Zgodność ze standardem DoD 8570 jest wymagana od wszystkich autoryzowanych użytkowników systemu informacyjnego DoD. Obejmuje to zarówno pracowników instytucji rządowych jak i ich kontrahentów.

DoD, United States Department of Defense – Departament Obrony Stanów Zjednoczonych – urząd federalny Stanów Zjednoczonych, na którym spoczywa obowiązek koordynowania i nadzorowania agencji i funkcji rządu, wiążących się z bezpieczeństwem narodowym i siłami zbrojnymi. Departament Obrony koordynuje pracę trzech resortów:

• Departamentu Armii (U.S. Army), resortu wojsk lądowych
• Departamentu Marynarki (U.S. Navy), resortu marynarki wojennej
• Departamentu Sił Powietrznych (U.S. Air Force), resortu wojsk lotniczych

oraz szeregu wyspecjalizowanych agencji (źródło Wikipedia PL)

Dyrektywa 8570 Departamentu Obrony reguluje zasady gwarancji bezpieczeństwa informacji w systemach Departamentu Obrony i osób, którzy mają do nich dostęp. DoD 8570 ustanawia zasady i zakres odpowiedzialności Departamentu Obrony w zakresie ochrony informacji, w tym: wymaganych szkoleń i certyfikacji dla zatrudnianych osób. Jest to podstawowy wymóg dla uzyskania dostępu do systemów informatycznych DoD.

Specjaliści IT, którzy chcieliby się zatrudnić w jednym z resortów lub agencji koordynowanych przez DoD lub też współpracować z nimi w ramach zleceń wykonywanych przez firmy trzecie powinni upewnić się, że przed zgłoszeniem swojej kandydatury na dane stanowisko, mogą się wykazać posiadaniem odpowiedniego certyfikatu zgodnego z DoD 8570.

DoD 8570 to zbiór zasad a nie certyfikacja sama w sobie, nie ma pojedynczej certyfikacji o nazwie „8570”. Zgodność z DoD 8570 można uzyskać, zdobywając różne certyfikaty. Poniżej znajduje się tabela udostępniana przez Defense Information Systems Agency (DISA), w której przedstawiono szereg certyfikatów, których uzyskanie zapewnia zgodność z normą DoD 8570. Aby spełnić wymóg zgodności wymagane jest posiadanie przynajmniej jednej certyfikacja spośród kilku wymienionych na każdym z poziomów.

Dyrektywa 8570 definiuje kilka kategorie i poziomów gwarancji bezpieczeństwa informacji oraz specjalizacji:

Bazowe

• technik (Information Assurance Technical (IAT)), poziomu I, II i III
• kierownik (Information Assurance Management (IAM)), poziomu I, II i III

Wyższego poziomu

• inżynier i architekt systemu (Information Assurance System Architect and Engineer (IASAE)), poziomu I, II i III
• dostawca usługi bezpieczeństwa (Cyber Security Service Provider (CSSP)), o specjalizacji analityk (Analyst), wsparcie infrastruktury (Infrastructure Support), zarządzanie incydentami (Incident Responder), audytor (Auditor), kierownik (Manager)

Pełne informacje pod adresem https://iase.disa.mil/iawip/Pages/iabaseline.aspx wraz z rozwinięciem nazw certyfikatów i przypisaniem ich do konkretnych dostawców.

11 sierpnia 2015 przedstawiciele Departamentu Obrony Stanów Zjednoczonych (DoD) podpisali dyrektywę 8140, która zastępuje 8570, a która to, jak pisaliśmy wyżej nakazywała wszystkim pracownikom i ich kontrahentom certyfikację w ramach określonego stanowiska i poziomów. Co to oznacza? Cóż, z jednej strony dyrektywa 8570 przestała obowiązywać, ale w praktyce nadal jest stosowana.

Mimo, że obowiązuje nowa dyrektywa 8140, DoD musi opracować jeszcze jeden bardzo ważny element a mianowicie podręcznik, instrukcję (manual) do 8140. Bez tego podręcznika nie istnieją praktyczne instrukcję właściwego postępowania. Praca ta wymaga oczywiście czasu i często zajmuje nawet kilka lat. W przypadku dyrektywy 8570 podręcznik do niej nazwany 8570.01-M powstawał około dwóch lat. Do momentu aż nie powstanie dedykowany podręcznik dla 8140 przyjęło jako podstawę dla nowej dyrektywy istniejący podręcznik czyli 8570.01-M.

Dlaczego w ogóle podpisano nową dyrektywę 8140? Otóż standard 8140 w przeciwieństwie do 8570 jest bardziej elastyczny, pozwala adoptować i łączyć w swoich zapisach inne najlepsze praktyki np. NICE Cybersecurity Workforce Framework.

Kilka lat wcześniej ludzie z National Initiative for Cybersecurity Education (NICE) (pisaliśmy już o NICE przy okazji naszego przewodnika o certyfikatach z obszaru cyberbezpieczeństwa) stworzyli NICE Cybersecurity Workforce Framework jako niezależną od 8570 inicjatywę. NICE identyfikuje krytyczne obszary wiedzy, umiejętności i zdolności niezbędne na stanowiskach pracy w obszarze bezpieczeństwa. Podkreśla również znaczenie posiadania praktycznych umiejętności i ich ciągłego doskonalenia.

Tym samy w ramach DoD 8140 zgodnie z NICE Cybersecurity Workforce Framework oczekuje się od pracowników i współpracowników DoD, że będą w zależności od stanowisk i zakresu wykonywanej pracy legitymować się certyfikacją i kompetencjami zgodnymi z jednym z siedmiu zidentyfikowanych powszechnych działań związanych z bezpieczeństwem informacji:

1. Security Provision
2. Maintain and Operate
3. Protect & Defend
4. Analyze
5. Operate & Collect
6. Oversight & Development
7. Investigate

(źródło http://diarmfs.com/dod-8140/)

Podzielonych dodatkowo na 33 obszary związane z cyberbezpieczeństwem i 52 stanowiska szczegółowo opisane na poziomie wiedzy, umiejętności i zdolności niezbędnych do wykonywania pracy na danym stanowisku.

Więcej informacji o NICE Cybersecurity Workforce Framework

https://www.nist.gov/itl/applied-cybersecurity/nice/resources/nice-cybersecurity-workforce-framework

Pełna wersja robocza NICE Cybersecurity Workforce Framework https://www.nist.gov/sites/default/files/documents/2017/09/06/draft_sp800_16_rev1_2nd-draft.pdf

Zbiór kompetencji z podziałem (wiedza, umiejętności, zdolności) przypisanych do NICE Cybersecurity Workforce Framework

https://www.nist.gov/file/384836

Czy informacja o zgodności z dyrektywą DoD 8570 i/lub DoD 8140 warto umieszczać w swoim CV?

Jak już napisaliśmy wcześniej DoD 8570 czy DoD 8140 nie są same w sobie tytułami certyfikacji, dlatego informacja, że odbyte szkolenie czy też zdobyty certyfikat są zgodne z dyrektywą DoD wymagałaby dodatkowej adnotacji. Pamiętając, że zgodność z dyrektywą ma znaczenie w przypadku amerykańskiego rynku pracy i instytucji nadzorowanych przed DoD lub firm z nimi współpracujących, wcale nie oznacza to, że pracując w Europie czy Polsce nie spotkamy się z takim wymogiem, wręcz przeciwnie szereg firm z naszego regionu realizuje bezpośrednie kontrakty dla DoD lub jest podwykonawcą w takich kontraktach.

Nigdy nie wiadomo jak potoczy się nasza kariera zawodowa.