Властью, данной мне как Президенту Конституцией и законами Соединенных Штатов Америки, включая Закон о международных чрезвычайных экономических полномочиях (50 USC 1701 и далее ), Закон о национальных чрезвычайных ситуациях (50 USC 1601 и далее ), раздел 212(f) Закона об иммиграции и гражданстве 1952 года (8 USC 1182(f)) и раздел 301 титула 3 Свода законов Соединенных Штатов, настоящим постановляю следующее:
Раздел 1. Политика. Враждебные страны и преступники продолжают проводить киберкампании, нацеленные на Соединенные Штаты и американцев, причем Китайская Народная Республика представляет собой наиболее активную и постоянную киберугрозу правительству Соединенных Штатов, частному сектору и критически важным инфраструктурным сетям. Эти кампании нарушают предоставление критически важных услуг по всей стране, обходятся в миллиарды долларов и подрывают безопасность и конфиденциальность американцев. Необходимо сделать больше для улучшения кибербезопасности страны против этих угроз.
Основываясь на основополагающих шагах, которые я указал в Указе 14028 от 12 мая 2021 года (Улучшение кибербезопасности страны), и инициативах, подробно изложенных в Национальной стратегии кибербезопасности, я приказываю предпринять дополнительные действия по улучшению кибербезопасности нашей страны, сосредоточившись на защите нашей цифровой инфраструктуры, обеспечении безопасности услуг и возможностей, наиболее важных для цифровой сферы, и наращивании нашего потенциала по устранению ключевых угроз, в том числе исходящих от Китайской Народной Республики. Улучшение подотчетности поставщиков программного обеспечения и облачных услуг, укрепление безопасности федеральных систем связи и управления идентификацией, а также содействие инновационным разработкам и использованию новых технологий для кибербезопасности в исполнительных департаментах и агентствах (агентствах) и в частном секторе особенно важны для улучшения кибербезопасности страны.
Раздел 2. Операционная прозрачность и безопасность в цепочках поставок стороннего программного обеспечения. (a) Федеральное правительство и критическая инфраструктура нашей страны зависят от поставщиков программного обеспечения. Тем не менее, небезопасное программное обеспечение остается проблемой как для поставщиков, так и для пользователей и делает федеральное правительство и критические инфраструктурные системы уязвимыми для вредоносных киберинцидентов. Федеральное правительство должно продолжать внедрять безопасные методы приобретения программного обеспечения и принимать меры, чтобы поставщики программного обеспечения использовали безопасные методы разработки программного обеспечения для сокращения количества и серьезности уязвимостей в программном обеспечении, которое они производят.
(b) Исполнительный указ 14028 предписывал действия по улучшению безопасности и целостности программного обеспечения, критически важного для способности федерального правительства функционировать. Исполнительный указ 14028 предписывал разработку руководства по безопасным методам разработки программного обеспечения и по созданию и предоставлению доказательств в форме артефактов — компьютерных записей или данных, которые создаются вручную или автоматизированными средствами, — которые демонстрируют соблюдение этих методов. Кроме того, он предписывал директору Управления по управлению и бюджету (OMB) требовать от агентств использовать программное обеспечение только от поставщиков, которые подтверждают использование этих безопасных методов разработки программного обеспечения. В некоторых случаях поставщики программного обеспечения для федерального правительства обязуются следовать методам кибербезопасности, но не устраняют общеизвестные уязвимости, которые можно эксплуатировать, в своем программном обеспечении, что подвергает правительство риску компрометации. Федеральному правительству необходимо принять более строгие методы управления рисками третьих сторон и обеспечить большую уверенность в том, что поставщики программного обеспечения, которые поддерживают критически важные государственные услуги, следуют методам, которые они подтверждают.
(i) В течение 30 дней с даты настоящего распоряжения директор OMB по согласованию с министром торговли, действующим через директора Национального института стандартов и технологий (NIST), и министром внутренней безопасности, действующим через директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA), должен рекомендовать Федеральному совету по регулированию закупок (Совет FAR) текст контракта, требующий от поставщиков программного обеспечения представлять в CISA через Репозиторий CISA для подтверждения подлинности программного обеспечения и артефактов (RSAA):
(A) машиночитаемые сертификаты разработки безопасного программного обеспечения;
(B) артефакты высокого уровня для подтверждения этих свидетельств; и
(C) список клиентов программного обеспечения агентств Федеральной гражданской исполнительной власти (FCEB) поставщика.
