Frage:
Sicherheitsüberprüfungsjobs: Wird es die Sicherheit schwierig machen, die Arbeit zu erledigen?
anon
2012-04-26 18:31:41 UTC
view on stackexchange narkive permalink

In vielen Jobs von Regierungs- oder Verteidigungsunternehmen ist eine gewisse Sicherheitsüberprüfung erforderlich, da die Arbeit "geheim" sein soll. Mit anderen Worten, Mitarbeiter dürfen nicht darüber sprechen, was sie mit irgendjemandem tun. Dies macht es für einen Außenstehenden schwierig, die wahre Natur eines Arbeitsplatzes mit Freigabeanforderungen zu beurteilen.

Ich habe darüber nachgedacht, Arbeit an Orten zu finden, an denen eine Sicherheitsfreigabe erforderlich ist. Technisch gesehen scheint ein Teil der Arbeit sehr interessant zu sein, aber ich habe Bedenken, ob ein solcher Job eine so belastende Sicherheit hat, dass er miserabel wird, weil ich keinen Zugriff auf die Ressourcen habe, die ich für meinen Job benötige.

Insbesondere möchte ich von anderen, die Sicherheitsaufgaben wahrgenommen haben, wissen, wie drakonisch Sicherheit ist, wenn es darum geht, Arbeit zu erledigen ?

Speziell:

  • Kann ich nach Informationen "googeln" oder kann ich davon ausgehen, dass das Netzwerk vollständig nach außen gesperrt ist?
  • Wie "gut" sind interne Quellen für Referenzinformationen? (Wenn ich keine externen Ressourcen verwenden kann)

Soweit ich weiß, ist das Durchlaufen des Sicherheitsüberprüfungsprozesses sehr invasiv, zeitaufwändig und zweifelhaft, soweit tatsächlich eine Freigabe erteilt wird. Es wäre zutiefst enttäuschend, all das durchzugehen und dann an einem miserablen "streng geheimen" Ort zu landen.

Sie sprechen also nicht über den Sicherheitsüberprüfungsprozess selbst, sondern darüber, ob * Sie * gut zu Positionen passen, die streng geheime Freigaben erfordern?
Ich spreche nicht über den Prozess selbst, noch spreche ich spezifisch über mich.
Ok, lassen Sie mich umformulieren - die Frage bezieht sich nicht auf den Freigabeprozess, sondern bittet um Spekulationen in zwei sehr weiten Bereichen. Nur ein Teil Ihrer Frage ist tatsächlich zu beantworten: Inwieweit können Sie auf Google und andere Websites zugreifen?
Die Fragen 1 und 2 sind nicht zu beantworten, da sie vom jeweiligen Job abhängen.
Bearbeitet, obwohl ich nicht einverstanden bin, ob solche Fragen beantwortbar sind oder nicht, verstehe ich.
@anon Sie sind dafür verantwortlich, dass die Leute eine Antwort hinzufügen könnten, aber solche "Antworten" wären bestenfalls höchst spekulativ (wenn auch aus keinem anderen Grund als den, die Sie im Beitrag selbst angegeben haben!) Und würden einem Diskussionsforum ähneln eher als spezifische Fragen und Antworten. Vielen Dank, dass Sie die Frage bearbeitet haben, um zu einer praktischen Frage zu gelangen, die für andere nützlich sein wird.
Jede Organisation - insbesondere diejenigen, die die Richtlinien sehr streng gestalten - weiß, welche Ressourcen für die Erledigung der Aufgabe erforderlich sind und welche nicht. Keine Richtlinie hindert Sie im Wesentlichen daran, gute Arbeit zu leisten. Es könnte nur eine Irritation des Tagesablaufs sein. Sind Sie besorgt darüber?
@anon Ihre "spezifischen" Fragen sind wirklich zu spezifisch - die beste Antwort, die wir auf den Zugriff auf externe Ressourcen geben können, ist "Vielleicht" (eine Einrichtung, in der ich bei Ihnen gearbeitet habe, hatte einen PC mit Internetzugang, eine andere, mit der Sie Ihr Handy überprüft haben Sicherheit und es gab keinen externen Zugriff auf irgendetwas im sicheren Bereich), und die Antwort auf die Frage nach der Qualität der internen Ressourcen variiert von Organisation zu Organisation (und häufig innerhalb von Organisationen, je nachdem, wen Sie nach den Informationen fragen - genau wie bei jeder anderen Job! :-)
"Es wäre zutiefst enttäuschend, all das durchzugehen und dann an einem miserablen" streng geheimen "Ort zu landen." ... Sie sollten berücksichtigen, dass selbst wenn das passiert, nicht alles verloren ist ... würden Sie dann Sie haben eine aktive Freigabe, die Sie in einer anderen Position verwenden können, für die das gleiche oder ein niedrigeres Niveau erforderlich ist. Sie könnten in Ihrem ersten Job eine "respektable" Zeitspanne erleiden und sich dann für andere Positionen bewerben ein großer Vorteil gegenüber ungeklärten Kandidaten
Nur eine Anekdote und es ist eine alte (das Web war bei weitem nicht das, was es heute ist). Also arbeitete ich an einem Programm, das sehr getrennt war, keine Fenster, alles, was sensibel in Safes eingeschlossen war usw. Wir hatten unser eigenes Netzwerk, aber das war hauptsächlich, um auf die Mainframes und Programm-E-Mails zuzugreifen. Wir mussten also den Gang hinuntergehen, um einen "öffentlichen" Computer zu benutzen. Auf diese Weise haben wir auf Unternehmens-E-Mails zugegriffen und unsere Zeit investiert. Der öffentliche Computer, ein IBM AT. Am Ende des Tages gab es immer eine Warteschlange, in der jeder versuchte, seine Zeit einzuplanen.
Sechs antworten:
#1
+40
Thomas Owens
2012-04-26 20:21:10 UTC
view on stackexchange narkive permalink

