Допуски до секретних відомостей є одним із найвідчутніших обмежень, що відрізняють розробку оборонного програмного забезпечення від комерційної. Для комерційного проекту постачальник збирає найбільш здатну доступну команду та розпочинає роботу. Для секретної оборонної програми склад команди обмежений тими, хто має або може отримати рівень допуску, необхідний для доступу до секретної інформації програми. Це обмеження впливає на терміни найму, розмір команди, можливість нарощення потужностей у середині програми та структуру витрат взаємодії.

Розуміння того, як функціонують допуски, що потрібно організаціям на рівні об'єкта та як структурувати програми для мінімізації пов'язаних з допуском тертощів — це необхідне знання для будь-якого постачальника програмного забезпечення, що прагне працювати з оборонними програмами.

Рівні допуску: НАТО Секрет, Cosmic Top Secret та національні еквіваленти

Допуски до секретних відомостей існують на національному рівні та на рівні НАТО, і ці дві системи взаємодіють специфічними способами, що впливають на міжнародні оборонні програми.

На національному рівні більшість країн-членів НАТО мають трирівневу або чотирирівневу систему класифікації: Конфіденційно (або еквівалент), Таємно та Цілком таємно, деякі країни додають категорію Спеціальної розвідувальної інформації (SCI) вище Цілком таємно. Конкретні назви варіюються залежно від країни. Персональні допуски відповідають цим рівням: допуск рівня Таємно надає доступ до секретної інформації, але не до Цілком таємної.

НАТО має власну систему класифікації: НАТО Обмежено, НАТО Конфіденційно, НАТО Таємно та Cosmic Top Secret (CTS). Термін «Cosmic» є кодовим префіксом, що застосовується до найбільш чутливого рівня класифікації НАТО. Національний допуск рівня Цілком таємно від країни-члена НАТО, як правило, визнається для доступу до інформації рівня НАТО Таємно; доступ до Cosmic Top Secret вимагає спеціальної перевірки на рівні НАТО.

Вимоги до розробників програмного забезпечення: громадянство, перевірка анкетних даних та перевірка особи

Громадянство. Більшість країн вимагають, щоб персонал, що має допуск рівня Таємно або вище, були громадянами країни, що надає допуск. Особи з подвійним громадянством можуть зазнавати додаткового ретельного розгляду. Іноземні громадяни, як правило, не мають права на національні допуски до секретних відомостей. Це безпосередньо впливає на постачальників з міжнародними командами розробки: члени команди, які не є громадянами відповідної країни, не можуть мати допуску цієї країни і не можуть отримувати доступ до секретної інформації на відповідних рівнях.

Перевірка анкетних даних. Процес перевірки для отримання допуску рівня Таємно зазвичай включає розслідування анкетних даних, що охоплює історію зайнятості, місця проживання, фінансову історію, кримінальні записи, іноземні контакти та подорожі, а також характеристики. Глибина та обсяг розслідування збільшуються з рівнем допуску. Розслідування проводиться національним агентством перевірки і може займати місяці для первинних допусків.

Безперервна перевірка. Після надання допуски не є постійними. Більшість країн проводять періодичне повторне розслідування — як правило, кожні п'ять-сім років для рівня Таємно, частіше для вищих рівнів. Персонал з допуском, що вже має його, є ресурсом, за який конкурують програми; постачальник з попередньо перевіреним пулом розробників має матеріальну перевагу у термінах комплектування програми.

Реальні терміни: Первинні розслідування для розробників програмного забезпечення, які є новачками в оборонному секторі, можуть займати від шести до вісімнадцяти місяців залежно від країни, рівня допуску та поточного завантаження агентства перевірки. Програми, що потребують перевірених розробників і не передбачили цих термінів у бюджеті, зіткнуться із затримками кадрового забезпечення, що впливають на розклад та витрати. Планування часу обробки допуску — це не опція, а обов'язкова передумова управління програмою.

Допуск об'єкта: що потрібно організаціям

Окрім персональних допусків, організації, що працюють із секретними оборонними програмами, повинні мати Допуск об'єкта (FSC) — або національний еквівалент — що уповноважує організацію отримувати, зберігати та обробляти секретну інформацію. FSC видається організації, а не окремим співробітникам.

Отримання FSC вимагає демонстрації того, що організація запровадила заходи фізичної безпеки, засоби контролю інформаційної безпеки та адміністративні процедури, необхідні для захисту секретної інформації відповідного рівня. Це включає: схвалені захищені об'єкти (класифіковані зустрічі, безпечне зберігання секретних документів, відповідні ІТ-системи); призначеного офіцера безпеки об'єкта (FSO); процедури безпеки персоналу; та відповідність відповідному національному стандарту безпеки.

FSC повинен бути на відповідному рівні для виконуваної роботи. Організація з FSC рівня Таємно не може приймати контракти, що вимагають роботи рівня Цілком таємно. Оновлення FSC вимагає інспекції з боку національного органу безпеки та повинне бути завершено до початку секретної роботи.

Альтернативи: контрольована несекретна інформація порівняно із секретною

Не вся робота з оборонним програмним забезпеченням вимагає допусків. Багато оборонних програм працюють з Контрольованою несекретною інформацією (CUI) — інформацією, яка потребує захисту, але не досягає рівня секретної інформації. Робота з CUI вимагає організаційного дотримання відповідних стандартів безпеки, але, як правило, не потребує персональних допусків.

Архітектурні рішення програми іноді можуть зменшити або усунути вимоги до допуску шляхом розділення секретних і несекретних компонентів. Постачальники, які не можуть отримати допуски через склад команди, обмеження FSC або тимчасові обмеження, не повинні намагатися реалізовувати програми, що їх вимагають — наслідки збоїв безпеки є серйозними, а регуляторні та контрактні наслідки порушень допуску є суворими.