(ii) В течение 120 дней с момента получения рекомендаций, описанных в подпункте (b)(i) настоящего раздела, Совет FAR должен рассмотреть рекомендации и, в зависимости от обстоятельств и в соответствии с применимым законодательством, Министр обороны, Администратор общих служб и Администратор Национального управления по аэронавтике и исследованию космического пространства (агентства-члены Совета FAR) должны совместно предпринять шаги по внесению поправок в Федеральное положение о закупках (FAR) для реализации этих рекомендаций. Агентствам-членам Совета FAR настоятельно рекомендуется рассмотреть возможность выпуска временного окончательного правила, в зависимости от обстоятельств и в соответствии с применимым законодательством.
(iii) В течение 60 дней с даты выпуска рекомендаций, описанных в подпункте (b)(i) настоящего раздела, министр внутренней безопасности, действующий через директора CISA, должен оценить появляющиеся методы создания, получения и проверки аттестатов и артефактов разработки безопасного машиночитаемого программного обеспечения и, при необходимости, предоставить поставщикам программного обеспечения руководство по их представлению на веб-сайт RSAA CISA, включая общую схему и формат данных.
(iv) В течение 30 дней с даты внесения любых поправок в FAR, описанных в подпункте (b)(ii) настоящего раздела, министр внутренней безопасности, действующий через директора CISA, должен разработать программу централизованной проверки полноты всех форм подтверждения. CISA должен постоянно проверять выборку полных подтверждений с использованием высокоуровневых артефактов в RSAA.
(v) Если CISA обнаружит, что подтверждения неполны или артефактов недостаточно для проверки подтверждений, директор CISA должен уведомить поставщика программного обеспечения и подрядную организацию. Директор CISA должен предоставить поставщику программного обеспечения процесс ответа на первоначальное определение CISA и должен должным образом рассмотреть ответ.
(vi) Для аттестаций, которые проходят проверку, Директор CISA должен информировать Национального директора по кибербезопасности, который должен публично опубликовать результаты, указав поставщиков программного обеспечения и версию программного обеспечения. Национальному директору по кибербезопасности рекомендуется направлять аттестации, которые не прошли проверку, Генеральному прокурору для принятия соответствующих мер.
(c) Безопасные методы разработки программного обеспечения недостаточны для устранения потенциальных киберинцидентов со стороны обеспеченных ресурсами и решительных субъектов национального государства. Чтобы снизить риск возникновения таких инцидентов, поставщики программного обеспечения должны также учитывать способ поставки программного обеспечения и безопасность самого программного обеспечения. Федеральное правительство должно определить скоординированный набор практических и эффективных методов обеспечения безопасности, которые необходимо требовать при закупке программного обеспечения.
(i) В течение 60 дней с даты настоящего приказа министр торговли, действующий через директора NIST, должен создать консорциум с промышленностью в Национальном центре передового опыта в области кибербезопасности для разработки руководства, информированного консорциумом по мере необходимости, которое демонстрирует реализацию безопасных методов разработки программного обеспечения, безопасности и эксплуатации на основе Специальной публикации NIST 800-218 ( Secure Software Development Framework (SSDF)).
(ii) В течение 90 дней с даты настоящего приказа министр торговли, действующий через директора NIST, должен обновить Специальную публикацию NIST 800-53 ( Контроль безопасности и конфиденциальности для информационных систем и организаций ), чтобы предоставить руководство по безопасному и надежному развертыванию исправлений и обновлений.
(iii) В течение 180 дней с даты настоящего приказа министр торговли, действующий через директора NIST, в консультации с главами таких агентств, которые директор NIST сочтет необходимыми, должен разработать и опубликовать предварительное обновление SSDF . Это обновление должно включать практики, процедуры, элементы управления и примеры внедрения, касающиеся безопасной и надежной разработки и поставки программного обеспечения, а также безопасности самого программного обеспечения. В течение 120 дней с даты публикации предварительного обновления министр торговли, действующий через директора NIST, должен опубликовать окончательную версию обновленного SSDF.
