Memorandum Keamanan Nasional / NSM-8

Nota Kesepahaman untuk Wakil Presiden
Sekretaris Negara
Menteri Keuangan
menteri pertahanan
Jaksa Agung
menteri perdagangan
Sekretaris Energi
Sekretaris Keamanan Dalam Negeri
Direktur Biro Anggaran Administrasi
Direktur Intelijen Negara
Direktur Badan Intelijen Pusat
Asisten Presiden untuk Masalah Keamanan Nasional
Penasihat Presiden
Asisten Presiden dan Penasihat Keamanan Nasional dan Penasihat Keamanan Nasional
Direktur Cyber ​​Nasional
Direktur Badan Keamanan Nasional
Direktur Biro Investigasi Federal
Direktur Cyber ​​​​Security and Infrastructure Security Agency
Kepala Petugas Informasi Komunitas Intelijen

Perihal: Meningkatkan Keamanan Siber dalam Keamanan Nasional, Departemen Pertahanan, dan Sistem Komunitas Intelijen

Memorandum ini mengatur persyaratan Sistem Keamanan Nasional (NSS) yang sama dengan atau melebihi persyaratan keamanan siber sistem informasi federal sebagaimana diatur dalam Keputusan Presiden 14028 (Peningkatan Keamanan Siber Nasional) tanggal 12 Mei 2021. Dan situasi yang diperlukan oleh Anda sendiri kebutuhan misi. Keputusan Presiden 14028 mengharuskan pemerintah federal untuk meningkatkan upayanya untuk mengidentifikasi, menghalangi, melindungi, mendeteksi, dan menanggapi kampanye siber berbahaya dan penyerangnya melalui perubahan berani pada keamanan siber dan investasi yang signifikan. Memorandum ini didasarkan pada Kebijakan Nasional Keamanan Nasional Keamanan Sistem Komunikasi dan Informasi (NSD-42) pada tanggal 5 Juli 1990, dan Perintah Eksekutif 12333 (Intelijen AS) pada tanggal 4 Desember 1981. Aktivitas), dan Perintah Eksekutif 14028.

Konsisten dengan Keputusan Presiden 14028, NSS mencakup sistem yang didefinisikan sebagai NSS dalam 44 USC 3552 (b) (6) dan 44 USC 3553 (e) (2) dan 3553 (e) (3).

Bagian 1. Pelaksanaan Perintah Presiden 14028 untuk Sistem Keamanan Nasional. (A) Bagian 1 dan 2 dari Keputusan Presiden 14028 berlaku sepenuhnya untuk NSS, kecuali bahwa kekuasaan yang dijalankan oleh Sekretaris Negara untuk Administrasi dan Anggaran dan Sekretaris Keamanan Dalam Negeri di Bagian 2 dilakukan oleh manajer negara. Tentang NS.

(B) Konsisten dengan Bagian 3 Keputusan Presiden 14028:

(I) Dalam waktu 90 hari sejak tanggal Memorandum ini, National Security Systems Commission (CNSS), selain CNSS Order (CNSSI) 1253, memberikan panduan tentang standar dan kontrol keamanan minimum yang terkait dengan migrasi dan operasi cloud. dibuat dan diterbitkan. Untuk NSS, pertimbangkan prosedur migrasi yang diuraikan dalam Standar dan Panduan oleh Institut Nasional Standar dan Teknologi (NIST) di dalam Departemen Perdagangan.

(Ii) Dalam waktu 60 hari sejak tanggal Memorandum ini, kepala setiap departemen eksekutif atau lembaga (lembaga) yang memiliki atau mengoperasikan NSS harus konsisten dengan otoritas hukumnya.

(A) Memperbarui rencana agensi yang ada untuk memprioritaskan sumber daya untuk mengadopsi dan menggunakan teknologi cloud, termasuk mengadopsi arsitektur tanpa kepercayaan sebagai hal yang layak.

(B) Buat rencana untuk mengimplementasikan arsitektur zero trust. Ini harus mencakup hal-hal berikut sesuai kebutuhan:

(1) Publikasi Khusus NIST 800-207 Panduan (Arsitektur Zero Trust);

(2) Instruksi CNSS mengenai Arsitektur Referensi Zero Trust.Kapan

(3) Arahan, arahan, dan kebijakan CNSS terkait lainnya terkait arsitektur perusahaan, ancaman internal, dan kontrol akses.Kapan

(C) Memberikan CNSS dan Manajer Nasional laporan yang membahas rencana yang diperlukan sesuai dengan Bagian 1 (b) (ii) (A) dan (B) dari Memorandum ini.