Beginnen wir von vorne. Nur um die Bühne zu bereiten, mit Ausnahme einer TA-Position, die ich am College innehatte, war jeder Job (Sommerjob, Koop, Praktikum, Vollzeitstelle), den ich jemals hatte, in der Verteidigungsindustrie, entweder als ein ziviler Regierungsangestellter oder ein Verteidigungsunternehmen. Außerdem habe ich mich nur für eine Stelle außerhalb des Verteidigungs- / Geheimdienstsektors beworben. Ich habe vor, meine gesamte Karriere in dieser Branche zu verbringen.

Die Vorstellung, dass Arbeitgeber nicht darüber sprechen dürfen, was sie tun, ist falsch. Ich war ein Kandidat für eine Stelle bei einem Geheimdienst des Verteidigungsministeriums, der sich auf Signalaufklärung, den Schutz von US-amerikanischen Kommunikations- und Netzwerksystemen, Informationssicherheit und Kryptographie / Kryptoanalyse spezialisiert hat. Zum Zeitpunkt des Interviews hatte ich nicht die entsprechende Genehmigung, um die primäre Einrichtung zu betreten. Ich wurde außerhalb des Unternehmens an einem abgelegenen Ort interviewt und konnte nicht viel über die Lobby- und Interviewbereiche hinausgehen. Ich konnte jedoch Fragen zu der Art der Arbeit stellen, die ich ausführen würde - zur Büroumgebung, zu den Tools und Technologien und zu den Problemen, an denen gearbeitet wird (oder zu Problemen, die für diejenigen repräsentativ sind, an denen gearbeitet wird). Oft werden nicht die Probleme klassifiziert, sondern die Lösungen für diese Probleme und die generierten Funktionen. Ich konnte genug darüber lernen, was dieses spezielle Team tat, um zu sagen, dass ich aus moralischen und ethischen Gründen nicht an der Position interessiert war.

Während des Bewerbungs- und Interviewprozesses sollten Sie in der Lage sein, genug über die Position zu lernen, um eine fundierte Entscheidung darüber treffen zu können, welche Art von Arbeit Sie im Job ausführen werden. Und das Lernen über die Aspekte des Arbeitsumfelds des Jobs wäre das gleiche wie bei jedem anderen Job - fragen Sie nach Kultur, Nutzen, Wachstumschancen und Entwicklungsmöglichkeiten. In einer Regierungsbehörde handelt es sich häufig um öffentliche Informationen, da diese über Behörden und Abteilungen hinweg konsistent sind. In einer Auftragnehmerumgebung werden sie diese Dinge gerne besprechen, da dies normalerweise ein HR-Thema ist, das unabhängig vom Projekt oder Programm gilt.