(iv) В течение 120 дней с момента окончательного обновления SSDF, описанного в подпункте (c)(iii) настоящего раздела, директор OMB должен включить избранные практики безопасной разработки и поставки программного обеспечения, содержащиеся в обновленном SSDF NIST, в требования Меморандума OMB M-22-18 ( Повышение безопасности цепочки поставок программного обеспечения с помощью безопасных методов разработки программного обеспечения ) или связанные с ними требования.
(v) В течение 30 дней с момента выпуска обновленных требований OMB, описанных в подпункте (c)(iv) настоящего раздела, директор CISA должен подготовить любые изменения в общей форме CISA для подтверждения разработки безопасного программного обеспечения, чтобы они соответствовали требованиям OMB, и должен инициировать любой процесс, необходимый для получения разрешения на пересмотренную форму в соответствии с Законом о сокращении документооборота, 44 USC 3501 и далее .
(d) Поскольку агентства улучшили свою киберзащиту, злоумышленники нацелились на слабые звенья в цепочках поставок агентств, а также на продукты и услуги, на которые полагается федеральное правительство. Агентствам необходимо интегрировать программы управления рисками цепочки поставок кибербезопасности в общекорпоративные мероприятия по управлению рисками. В течение 90 дней с даты настоящего приказа директор OMB в координации с министром торговли, действуя через директора NIST, администратора общих служб и Федерального совета по безопасности закупок (FASC), должен предпринять шаги, чтобы потребовать, если директор сочтет это целесообразным, чтобы агентства соблюдали руководство в Специальной публикации NIST 800-161 ( Практики управления рисками цепочки поставок кибербезопасности для систем и организаций (SP 800-161, редакция 1)). OMB должен потребовать от агентств предоставлять OMB ежегодные обновления по мере завершения внедрения. В соответствии с SP 800-161, редакция 1, требования OMB должны охватывать интеграцию кибербезопасности в жизненный цикл закупок посредством планирования закупок, выбора источника, определения ответственности, оценки соответствия требованиям безопасности, администрирования контрактов и оценки эффективности.
(e) Программное обеспечение с открытым исходным кодом играет важнейшую роль в федеральных информационных системах. Чтобы помочь федеральному правительству продолжать извлекать пользу из инноваций и затрат программного обеспечения с открытым исходным кодом и вносить вклад в кибербезопасность экосистемы программного обеспечения с открытым исходным кодом, агентства должны лучше управлять использованием программного обеспечения с открытым исходным кодом. В течение 120 дней с даты настоящего распоряжения министр внутренней безопасности, действующий через директора CISA, и директор OMB, консультируясь с администратором общих служб и главами других агентств по мере необходимости, совместно выпустят рекомендации агентствам по использованию оценок безопасности и исправлению программного обеспечения с открытым исходным кодом, а также передовой практики для содействия проектам программного обеспечения с открытым исходным кодом.
Раздел 3. Улучшение кибербезопасности федеральных систем. (a) Федеральное правительство должно перенять проверенные отраслевые методы обеспечения безопасности, включив их в управление идентификацией и доступом, чтобы улучшить видимость угроз безопасности в сетях и усилить безопасность облаков.
(b) Для приоритизации инвестиций в инновационные технологии и процессы идентификации будущего, а также в варианты аутентификации, устойчивые к фишингу, агентства FCEB должны начать использовать в пилотных развертываниях или в более крупных развертываниях, в зависимости от ситуации, коммерческие стандарты, устойчивые к фишингу, такие как WebAuthn, основываясь на развертываниях, которые OMB и CISA разработали и внедрили с момента выпуска Указа 14028. Эти пилотные развертывания должны использоваться для информирования о будущих направлениях федеральных стратегий идентификации, аутентификации и управления доступом.