(iii) Dalam waktu 180 hari sejak tanggal Memorandum ini, Pemerintah akan menerapkan otentikasi dan enkripsi multi-faktor untuk data NSS saat istirahat dan data dalam perjalanan. Jika pimpinan lembaga menentukan bahwa lembaga tidak dapat melaksanakan langkah-langkah ini, pimpinan lembaga harus menyetujui pengecualian sesuai dengan proses yang ditetapkan dalam Bagian 3 Nota Kesepahaman ini.

(Iv) Untuk memastikan interoperabilitas kriptografi yang luas antara NSS, semua lembaga harus menggunakan protokol kriptografi berbasis standar publik yang disetujui NSA. Jika persyaratan khusus misi melarang penggunaan protokol kriptografi berbasis standar publik, Anda dapat menggunakan protokol khusus misi yang disetujui NSA. Instansi pemerintah tidak boleh menyetujui pengoperasian sistem baru yang tidak menggunakan algoritme dan implementasi kriptografi yang disetujui, kecuali ada pengecualian yang disetujui oleh kepala badan sesuai dengan Bagian 3 dari Nota Kesepahaman ini.

(A) Dalam waktu 30 hari sejak tanggal Memorandum ini, NSA akan meninjau Kebijakan CNSS 15 dan memberikan CNSS pembaruan atau amandemen terhadap daftar yang disetujui dari Algoritma Keamanan Nasional Komersial (CNSA).

(B) Dalam waktu 60 hari sejak tanggal Memorandum ini, NSA akan merevisi CNSS Advisory Memorandum 01-07 (Modernisasi Peralatan Kriptografi Jaminan Informasi) dan lampiran terkait serta materi terkait tentang rencana dan penggunaan modernisasi, hingga maksimum. Ini harus disediakan untuk petugas informasi. Enkripsi yang tidak didukung, protokol khusus misi yang disetujui, protokol tahan kuantum, dan rencana untuk menggunakan kriptografi tahan kuantum sesuai kebutuhan.

(C) Dalam waktu 90 hari sejak tanggal Memorandum ini, CNSS akan mengidentifikasi dan memprioritaskan pembaruan semua kebijakan, arahan, dan penerbitan terkait kripto, dan CNSS akan menjadi Menteri Pertahanan, Direktur Intelijen Nasional, dan Negara. Ini akan diberikan kepada Direktur Intelijen Nasional. Jika perlu, kelola garis waktu yang tidak melebihi 6 bulan untuk menerbitkan kembali kebijakan ini.

(D) Dalam waktu 180 hari sejak tanggal Memorandum ini, Kantor harus, jika sesuai sesuai dengan Bagian 1 (b) (iv) (A), suatu contoh dari algoritma resistensi kuantum yang disetujui NSA atau enkripsi yang tidak sesuai dengan CNSA. diidentifikasi. (B) Dalam memorandum ini, TOP SECRET // SI // NOFORN harus dilaporkan kepada Badan Keamanan Nasional pada tingkat klasifikasi yang tidak terlampaui.

(1) Sistem yang menggunakan enkripsi yang tidak sesuai. Ini termasuk sistem yang beroperasi di bawah pengecualian atau pengecualian yang ada.

(2) Garis waktu untuk memigrasi sistem ini agar menggunakan enkripsi yang sesuai dan termasuk enkripsi tahan kuantum.Kapan

(3) Pengecualian dari transisi ke enkripsi yang sesuai dengan Bagian 3 dari Memorandum ini. Ini akan ditinjau tambahan oleh Menteri Pertahanan dan dilaporkan setiap tiga bulan kepada Menteri Pertahanan dan Direktur Intelijen Nasional Pertahanan untuk sistem dalam yurisdiksi masing-masing. Manajer nasional dapat menyertakan lembaga terkait lainnya jika risiko bersama ditentukan bersama hanya setelah bekerja dengan dan terlibat dengan pemilik sistem.

