个别机构在选择和使用监督机制方面的灵活性表示保留意见。SPAB倾向于IG风格的监督或完全外部的机制。Saderholm先生将确保这种情绪在政策制定过程中得以延续。
该委员会还对承包商的生活方式测谎仪持保留意见,特别是因为该要求涉及CIA和NSA的承包商具有类似工作人员的访问权限。测谎工作小组表示,应该扩大这类人的覆盖范围。委员会对“类似工作人员的访问”的定义有疑问。难道只有那些真正能接触到机密信息和计算机系统的人才被授予像工作人员一样的权限吗?委员会希望这一词有明确的定义。海军上将布鲁克斯说,许多在情报机构工作的承包商几乎无法接触到机密信息,但他们仍被要求接受生活方式测谎。他说这是“对政府资源的荒谬利用”。他进一步建议,许多员工已经为考试等待了一年。委员会希望对“类似工作人员的通道”有更明确的定义,并认为定义不应仅仅是进入建筑物。几位行业代表表示,CIA仍然需要一个扩大范围的测谎仪,仅仅是为了进入大楼。
康恩女士还观察到,在任何时候都没有参与审议传染性问题。她观察到行业因要求受到影响,因此需要一种解决申诉的机制。萨德霍尔姆先生表示,人员安全委员会的行业代表可以表达他们的意见。他还建议,下次调度,为政策一体化委员会举办了策略整合委员会,该委员会也金博宝正规网址有行业代表性。
布鲁克斯上将要求记录显示他支持某种上诉机制。
一般韦尔奇观察到多指是一种调查工具,因此,培训人们如何服用多指来看,这将是不明智的。
一个行业代表询问国防部进行的多音图数量是否正在增加。响应是消极的。
斯图尔特女士询问每年向ISOO提交的投诉数量。格劳先生建议ISOO主任史蒂夫·加芬克尔先生建议所有投诉首先通过母公司机构。康伦女士注意到投诉最终会通过NISPPAC。然而,许多部门喜欢自己执行,这削弱了NISPOM的有效性。康伦女士再次强调,由于资源有限,执行ISOO在这方面的任务十分困难。她举例说,ISOO最近对空军进行了视察,其中ISOO带着三个人对空军进行了为期两天的视察。根据康伦女士的说法,ISOO的资源限制要求这种简短的努力,并导致最低的生产力。
Stewart女士向SPB员工收取SPB员工,以确定已提交的投诉数量。General Welch指示工作人员提供关于ISOO的历史和使命的论文,因为它与NISPOM相关。