(c) Федеральное правительство должно поддерживать способность быстро и эффективно выявлять угрозы в рамках федерального предприятия. В Указе 14028 я поручил министру обороны и министру внутренней безопасности установить процедуры для немедленного обмена информацией об угрозах с целью укрепления коллективной защиты Министерства обороны и гражданских сетей. Для обеспечения идентификации деятельности по угрозам необходимо усилить способность CISA выслеживать и выявлять угрозы в агентствах FCEB в соответствии с 44 USC 3553(b)(7).
(i) Министр внутренней безопасности, действуя через директора CISA, в координации с Советом федеральных директоров по информации (CIO) и Советом федеральных директоров по информационной безопасности (CISO), должен разработать технические возможности для получения своевременного доступа к необходимым данным из решений по обнаружению и реагированию на конечные точки (EDR) агентства FCEB и из центров безопасности агентств FCEB, чтобы обеспечить:
(A) своевременный поиск и выявление новых киберугроз и уязвимостей в федеральных гражданских предприятиях;
(B) выявление скоординированных киберкампаний, которые одновременно нацелены на несколько агентств и распространяются горизонтально по всему федеральному предприятию; и
(C) координация общегосударственных усилий по политике и практике обеспечения информационной безопасности, включая сбор и анализ информации об инцидентах, угрожающих информационной безопасности.
(ii) В течение 180 дней с даты настоящего приказа министр внутренней безопасности, действующий через директора CISA, в координации с федеральными советами CIO и CISO, должен разработать и опубликовать концепцию операций, которая позволит CISA получить своевременный доступ к необходимым данным для достижения целей, описанных в подпункте (c)(i) настоящего раздела. Директор OMB должен контролировать разработку этой концепции операций для учета перспектив агентства и целей, изложенных в настоящем разделе, и должен утвердить окончательную концепцию операций. Эта концепция операций должна включать:
(A) требования к агентствам FCEB предоставлять CISA данные достаточной полноты и в сроки, необходимые для того, чтобы CISA могла достичь целей, описанных в подпункте (c)(i) настоящего раздела;
(B) требования к CISA предоставлять агентствам FCEB заблаговременные уведомления, когда CISA напрямую обращается к решениям EDR агентств для получения необходимой телеметрии;
(C) конкретные случаи использования, для которых агентства могут предоставлять телеметрические данные в соответствии с требованиями подпункта (c)(ii)(A) настоящего раздела в отличие от прямого доступа к решениям EDR со стороны CISA;
(D) требования к техническому и политическому контролю высокого уровня для управления доступом CISA к решениям EDR агентства, которые соответствуют общепринятым принципам кибербезопасности, включая контроль доступа на основе ролей, «наименьшие привилегии» и разделение обязанностей;
(E) особые меры защиты для особо конфиденциальных данных агентства, на которые распространяются законодательные, нормативные или судебные ограничения для защиты конфиденциальности или целостности; и
(F) приложение к концепции операций, которое определяет и рассматривает определенные типы конкретных случаев использования в соответствии с подпунктом (c)(ii)(C) настоящего раздела, которые применяются к Министерству юстиции, включая определенные категории информации, описанные в подпунктах (c)(vi) и (c)(vii) настоящего раздела, и требует согласия Министерства юстиции на условия приложения до внедрения концепции операций в сетях Министерства юстиции или его подкомпонентов.
(iii) При выполнении действий, описанных в подпункте (c) настоящего раздела, министр внутренней безопасности, действующий через директора CISA, должен вносить изменения в сеть, систему или данные агентства только в том случае, если такие изменения необходимы для отслеживания угроз со стороны CISA, включая доступ к инструментам EDR, описанным в подпункте (c)(ii) настоящего раздела, или в целях реализации его полномочий по проведению отслеживания угроз, разрешенных в соответствии с 44 USC 3553(b)(7), если иное не разрешено агентством.