In Bezug auf die Politik im Büro habe ich Ich bin dem nie begegnet, und wenn ich mit Freunden außerhalb der Verteidigungsindustrie spreche, scheint es von Natur aus ziemlich ähnlich zu sein. Ich würde vermuten, dass dies eher eine Sache der Unternehmenskultur ist als etwas, das auf die Verteidigungsindustrie oder Auftragnehmer der Regierung verallgemeinert werden kann.

Die Sicherheit bei der Arbeit ist unterschiedlich. Die meisten Orte bieten Menschen zusätzlich zu Arbeitsbereichen in klassifizierten Umgebungen einen nicht klassifizierten Arbeitsbereich. An meinem Schreibtisch habe ich fast freien Zugang zum Internet. In einer klassifizierten Umgebung haben Sie diesen Zugriff jedoch nicht. Ein Großteil der Arbeit, die ich gesehen habe, findet tatsächlich in nicht klassifizierten Umgebungen statt und wird dann in klassifizierte Umgebungen gebracht, da die tatsächlichen realen Daten, über die die Systeme arbeiten, klassifiziert werden. Das System selbst ist möglicherweise proprietär und manchmal sogar Open Source.

Für eine Sicherheitsüberprüfung sind die Formulare etwas zeitaufwändig. Abhängig von der Art der Freigabeuntersuchung müssen Sie häufig Ihre Jobs, Adressen, Freunde, Kollegen und Familienmitglieder angeben, die 5 bis 15 Jahre zurückliegen. Abhängig von einigen Ihrer Antworten müssen möglicherweise Interviews, Polygraphen und Fragebögen ausgefüllt werden. Sie können die Formulare online anzeigen, z. B. das SF-86 ( PDF hier), das für die Freigabe von DoD Secret verwendet wird (und möglicherweise auch andere Agenturen - ich bin nur mit DoD vertraut).

+1 für die umfassende Erklärung und einschließlich des externen (nicht klassifizierten) -> inneren (klassifizierten) Workflow-Prozesses.
@voretaq7 Das ist die Kurzversion. Es ist nicht so einfach wie "am Schreibtisch arbeiten, mit neuem Programm klassifizieren". Es gibt einen ganzen Prozess dafür.
Ich erinnere mich gut an den Prozess. Grund # 1842 warum ich die Branche verlassen habe :-)
Einer der Vorteile des Einstiegs in die klassifizierte Arbeit unmittelbar nach dem Studium besteht darin, dass sie nur sehr wenig * zu * Hintergrundüberprüfungen durchführen können. Bei all den Auslandsreisen, die ich seit meinem Ausscheiden aus der Verteidigungsindustrie unternommen habe (einschließlich der Arbeit in China und Taiwan), würde ich es hassen, jetzt die Sicherheit wieder klären zu müssen.
Sind Agenturen im wirklichen Leben übrigens genauso verliebt in den Polygraphen wie in ihre Darstellung in modernen TV-Serien wie Homeland?
@MarkBooth Keine Ahnung von dem Polygraphen. Ich war noch nie in einer Position, die einen Polygraphen erforderte. Ich kenne Leute, die sie hatten.
@MarkBooth Soweit ich weiß, wollen die Geheimdienste sie immer noch häufig.
@MarkBooth - Ich werde Ihnen den häufigsten Grund für einen Polygraphen im Zusammenhang mit der Erlangung einer Sicherheitsüberprüfung nennen. Angenommen, Sie leben in einem Zeitraum von 6 Monaten in einem anderen Land, und aus irgendeinem Grund haben Sie dies bei Ihrer Hintergrundüberprüfung nicht angegeben. Dies würde zu einer zusätzlichen Untersuchung führen, die über die normale hinausgeht. Sie werden wahrscheinlich von der Gruppe besucht, die den Prozess abwickelt, werden gebeten, einen Polygraphen durchzuführen, und nach diesen 6 Monaten gefragt. Wenn Sie versagen, wird Ihre Freigabe wahrscheinlich verweigert. Wenn Sie bestanden haben, wird der Prozess fortgesetzt.
@Ramhound Die Notwendigkeit eines Polygraphen hängt mehr von der Höhe des Abstands als von Ihrem Papierkram ab. Wenn Sie es versäumt haben, Informationen in ein Formular aufzunehmen, führt dies eher zu mehr Formularen und Interviews als zu einem Polygraphen. Ich habe noch nie von jemandem gehört, der aus irgendeinem Grund einen Polygraphen für Secret bekommen hat, obwohl ich mehrere Leute kenne, die intensive Interviews und zusätzliche Formulare hatten.
Um unübersichtliche Kommentare zu dieser Antwort weiter zu vermeiden, habe ich eine neue Frage geöffnet: [Wie häufig wird der Polygraph für sicherheitsüberprüfte Jobs verwendet?] (Http://workplace.stackexchange.com/q/1035/148)
@ThomasOwens - Nur damit ich dich nicht hängen lasse. Ich kenne zwei Personen, die als Antwort auf ihren SF-86 und / oder ihre in ihrem SF-86 selbst aufgeführte Vorgeschichte einen Polygraphen erstellen mussten.
@Ramhound Der SF-86 wird sowohl für Secret als auch für einen Teil der TS- und SCI-Prozesse verwendet. Die Verwendung eines Polygraphen als Teil von etwas anderem als SCI, speziellen Zugriffsprogrammen oder drei der Geheimdienste stellt einen Verstoß gegen die DoD-Richtlinie dar (es sei denn, es gibt eine neuere Richtlinie, die mir nicht bekannt ist, was durchaus möglich sein könnte).
@ThomasOwens - Ich würde die Nachforschungen anstellen, um es herauszufinden, aber ehrlich gesagt würde es zu lange dauern, und ich habe wahrscheinlich kein Glück, es zu finden :-)
#2
+17
Monica Cellio
2012-04-26 19:26:42 UTC
view on stackexchange narkive permalink

