🔷درس گرفتن از شکست‌های پیشین و برنامه‌ریزی برای مقابله با آنها 🔹بارها و بارها سازمان‌های نظامی و اطلاعاتی آمریکا از بخش‌های مختلف مورد هک قرار گرفته‌اند و افتضاحات اطلاعاتی/نظامی بالاآورده‌اند ولی نکته مهم این است که بعد از هر اتفاق فقط به شعاردادن، به گردن دشمن انداختن و اطمینان دادن به انتقام بسنده نمی‌کنند. بلکه آنها را به صورت فنی و غیرسیاسی بررسی می‌کنند، اینکه اشتباهاتشان چه بوده و چه طور منجر به مشکل شده را دقیق مکتوب و گاها به صورت عمومی منتشر می‌کنند، برای رفع آنها به کمک متخصصان بخش خصوصی دنبال راه‌حل می‌گردند. مدیران خاطی بازخواست می‌شوند، شرکت‌های خصوصی مسئول جریمه می‌شوند. ین بخش‌های مختلف نظامی/اطلاعاتی انتقال دانش انجام می‌دهند تا همه از آن آگاه شوند و در واقع در یک کلام از اشتباهاتشان درس می‌گیرند تا دوبار از یکجا گزیده نشوند. 🔹در ادامه طی مجموعه پستی راجع به تمهیدات سازمان‌های اطلاعاتی/نظامی آمریکا جهت داشتن امنیت بهتر صحبت خواهیم کرد. AnotherOne @Partisan2015

🔷قدم‌اول:‌ دریای‌استانداردها 🔹تمامی شرکت‌های طرف قرارداد وزارت دفاع موظف هستند سه دسته از استانداردها را رعایت نمایند: ▪️استانداردهای عمومی همانند ISO 9001/ISO 27001/ ISO 27017,… ▪️استانداردهای خاص‌منظوره برای نرم‌افزار‌های دولتی همانند FIPS-140-2/NIST 800-53,… ▪️استانداردهای مختص محیط‌های نظامی همانند CMCC 2.0/DFARS 252.204-7012/Dod SRG up to IL6,… 🔹مطابقت شرکت‌ها و سخت‌افزار مورد استفاده به طور دوره‌ای مورد ممیزی شرکت ثالث قرار می‌گیرند تا از رعایت آنها اطمینان حاصل شود و زمانی که اتفاق امنیتی رخ دهد و بعد از postmortem به این نتیجه برسند که به رعایت نشده جریمه سنگینی خواهند شد. 🔹بسته به اینکه چقدر دیتایی مهمی قرار است مورد استفاده قرار گیرد این نرم‌افزارها و سخت‌افزارها باید سطح تضمین EAL4 تا EAL7+ را پاس کرده باشند. به عنوان مثال یکسوکننده‌های جریان داده (برای ارسال یکطرفه داده از شبکه‌های غیرامن به امن) ساخت شرکت‌های Fox-IT و BAE سطح EAL7 را پاس کرده‌اند تا بتوانند در بخش‌های نظامی استفاده شوند. AnotherOne @Partisan2015