WikiDer > Безопасность операций

Operations security

Вторая Мировая Война агитационный плакат, популяризирующий предостерегающую фразу "Свободные губы топят корабли"

Безопасность операций (OPSEC) - это процесс, который определяет критическую информацию, чтобы определить, может ли разведка противника наблюдать за действиями союзников, определяет, может ли информация, полученная противником, быть интерпретирована как полезная для них, а затем выполняет выбранные меры, которые устраняют или сокращают использование противником критически важной информации. .

Женский армейский корпус пропаганда против слухов (1941–1945)

В более общем смысле OPSEC - это процесс защиты отдельных фрагментов данных, которые можно сгруппировать вместе, чтобы получить более широкую картину (так называемое агрегирование). OPSEC - это защита критически важной информации от военного командования, старшего руководства, руководства или других органов, принимающих решения. Результатом процесса является разработка контрмеры, которые включают технические и нетехнические меры, такие как использование шифрование электронной почты программного обеспечения, принимая меры против подслушивания, уделяя пристальное внимание сделанному вами снимку (например, объекты на заднем плане) или не говорите открыто социальные медиа сайты с информацией о подразделении, деятельности или Списке важной информации организации.

Термин «безопасность операций» был введен Военные США вовремя война во Вьетнаме.

Социальная инженерия это искусство манипулировать людьми с целью выполнения действий или разглашения конфиденциальной информации, а не путем взлома или использования технических приемов взлома

Процесс

OPSEC - это пятиэтапный итеративный процесс, который помогает организации идентифицировать определенные фрагменты информации, требующие защиты, и применять меры для их защиты:

  1. Идентификация критической информации: критическая информация - это информация о дружественных намерениях, возможностях и действиях, которые позволяют противнику эффективно планировать, чтобы помешать своей деятельности. В Постановлении 530-1 армии США критическая информация была разделена на четыре широкие категории с использованием аббревиатуры CALI - Возможности, Действия, Ограничения (включая уязвимости) и Намерения.[1] Этот шаг приводит к созданию списка критической информации (CIL). Это позволяет организации сосредоточить ресурсы на жизненно важной информации, а не пытаться защитить всю секретную или конфиденциальную несекретную информацию. Важная информация может включать в себя, помимо прочего, графики развертывания вооруженных сил, внутреннюю организационную информацию, детали мер безопасности и т. Д.
  2. Анализ угроз: угроза исходит от злоумышленника - любого человека или группы, которые могут попытаться нарушить или поставить под угрозу дружескую деятельность. Угроза далее делится на злоумышленников с намерениями и возможностями. Чем выше совокупные намерения и возможности противника, тем больше угроза. На этом этапе используются несколько источников, например, разведывательная деятельность, правоохранительные органы и информация из открытых источников для определения вероятных противников запланированной операции и определения степени их угрозы.
  3. Анализ уязвимостей: изучение каждого аспекта запланированной операции для определения индикаторов OPSEC, которые могут раскрыть важную информацию, а затем сравнение этих индикаторов с возможностями сбора разведданных противником, определенными в предыдущем действии. Угрозу можно рассматривать как силу противника, а уязвимость - как слабость дружественных организаций.
  4. Оценка риска: сначала специалисты по планированию анализируют уязвимости, выявленные в предыдущем действии, и определяют возможные меры OPSEC для каждой уязвимости. Во-вторых, конкретные меры OPSEC выбираются для выполнения на основе оценки риска, проведенной командиром и штабом. Риск рассчитывается на основе вероятности выпуска Критической информации и воздействия, если такое раскрытие произойдет. Вероятность далее подразделяется на уровень угрозы и уровень уязвимости. Основная предпосылка подразделения заключается в том, что вероятность компрометации максимальна, когда угроза является очень мощной и специализированной, а дружественные организации одновременно подвергаются опасности.
  5. Применение соответствующих мер OPSEC: Команда реализует меры OPSEC, выбранные при оценке действий по риску, или, в случае планируемых будущих операций и действий, включает меры в конкретные планы OPSEC. Контрмеры должны постоянно контролироваться, чтобы гарантировать, что они продолжают защищать текущую информацию от соответствующих угроз.[2] Постановление 530-1 армии США[3] относится к «Мерам» как к всеобъемлющему термину с категориями «Контроль действий» (контроль собственных действий); «Контрмеры» (противодействие сбору разведданных); и «противодействие анализу» (создающее трудности для злоумышленников, стремящихся предсказать дружеские намерения) как инструменты, помогающие специалисту OPSEC защитить важную информацию.

Оценка OPSEC - это формальное применение процесса к существующей операции или деятельности многопрофильной группой экспертов. Оценки определяют требования к дополнительным мерам OPSEC и необходимые изменения существующих.[4] Кроме того, планировщики OPSEC в тесном сотрудничестве с персоналом по связям с общественностью должны разработать основные элементы дружественной информации (EEFI), используемые для предотвращения непреднамеренного публичного раскрытия важной или конфиденциальной информации.[5] Термин «EEFI» постепенно заменяется термином «критическая информация», поэтому все затронутые агентства используют один и тот же термин, сводя к минимуму путаницу.