Ich habe eine Sicherheitsüberprüfung. Tatsächliche klassifizierte Arbeiten werden in einem getrennten Netzwerk (nicht mit dem Internet verbunden) in Räumen mit besonderen Sicherheitsbestimmungen ausgeführt. Allerdings sind die meisten Arbeiten nicht klassifiziert. Wir erledigen unsere Arbeit (Entwicklung von Software) in einer normalen Büroumgebung. Wenn wir Zugriff auf klassifizierte Daten benötigen, gehen wir ins Labor.

Die meisten großen Unternehmen haben einige IT-Einschränkungen. Websites wie YouTube, Facebook und Blogspot sind wahrscheinlich blockiert. Dies hat jedoch nichts mit Sicherheitsüberprüfungen zu tun.

Wenn Sie in einem Unternehmen ein Interview führen, für das eine Sicherheitsüberprüfung erforderlich ist, stehen die Chancen sehr gut, dass sie weiterhin in ausreichendem Maße mit Ihnen über die Arbeit sprechen können Detail für Sie zu entscheiden, ob Sie dort arbeiten möchten. Nicht alles, was in einem solchen Unternehmen passiert, ist klassifiziert.

Wenn die gesamte Einrichtung klassifiziert ist (es ist ein großes Klassenlabor), können Sie ohne Genehmigung nicht durch die Tür gehen.

Obwohl ich dem im Allgemeinen zustimme, habe ich Jobs gearbeitet, bei denen die Sicherheitspolitik einige ziemlich drakonische Maßnahmen vorschrieb. Das BCBS-Büro in Dallas bietet beispielsweise kein Internet-Gateway für das interne kabelgebundene Netzwerk. Dies verhindert ganz einfach die Übertragung vertraulicher Daten von einem internen Computer auf einen externen Computer über das Internet, unabhängig davon, ob die Übertragung von außen (Hacker) oder von innen (Maulwürfe) initiiert wird. IIRC-Flash-Laufwerke wurden ebenfalls verboten.
+1 für die Erwähnung der Frage nach Sicherheitsmaßnahmen im Interviewprozess. Das Interview ist ein wechselseitiger Prozess, und Sie sollten herausfinden, dass das Unternehmen währenddessen für Sie richtig ist. Einige Leute können ohne Internetzugang gut arbeiten. Andere (wie ich) können nicht :)
@KeithS Solche Sicherheitsmaßnahmen (Luftspalte) sind häufig in den sicheren / klassifizierten Netzwerken von Verteidigungsunternehmen vorhanden (denken Sie an "HIPAA on Crack" :) - abhängig von der erforderlichen Sicherheitsstufe, die möglicherweise zwei Computer auf Ihrem Schreibtisch bedeutet (Internet & sicheres Netz) oder etwas mehr beteiligt.
@KeithS, true; Sicherheit ist ein breiteres Thema. Die Frage schien sich speziell auf Sicherheitsüberprüfungen zu konzentrieren, weshalb ich nicht auf andere Sicherheitsfragen eingegangen bin.
@KeithS - Wollen Sie damit sagen, dass BCBS überhaupt keine Internetverbindung hat? Wenn ich verstehe, dass zwei Netzwerke ein internes und ein externes Netzwerk sind, kann die Office-Richtlinie die Übertragung vertraulicher Daten verhindern, ähnlich wie das Verbot von Flash-Laufwerken.
#3
+10
bethlakshmi
2012-04-27 00:51:27 UTC
view on stackexchange narkive permalink

