Autorizările de securitate sunt una dintre cele mai tangibile constrângeri care separă dezvoltarea de software de apărare de munca de software comercial. Pentru un proiect de software comercial, furnizorul asamblează echipa cea mai capabilă disponibilă și începe lucrul. Pentru un program de apărare clasificat, compoziția echipei este constrânsă de cine are — sau poate obține — nivelul de autorizare necesar pentru a accesa informațiile clasificate ale programului. Această constrângere afectează timpii de angajare, dimensiunea echipei, capacitatea de a suplimenta capacitatea la mijlocul programului și structura de costuri a angajamentului.

Înțelegerea modului în care funcționează autorizările, de ce au nevoie organizațiile la nivel de facilitate și cum să structureze programele pentru a minimiza frecarea legată de autorizări este o cunoaștere esențială pentru orice furnizor de software care dorește să lucreze la programe de apărare. Acest articol acoperă peisajul autorizărilor din perspectiva unei organizații de dezvoltare software, cu îndrumări practice despre ce să așteptați și cum să planificați.

Niveluri de Autorizare: NATO Secret, Cosmic Top Secret și Echivalente Naționale

Autorizările de securitate există la nivel național și la nivel NATO, iar cele două sisteme interacționează în moduri specifice care afectează programele internaționale de apărare.

La nivel național, majoritatea națiunilor membre NATO operează un sistem de clasificare pe trei sau patru niveluri: Confidențial (sau echivalent), Secret și Top Secret, cu unele națiuni adăugând o categorie de Informații Compartimentate Special (SCI) deasupra Top Secret. Denumirile specifice variază în funcție de națiune — Germania folosește VS-NfD, VS-Vertraulich, VS-Geheim și VS-Streng Geheim; Regatul Unit folosește Official, Official-Sensitive, Secret și Top Secret. Autorizările de personal corespund acestor niveluri: o autorizare Secret acordă acces la informații clasificate Secret, dar nu Top Secret.

NATO operează propriul sistem de clasificare: NATO Restricted, NATO Confidential, NATO Secret și Cosmic Top Secret (CTS). Termenul „Cosmic" nu indică un nivel deasupra-top-secret în sensul convențional — este un prefix de cuvânt de cod aplicat celui mai sensibil nivel de clasificare al NATO. O autorizare Top Secret națională de la o națiune membră NATO este recunoscută în general pentru accesul la informațiile NATO Secret; accesul la Cosmic Top Secret necesită un proces de verificare specific la nivel NATO.

Pentru un furnizor de software care lucrează la programe internaționale, implicația practică este că membrii echipei care sunt autorizați la nivelul Secret național pot fi capabili să acceseze materialul NATO Secret, dar schimbul de informații al programului internațional este guvernat de acorduri între națiuni și de marcajele de clasificare specifice de pe fiecare document.

Cerințe pentru Dezvoltatorii de Software: Cetățenie, Verificări de Fond și Verificare

Autorizările de securitate a personalului pentru dezvoltatorii de software urmează același proces ca pentru orice alt rol profesional într-un context de apărare. Cerințele variază în funcție de națiune, nivelul de autorizare și program, dar elementele comune sunt consistente.

Cetățenia. Majoritatea națiunilor solicită ca personalul care deține autorizări Secret sau mai înalte să fie național al națiunii emitente. Dualii naționali pot fi supuși unui scrutin suplimentar. Cetățenii străini sunt în general ineligibili pentru autorizările de securitate naționale, cu excepții limitate în circumstanțe specifice (de obicei pentru aliați care lucrează la programe finanțate în comun, sub acorduri bilaterale). Aceasta are implicații directe pentru furnizorii de software cu echipe internaționale de dezvoltare: membrii echipei care nu sunt naționali ai națiunii relevante nu pot deține autorizările națiunii și nu pot accesa informații clasificate la acele niveluri.

Investigația de fond. Procesul de verificare pentru o autorizare Secret implică de obicei o investigație de fond care acoperă istoricul angajărilor, istoricul reședinței, istoricul financiar, cazierele judiciare, contactele și călătoriile străine și referințele de caracter. Adâncimea și scopul investigației cresc cu nivelul de autorizare. Investigația este condusă de o agenție națională de verificare și poate dura luni pentru a finaliza autorizările inițiale.