(V) Dalam waktu 90 hari sejak tanggal memorandum ini, Direktur Intelijen Nasional, bekerja sama dengan Direktur Intelijen Nasional, Direktur Badan Intelijen Pusat, Direktur Biro Investigasi Federal, dan Direktur Badan Intelijen Negara. Elemen yang Sesuai, Direktur Pertahanan adalah badan tersebut Mengembangkan kerangka kerja untuk mengoordinasikan dan mengoordinasikan aktivitas keamanan siber dan respons insiden yang terkait dengan teknologi cloud komersial NSS, memastikan pembagian informasi yang efektif antara Direktur Intelijen Nasional, Direktur Intelijen Nasional, dan Penyedia Layanan Cloud (CSP). …

(A) Bekerja sama dengan Sekretaris Keamanan Dalam Negeri, Sekretaris Keamanan Dalam Negeri akan, sebagaimana diatur dalam kerangka, dengan upaya Pemerintah Federal antara Sekretaris Keamanan Dalam Negeri dan Sekretaris Keamanan Dalam Negeri tentang Keamanan Siber CSP Komersial. menjamin adanya kerjasama. Manajemen insiden. Konsisten dengan tanggung jawab badan tersebut untuk Sekretaris Keamanan Dalam Negeri (FCEB) dan keamanan siber NSS, kami memastikan mitigasi risiko menyeluruh yang cepat dan menyeluruh di seluruh lingkungan CSP.

(B) Administrator Negara harus memastikan bahwa versi akhir dari Kerangka tersebut dikoordinasikan dengan Direktur Intelijen Nasional, Direktur Badan Intelijen Pusat, Direktur Biro Investigasi Federal, dan Direktur Biro Investigasi Federal. . pertahanan.

(C) Konsisten dengan Bagian 4 Keputusan Presiden 14028:

(I) Dengan pengecualian jika diizinkan oleh undang-undang atau diizinkan oleh kepala lembaga sesuai dengan Bagian 3 dari Memorandum ini, lembaga tersebut dikembangkan berdasarkan Bagian 4 Keputusan Presiden 14028, dalam kategori ini. berlaku.

(ii) Dalam waktu 60 hari sejak tanggal Memorandum ini, Menteri Pertahanan, bekerja sama dengan Menteri Pertahanan dan Direktur Intelijen Nasional, harus meninjau kembali pedoman yang dikeluarkan oleh Kantor Manajemen dan Anggaran sesuai dengan Pasal 4 ( Saya). Perintah Presiden 14028, dan pedoman serupa akan dikeluarkan.

(iii) Lembaga dapat meminta pengelola negara bagian untuk memperpanjang periode yang terkait dengan pemenuhan persyaratan yang berlaku yang dikeluarkan dalam Bagian 1 (c) (ii) Nota Kesepahaman ini. Ini akan dipertimbangkan berdasarkan kasus per kasus oleh manajer negara bagian. -Berbasis kasus, hanya rencana yang menyertai untuk memenuhi persyaratan. Menteri Pertahanan akan memberikan kepada Menteri Pertahanan dan Direktur Intelijen Nasional laporan triwulanan tentang semua perpanjangan yang diberikan kepada sistem-sistem dalam yurisdiksi mereka masing-masing dan legitimasi untuk melakukannya. Manajer nasional dapat menyertakan lembaga terkait lainnya jika risiko bersama ditentukan bersama hanya setelah bekerja dengan dan terlibat dengan pemilik sistem.

(D) Bagian 6 dari Keputusan Presiden 14028 menggunakan pengelola negara untuk meninjau dan memverifikasi tanggapan kasus badan dan hasil remediasi ketika badan menyelesaikan tanggapan kasus sesuai dengan Keputusan Presiden Bagian 6 (f) Ini akan berlaku untuk pemilik dan operator NSS. 14028.

(E) Bagian 7 dari Keputusan Presiden 14028 berlaku untuk pemilik dan operator NSS yang secara khusus disebutkan dalam Keputusan Presiden dan memiliki persyaratan tambahan yang ditetapkan dalam Bagian 2 (b) dari Memorandum ini. ..

(F) Dalam waktu 14 hari sejak tanggal Memorandum ini, bekerja sama dengan Menteri Pertahanan dan Direktur Intelijen Nasional, Direktur Intelijen Nasional akan memberikan rekomendasi CNSS sebagaimana dijelaskan dalam Bagian 8 (b) Keputusan Presiden 14028. Dan .

(I) Dalam waktu 90 hari setelah menerima rekomendasi yang dikeluarkan sesuai dengan Bagian 1 (f) dari Memorandum ini, CNSS akan memastikan akses terpusat dan visibilitas untuk tingkat keamanan tertinggi, persyaratan tersebut Kebijakan kelembagaan untuk pendirian harus dikembangkan. ..