Ich habe im Laufe meiner Karriere sowohl im privaten Sektor als auch in verteidigungspflichtigen Verteidigungsprojekten gearbeitet. Ich mag beide, aber ich würde sagen, dass sie unterschiedlich sind.

Es gibt keine "Einheitsgröße" für Arbeiten, die eine Freigabe erfordern. Ich rate Ihnen dringend, jede sich bietende Gelegenheit in Betracht zu ziehen.

Hier einige Variationspunkte:

  • Sicherheitskontrollen, die für den Umgang mit Verschlusssachen erforderlich sind. Die Empfindlichkeit der Informationen und die Art des Projekts werden dies bestimmen. Sie variiert sowohl für gedrucktes als auch für elektronisches Material. Es kann so einfach sein, Papierkram nicht aus dem Raum zu entfernen, in dem Sie arbeiten, oder so hart, als müssten Sie vor Ihrer Abreise geheime Informationen in einem Safe aufbewahren.
  • Die Art der Arbeitsumgebung - kann Seien Sie alles von einem völlig isolierten LAN bis hin zur Arbeit in einem Unternehmensnetzwerk, das sich nicht grundlegend von anderen Unternehmen unterscheidet. Ich habe noch keine Entwicklerposition gesehen oder gehört, die Mitarbeitern jeglichen Zugang zum Internet für legitime arbeitsbezogene Browsing-Zwecke völlig verweigert hat. Der Kilometerstand hängt erheblich von der Definition von "legitim" und dem Grad der Netzwerksperre ab.
  • Der Stand der Technik. Im Gegensatz zu den derzeit bekannten Technologieunternehmen hat die Verteidigungsindustrie einen SEHR langen Lebenszyklus. Die Ausrüstung eines ganzen Militärdienstes ist nicht trivial. Dies ist eine der wenigen Branchen, in denen noch immer sehr alte technologische Fähigkeiten erforderlich sind. Wenn dies Ihre Tasse Tee ist, sind die intern verfügbaren Ressourcen häufig BESSER als die Ressourcen im Internet.
  • Instrusivität für den Hintergrund Die Prüfung hängt sowohl von der Freigabestufe als auch von der Art des Materials ab, auf das zugegriffen wird, und von der Art der Regierungsstelle, für die Sie arbeiten. Beachten Sie, dass nicht jede Kriegsgeschichte, die Sie hören, auf die Verfahren des Prozesses angewendet wird, den Sie durchlaufen.

Dinge, die nicht variieren - die Qualität der Mitarbeiter, die Qualität des Managements. Es gibt unglaublich kluge Leute in dieser Branche und einige wirklich großartige Manager. Und da sind die polaren Gegensätze. Zum größten Teil neigen die Fantastischen dazu, sich im Hintergrund zu halten und sehr entspannt zu sein ... es ist keine Branche für auffällige Show-Off-Persönlichkeitstypen, da so viel von der Arbeit nur von einer begrenzten Community gesehen wird.

COTS-Technologien - Obwohl es viele Spezialcodes gibt, ist COTS für Regierungen ebenso verführerisch wie für private Unternehmen. Es gibt viele Möglichkeiten, auf dem neuesten Stand der marktübergreifenden COTS-Produkte zu bleiben.