(iv) В течение 30 дней с момента выпуска концепции операций, описанной в подпункте (c)(ii) настоящего раздела, министр внутренней безопасности, действующий через директора CISA, должен создать рабочие группы, открытые для всех агентств, для разработки и выпуска конкретных технических средств контроля, которые достигают целей, изложенных в подпункте (c)(ii) настоящего раздела, и для работы с поставщиками решений EDR для внедрения этих средств контроля в развертываниях решений EDR агентствами FCEB. Министр внутренней безопасности, действующий через директора CISA, должен, как минимум, создать рабочую группу для каждого решения EDR, разрешенного CISA для использования в Программе непрерывной диагностики и смягчения последствий CISA. Каждая рабочая группа должна быть открыта для всех агентств и включать по крайней мере одного представителя агентства FCEB, использующего назначенное решение EDR.
(v) В течение 180 дней с момента выпуска технических средств контроля, описанных в подпункте (c)(iv) настоящего раздела, руководители агентств FCEB должны зарегистрировать конечные точки, использующие решение EDR, охватываемое этими средствами контроля, в программе CISA Persistent Access Capability.
(vi) В течение 90 дней с даты настоящего приказа и периодически по мере необходимости впоследствии руководители агентств FCEB должны предоставить CISA список систем, конечных точек и наборов данных, требующих дополнительного контроля или периодов бесперебойной работы, чтобы гарантировать, что деятельность CISA по выявлению угроз не нарушит критически важные операции, а также объяснение этих операций.
(vii) В случаях, когда данные агентства подпадают под законодательные, нормативные или судебные ограничения доступа, директор CISA должен соблюдать процессы и процедуры агентства, необходимые для доступа к таким данным, или сотрудничать с агентством для разработки надлежащего административного решения, соответствующего любым таким ограничениям, чтобы данные не подвергались несанкционированному доступу или использованию.
(viii) Ничто в настоящем приказе не требует от агентства предоставлять доступ к информации, которая защищена от неразглашения постановлением суда или иным образом должна храниться в тайне в связи с судебным разбирательством.
(d) Безопасность федеральных информационных систем зависит от безопасности облачных сервисов правительства. В течение 90 дней с даты настоящего распоряжения Администратор общих служб, действующий через директора Федеральной программы управления рисками и авторизацией (FedRAMP), в координации с министром торговли, действующим через директора NIST, и министром внутренней безопасности, действующим через директора CISA, должен разработать политику и практику FedRAMP, чтобы стимулировать или потребовать от поставщиков облачных сервисов на рынке FedRAMP разрабатывать базовые показатели со спецификациями и рекомендациями по настройке облачных систем агентства для обеспечения безопасности федеральных данных на основе требований агентства.
(e) Поскольку киберугрозы космическим системам растут, эти системы и их поддерживающая цифровая инфраструктура должны быть спроектированы так, чтобы адаптироваться к меняющимся киберугрозам и работать в спорных условиях. В свете ключевой роли, которую космические системы играют в глобальной критической инфраструктуре и устойчивости связи, а также для дальнейшей защиты космических систем и поддерживающей цифровой инфраструктуры, жизненно важной для нашей национальной безопасности, включая нашу экономическую безопасность, агентства должны предпринять шаги для постоянной проверки того, что федеральные космические системы обладают необходимыми возможностями кибербезопасности, посредством действий, включая постоянные оценки, испытания, учения, моделирование и имитацию.
(i) В течение 180 дней с даты настоящего приказа министр внутренних дел, действующий через директора Геологической службы США; министр торговли, действующий через заместителя министра торговли по вопросам океанов и атмосферы и администратора Национального управления океанических и атмосферных исследований; и администратор Национального управления по аэронавтике и исследованию космического пространства должны рассмотреть требования к гражданским космическим контрактам в FAR и рекомендовать Совету FAR и другим соответствующим агентствам обновления требований к гражданской космической кибербезопасности и соответствующие формулировки контракта. Рекомендуемые требования к кибербезопасности и формулировки контракта должны использовать основанный на рисках многоуровневый подход для всех новых гражданских космических систем. Такие требования должны быть разработаны для применения как минимум к орбитальным сегментам гражданских космических систем и соединительным сегментам. Требования должны охватывать следующие элементы для уровня с наивысшим риском и, при необходимости, других уровней:
(A) защита командования и управления гражданской космической системой, включая резервные или отказоустойчивые системы, путем:
(1) шифрование команд для защиты конфиденциальности сообщений;
(2) обеспечение того, чтобы команды не изменялись в процессе передачи;
(3) обеспечение того, чтобы источником команд была уполномоченная сторона; и
(4) отклонение несанкционированных попыток командования и контроля;
(B) разработка методов обнаружения, сообщения о ненормальной сетевой или системной активности и восстановления после нее;
(C) использование безопасных методов разработки программного и аппаратного обеспечения, соответствующих NIST SSDF или любым последующим документам.