История

Вьетнам

В 1966 году США Адмирал Улисс Шарп создали многопрофильную группу безопасности для расследования неудач определенных боевых операций во время война во Вьетнаме. Эта операция получила название «Пурпурный дракон», и в ней участвовали сотрудники Национальное Агенство Безопасности и Министерство обороны.[6]

Когда операция завершилась, команда Purple Dragon систематизировала свои рекомендации. Они назвали этот процесс «Безопасность операций», чтобы отделить этот процесс от существующих и обеспечить постоянную межучрежденческую поддержку.[7]

НСДД 298

В 1988 г. президент Рональд Рейган подписал Директиву о решениях по национальной безопасности (NSDD) 298. В этом документе была учреждена Национальная программа безопасности операций и назначен директор Агентства национальной безопасности в качестве исполнительного агента для межведомственной поддержки OPSEC. В этом документе также был создан Межведомственный вспомогательный персонал OPSEC (IOSS).[8]

Заявка международного и частного секторов

Первоначально разработанная как военная методология США, безопасность операций была принята во всем мире как для военных, так и для частный сектор операции. В 1992 году Организация Североатлантического договора (НАТО) добавлен OPSEC к его глоссарию терминов и определений.[9]

Частный сектор также принял OPSEC в качестве защитной меры против пытливый ум сбор усилий.[10]

Военным и частным охранным и информационным фирмам часто требуются специалисты OPSEC. Сертификат часто изначально получают от военных или государственных организаций, таких как:

  • Элемент поддержки OPSEC армии США[11]
  • Группа поддержки OPSEC ВМС США[12]
  • Группа поддержки OPSEC морской пехоты США[13]
  • Группа поддержки OPSEC ВВС США[14]
  • Управление политики безопасности и управления береговой охраной США[15]
  • Объединенный элемент поддержки OPSEC.[16]
  • Межведомственный вспомогательный персонал OPSEC.[17]

Другие меры, влияющие на OPSEC

Смотрите также

Рекомендации

  1. ^ https://fas.org/irp/doddir/army/ar530-1.pdf
  2. ^ «Процесс OPSEC». Ассоциация специалистов по операционной безопасности. Получено 12 апреля, 2011.
  3. ^ https://fas.org/irp/doddir/army/ar530-1.pdf
  4. ^ «Глоссарий терминов OPSEC». Межведомственный вспомогательный персонал OPSEC. Получено 16 июня, 2016.
  5. ^ «Процесс совместного планирования операций и действия по связям с общественностью» (PDF). Центр оборонной технической информации (DTIC). Архивировано из оригинал (PDF) на 08.08.2016. Получено 16 июня, 2016.
  6. ^ "ФИОЛЕТОВЫЙ ДРАКОН: Постройки ОПСЕК". Управление обеспечения информации. Национальное Агенство Безопасности. Получено 15 июня, 2016.
  7. ^ «Происхождение ОПСЕК - из пасти дракона». www.opsecprofessionals.org. Получено 2016-06-16.
  8. ^ «О ИОСС». Национальная программа OPSEC. Межведомственный вспомогательный персонал OPSEC. Получено 15 июня, 2016.
  9. ^ «Глоссарий терминов и определений НАТО» (PDF). ААП-6. НАТО. Получено 16 июня, 2016.[постоянная мертвая ссылка]
  10. ^ Каханер, Ларри (1997). Пытливый ум. Саймон и Шустер. С. 252–255.
  11. ^ «Тренинг по элементам поддержки армии OPSEC (OSE)». 1stiocmd.army.mil. Ft. Бельвуар, Вирджиния: 1-е командование информационных операций. Получено 20 июня, 2018.
  12. ^ «Группа обеспечения безопасности морских операций». Navy.mil. Вашингтон, округ Колумбия: ВМС США. Получено 20 июня, 2018.
  13. ^ "Программа безопасности операций морской пехоты (OPSEC)". Marines.mil. Вашингтон, округ Колумбия: Корпус морской пехоты США. Получено 20 июня, 2018.
  14. ^ "Группа поддержки OPSEC ВВС". Вашингтон, округ Колумбия: ВВС США. Получено 20 июня, 2018 - через Facebook.com./
  15. ^ Комендант береговой охраны (22 апреля 2014 г.). Инструкция коменданта M5510.24A, Программа безопасности операций (OPSEC) (PDF). Вашингтон, округ Колумбия: Береговая охрана США. п. 1.
  16. ^ "Поддержка JIOWC OPSEC". База ВВС Лэкленд: Объединенный центр информационных операций США. Получено 20 июня, 2018 - через Facebook.com.
  17. ^ «Национальная программа OPSEC». iad.gov/ioss/. Ft. Джордж Г. Мид, доктор медицины: Межведомственный вспомогательный персонал OPSEC (IOSS). Получено 20 июня, 2018.

внешняя ссылка