Fragen, die Sie stellen müssen, bevor Sie an Bord gehen

  • Optionen für die Vereinbarkeit von Beruf und Privatleben - sind wahrscheinlich unterschiedlich. Unternehmen suchen immer noch nach kreativen Antworten, aber einige der physischen Sicherheitsmaßnahmen sind zu Hause einfach nicht verfügbar - wie bei jedem Unternehmen -, um die Regeln und die Unternehmenskultur vor dem Beitritt herauszufinden.

  • die Art der Hintergrundüberprüfung - sie sollten wissen, welche Freigabe Sie haben sollen. Und wie aufdringlich das sein wird. Machen Sie sich auch ein Bild davon, wie viel höher Ihr Freiraumbedarf sein kann. Oft starten Unternehmen jemanden auf einer niedrigeren Ebene, da das Upgrade von Freigaben teuer ist und die Anzahl der Slots auf höheren Ebenen nicht unendlich ist. Holen Sie sich also sowohl das Hören und Antworten als auch das Nehmen in der Zukunft.

  • Was ist die Technologie des Projekts? Wie hoch ist die Wahrscheinlichkeit eines Wechsels zwischen Projekten und welche andere Technologie könnte beteiligt sein? Sie können normalerweise keine bestimmten Fragen beantworten. "Dieses Projekt verwendet X / Y / Z-Fragen. Sie sollten Ihnen jedoch einen Eindruck davon vermitteln können, ob es sich bei dem gesamten Ort um einen JEE-Shop handelt oder ob es sich um 10% .NET und 90% VAX handelt Programmierung!

  • Wie reagiert man auf eine Sicherheitsverletzung? Jeder vermasselt es hin und wieder - die große Frage ist, was das Unternehmen als Antwort tut. Wenn Sie wissen, wie dies funktioniert, bevor Sie hineingehen, können Sie entscheiden, ob diese Arbeit für Sie geeignet ist.

Ihre letzte Kugel hängt stark von den Umständen ab. Die Konsequenzen des versehentlichen Versendens klassifizierter Daten an einen Mitarbeiter, der dies per nicht klassifizierter E-Mail wissen muss (Ohrfeige), unterscheiden sich stark davon, dass Fehler häufig genug gemacht werden, um fahrlässig zu wirken (Verlust der Freigabe und in der Regel Ihre Arbeit) Dies ist wiederum etwas ganz anderes als die absichtliche Übermittlung von Informationen an eine ausländische Regierung (langwierig, alle Ausgaben bezahlt, Reise zur Club Fed).
@bethlakshmi - Wir können unseren Hass gegenüber VAX teilen!
@Dan - vereinbart. Aber mit einem Arbeitgeber zu sprechen und dies sowohl in Bezug auf die Art des Verstoßes als auch auf die Reaktion auf verschiedene Arten von Verstößen zu wissen, ist ein wirklich gutes Gespräch, bevor Sie sich anmelden und den schwierigen Weg herausfinden.
#4
+7
Mark Booth
2012-04-26 19:20:29 UTC
view on stackexchange narkive permalink

Mein erster Job nach dem Studium war für einen Verteidigungsunternehmer. Nach ein paar Jahren ging ich weiter, denn obwohl ich an Verteidigungssystemen und nicht an Angriffssystemen arbeitete, entschied ich, dass dies zu sehr mit meiner moralischen Haltung in Konflikt stand. Diese Seite der Dinge ist eine persönliche Entscheidung, die nur Sie beantworten können.

Als ich in den kommerziellen Sektor wechselte, gab es kaum einen Unterschied. Die von mir geleistete Arbeit war eher unter Geheimhaltungsvereinbarungen als unter dem Official Secrets Act geregelt, aber es lag immer noch in meiner Verantwortung, das Vertrauen meines Arbeitgebers in Bezug auf meine Arbeit zu wahren.

In beiden Umgebungen konnte ich darüber sprechen, wie ich behandelt wurde, mich über enge Zeitpläne beschweren und (in unspezifischen Begriffen) Kunden beklagen, die ihre Spezifikationen ständig ändern, und in keiner Umgebung konnte ich darüber sprechen, wer Mein Kunde war oder was ich mit aufgebaut habe.