Verificarea continuă. Odată acordate, autorizările nu sunt permanente. Majoritatea națiunilor conduc reinvestigări periodice — de obicei la fiecare cinci până la șapte ani pentru Secret, mai frecvent pentru niveluri mai înalte — și personalul autorizat este supus cerințelor de raportare pentru evenimente semnificative de viață care ar putea afecta eligibilitatea lor.

Realitatea termenelor: Investigațiile inițiale de autorizare pentru dezvoltatorii de software care sunt noi în sectorul de apărare pot dura de la șase până la optsprezece luni, în funcție de națiune, nivel de autorizare și volumul curent al agenției de verificare. Programele care necesită dezvoltatori autorizați și nu au bugetat pentru acest termen vor întâlni întârzieri de personal care afectează programul și costul. Planificarea pentru timpul de procesare a autorizărilor nu este opțională — este o condiție prealabilă de gestionare a programului.

Autorizarea de Securitate a Facilității: Ce Necesită Organizațiile

Dincolo de autorizările individuale de personal, organizațiile care lucrează la programe de apărare clasificate trebuie să dețină o Autorizare de Securitate a Facilității (FSC) — sau echivalentul național — care autorizează organizația în sine să primească, stocheze și proceseze informații clasificate. FSC este emisă organizației, nu angajaților individuali, și stabilește cadrul în care operează autorizările individuale.

Obținerea unui FSC necesită demonstrarea că organizația a stabilit măsurile de securitate fizică, controalele de securitate a informațiilor și procedurile administrative necesare pentru a proteja informațiile clasificate la nivelul relevant. Aceasta include: facilități securizate aprobate (întâlniri clasificate, stocare securizată pentru documentele clasificate, sisteme IT adecvate pentru procesarea datelor clasificate); un Ofițer de Securitate a Facilității (FSO) autorizat responsabil cu administrarea programului de securitate; proceduri de securitate a personalului pentru angajarea, verificarea și gestionarea angajaților autorizați; și conformitatea cu standardul național de securitate relevant.

FSC trebuie să fie la nivelul adecvat pentru lucrările efectuate. Un furnizor cu un FSC Secret nu poate accepta contracte care necesită lucrări Top Secret fără actualizarea FSC-ului. Actualizările FSC necesită inspecția de către autoritatea națională de securitate și trebuie finalizate înainte de a începe lucrările clasificate.

Alternative: Informații Controlate Neclasificate vs. Clasificate

Nu toate lucrările de software de apărare necesită autorizări de securitate, iar înțelegerea limitei dintre lucrările clasificate și neclasificate este importantă pentru planificarea programului și pentru furnizorii care evaluează care programe le sunt accesibile fără costurile programelor de autorizare de securitate.

Multe programe de apărare lucrează cu Informații Controlate Neclasificate (CUI) — informații care necesită protecție, dar nu ajung la nivelul informațiilor clasificate. În contextul SUA, CUI este guvernat de Registrul CUI al Arhivelor Naționale și NIST SP 800-171, care prescrie cerințe de securitate a informațiilor pentru organizațiile care gestionează CUI în sisteme non-federale. În Regatul Unit, categoria echivalentă este Official-Sensitive. Lucrările CUI/Official-Sensitive necesită conformitatea organizațională cu standardele de securitate relevante, dar de obicei nu necesită autorizări de securitate a personalului.

Deciziile de arhitectură a programului pot uneori reduce sau elimina cerințele de autorizare prin separarea componentelor clasificate de cele neclasificate. Un sistem în care datele de planificare operațională sunt clasificate, dar software-ul de gestionare a logisticii este neclasificat, poate fi arhitecturat pentru a permite dezvoltatorilor neautorizați să lucreze la componenta de logistică în timp ce personalul autorizat gestionează componenta de planificare operațională — cu condiția menținerii separării adecvate a datelor.

Furnizorii care nu pot obține autorizări (din cauza naționalității echipei, limitărilor FSC sau constrângerilor de termen) nu ar trebui să încerce programe care le necesită. Abordarea mai bună este să fii sincer cu privire la capacitățile de autorizare în faza de dezvoltare a afacerilor și să vizezi programe adecvate forței de muncă autorizate a organizației, construind în paralel spre niveluri de autorizare mai înalte.