Überall dort, wo ernsthafte Sicherheitsbedenken bestehen, gelten spezielle Richtlinien, um diese Bedenken auszuräumen. Unabhängig davon, ob Sie an Raketenleitsystemen oder an Antivirensoftware arbeiten, gibt es möglicherweise einige Netzwerke ohne Verbindung zum Internet. Möglicherweise müssen Sie sogar in einem TEMPEST-gehärteten Tresor arbeiten, in dem Sie nach Telefonen / Memory Sticks gesucht werden, bevor Sie Zutritt erhalten. In einer kommerziellen Umgebung könnten Sie jedoch leicht in einem Hinterzimmer oder Keller ohne Tageslicht und einem von einem BOFH eingerichteten Proxyserver stecken bleiben.

Alternativ können Sie dies auch tun Sie haben einen Schreibtisch mit mehreren Computern und einen Luftspalt zwischen ihnen. Um von einem sicheren Netzwerkcomputer zu einem internetfähigen Computer zu wechseln, müssen Sie lediglich von einer Tastatur zur anderen wechseln. Sicher, Sie verlieren die Möglichkeit, zwischen ihnen zu kopieren / einzufügen (im Vergleich zur Verwendung eines VPN für den Zugriff auf ein sichereres Netzwerk), aber dies hat keinen so großen Einfluss auf die Produktivität .

Letztendlich unterscheidet sich ein sicherheitsgeprüfter Job nicht wirklich von einem anderen Job, sondern nur, dass die Prioritäten und Konsequenzen sehr unterschiedlich sein können. Wenn Sie nicht glauben, dass Sie ethisch damit umgehen können, meiden Sie es, sonst halten Sie Ihre Nase sauber und Sie könnten an einigen interessanten und einzigartigen Projekten arbeiten.

@Ramhound - Ich dachte, das habe ich in meinem zweiten und letzten Absatz gesagt.
#5
+4
Jay
2016-01-19 11:44:03 UTC
view on stackexchange narkive permalink

Ich habe 15 Jahre in der Verteidigungsindustrie verbracht, und ich denke, das Wichtigste, was ich Ihnen über die Auswirkungen der Sicherheit auf Ihre Arbeitsumgebung sagen kann, ist, dass sie sehr unterschiedlich ist.

Das habe ich regelmäßig festgestellt Anweisungen aus dem Pentagon schienen mir ziemlich vernünftig und vernünftig. Dann würden unsere Sicherheitskräfte vor Ort sie auf eine Weise interpretieren, die ich für bizarr hielt.

Zum Beispiel gab es eine Pentagon-Richtlinie, die besagte, dass Sie Software nicht von unbekannten oder nicht vertrauenswürdigen Sites herunterladen und auf Regierungscomputern installieren sollten. Nun, das schien mir ein gesunder Menschenverstand zu sein: Laden Sie kein Spiel von hackers-are-us.com herunter und installieren Sie es auf einem sicheren System. Damit hatte ich kein Problem. Unsere Sicherheitsmitarbeiter interpretierten dies so, dass wir keine Open-Source-Software verwenden konnten.

Beispiel 2: Das Pentagon sagte, keine Entwicklungsarbeiten an Produktionssystemen durchzuführen. Wieder eine offensichtliche Regel des gesunden Menschenverstandes, dass die meisten Entwickler "duh" sagen würden. Unsere Mitarbeiter der Basissicherheit interpretierten dies so, dass Sie keine Produktions- und Entwicklungssysteme im selben Netzwerk haben könnten, d. H. Wir durften keine Entwicklungsarbeiten im Basisnetzwerk ausführen. Also sagten wir okay, wir richten einfach ein privates Netzwerk für die Entwicklung ein. Nein, sie sagten, alle Computer auf der Basis müssen mit dem Basisnetzwerk verbunden sein, damit wir Sicherheitsrichtlinien verwalten können. Wie sollen wir uns also entwickeln? Sie hatten keine Antwort. Ich habe jahrelang darum getanzt.

Mein Punkt ist, wie die Regeln interpretiert werden, kann durchaus zwischen Basen, Unternehmen usw. variieren.

Positiv ist, dass ich einmal einen Vortrag über besucht habe Sicherheit, bei der sie sagten, dass Sicherheitsregeln ein Gleichgewicht zwischen der Strenge, um Unbefugte fernzuhalten, und der Lockerheit schaffen müssen, damit befugte Personen ihre Arbeit erledigen können.

Wie fast überall im Leben gibt es sie rationale Leute und es gibt verrückte Leute.

#6
+2
Adam Wuerl
2013-03-09 21:33:22 UTC
view on stackexchange narkive permalink

Sicherheitsrichtlinien

Sicherheitsrichtlinien für klassifizierte Arbeiten variieren stark in Abhängigkeit von der Klassifizierungsstufe des Programms, des Unternehmens und des tatsächlichen Personals, das die Sicherheitsrichtlinien erstellt. Ein Extrem sind Programme, bei denen die überwiegende Mehrheit der Arbeiten nicht klassifiziert ist und in nicht klassifizierten Netzwerken ausgeführt wird und mit Ausnahme sehr spezifischer technischer Details frei diskutiert werden kann. In solchen Fällen könnten sogar ganze Softwarespezifikationen und Algorithmusdokumente nicht klassifiziert werden und nur die tatsächlichen Leistungszahlen würden geschützt. In diesen Fällen befindet sich Ihre Arbeit möglicherweise vollständig in der weißen Welt und wird erst klassifiziert, wenn sie mit klassifizierten Eingaben gepaart wurde. In einer solchen Situation können Sie vor dem Start viel über den potenziellen Job sprechen und viel darüber lernen.

Am anderen Ende des Spektrums befinden sich Programme, deren Namen klassifiziert sind. Fast alle Programmarbeiten werden in dedizierten Netzwerken ohne Internetverbindung und mit langwierigen Einwegprozessen durchgeführt, um Informationen von der nicht klassifizierten Seite auf sie zu übertragen (z. B. Brennen von CDs). In dieser Art von Umgebung haben Sie möglicherweise nur an Computern vom Typ Kiosk Zugang zum Internet, die weit von Ihrer normalen Schreibtisch- oder Laborarbeitsumgebung entfernt sind. Dies würde Sie daran hindern, Google oder Stack Overflow während der Arbeit zu verwenden. Darüber hinaus wird die Hardware- und Softwarekonfiguration der Geräte im Netzwerk genau überwacht und kann nicht ohne umfangreiche Unterlagen geändert werden. Dies bedeutet, dass die Maschinen oft langsam und veraltet sind, der Festplattenspeicher oft knapp ist, die Software veraltet und selten gepatcht ist und die Beschaffung neuer Software zur Unterstützung Ihrer Arbeit von einem großen Schmerz abhängt, der dies wahrscheinlich nicht der Fall macht die Mühe wert, gerade noch unmöglich zu machen. Zum Teil ist es diese Umgebung, die den unglaublichen Kosten von Verteidigungsprogrammen zugrunde liegt.

Freigabeprozess

Der Freigabeprozess ist auch eine Funktion der Art der Freigabe. Im einfachsten Fall handelt es sich um einen Fragebogen darüber, wo Sie gelebt und gearbeitet haben. Viel Papierkram, aber nicht schlecht, und wenn Sie nicht viel Zeit im Ausland verbracht haben oder Kontakte zu Ausländern haben, ist dies unkompliziert. Für höhere Ebenen gibt es mehr Fragen, die weiter zurückreichen, und der Prozess beinhaltet persönliche Interviews mit Ermittlern, die auch mit Freunden und Familie und letztendlich mit Personen sprechen, die Sie kennen und deren Namen Sie nicht angegeben haben. Möglicherweise sind Polygraphen sowohl anfangs als auch in regelmäßigen Abständen erforderlich, und Sie müssen möglicherweise die vorherige Erlaubnis einholen, um Auslandsreisen zu unternehmen.

Risiko und Belohnung

Die Arbeit in einem Unternehmen kann also klare Nachteile haben klassifizierte Umgebung und für viele ist es nicht ihre Tasse Tee. Das heißt, es gibt Dinge, die in solchen Umgebungen entwickelt wurden, die Lichtjahre vor allem sind, was in der Außenwelt passiert. Die Schwierigkeiten und Unannehmlichkeiten werden oft durch die zwingende Natur überwältigt, an diesen Problemen zu arbeiten und sie zu lösen und in der Lage zu sein, eng mit Weltexperten in bestimmten Technologien und Bereichen zusammenzuarbeiten.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...