(ii) В течение 180 дней с момента получения рекомендуемого текста контракта, описанного в подпункте (e)(i) настоящего раздела, Совет FAR должен рассмотреть предложение, и, в зависимости от обстоятельств и в соответствии с действующим законодательством, члены Совета FAR, представляющие агентства, должны совместно предпринять шаги по внесению поправок в FAR.
(iii) В течение 120 дней с даты этого приказа Национальный кибердиректор должен представить в OMB исследование космических наземных систем, принадлежащих, управляемых или эксплуатируемых агентствами FCEB. Это исследование должно включать:
(A) инвентаризация наземных космических систем;
(B) классифицируется ли каждая космическая наземная система как основная информационная система в соответствии с 44 USC 3505(c), озаглавленная «Перечень основных информационных систем»; и
(C) рекомендации по улучшению киберзащиты и надзора за такими космическими наземными системами.
(iv) В течение 90 дней с момента представления исследования, описанного в подпункте (e)(iii) настоящего раздела, директор OMB должен предпринять соответствующие шаги для обеспечения того, чтобы космические наземные системы, находящиеся в собственности, под управлением или эксплуатируемые агентствами FCEB, соответствовали соответствующим требованиям кибербезопасности, предъявляемым OMB.
Раздел 4. Обеспечение безопасности федеральных коммуникаций. (a) Для повышения безопасности коммуникаций федерального правительства от враждебных государств и преступников федеральное правительство должно внедрить, насколько это осуществимо и соответствует потребностям миссии, надежную аутентификацию личности и шифрование с использованием современных, стандартизированных и коммерчески доступных алгоритмов и протоколов.
(b) Безопасность интернет-трафика зависит от правильной маршрутизации и доставки данных в сеть получателя. Информация о маршрутизации, исходящая и распространяемая через Интернет с использованием протокола BGP, уязвима для атак и неправильной конфигурации.
(i) В течение 90 дней с даты настоящего приказа агентства FCEB должны предпринять шаги для обеспечения того, чтобы все их назначенные ресурсы номеров Интернета (блоки адресов Интернет-протокола (IP) и номера автономных систем) были охвачены Соглашением о регистрационных услугах с Американским реестром номеров Интернета или другим соответствующим региональным реестром Интернета. После этого агентства FCEB должны ежегодно проверять и обновлять в своих учетных записях региональных реестров Интернета организационные идентификаторы, связанные с назначенными ресурсами номеров, такими как названия организаций, контактные лица и связанные адреса электронной почты.
(ii) В течение 120 дней с даты настоящего приказа все агентства FCEB, владеющие блоками IP-адресов, должны создать и опубликовать разрешения на происхождение маршрута в публичном репозитории инфраструктуры открытых ключей ресурсов, размещенном или делегированном Американским реестром интернет-номеров или соответствующим региональным интернет-регистратором для владеемых ими блоков IP-адресов.
(iii) В течение 120 дней с даты настоящего приказа Национальный директор по кибербезопасности в координации с главами других агентств по мере необходимости должен рекомендовать Совету FAR формулировку контракта, требующую от поставщиков интернет-услуг, работающих по контракту, принять и внедрить технологии безопасности маршрутизации в Интернете, включая публикацию Route Origin Authorizations и выполнение фильтрации Route Origin Validation. Рекомендованная формулировка должна включать требования или исключения, по мере необходимости, для агентских контрактов, касающихся зарубежных операций и зарубежных местных поставщиков услуг. В течение 270 дней с момента получения этих рекомендаций Совет FAR должен рассмотреть рекомендуемую формулировку контракта, и, по мере необходимости и в соответствии с применимым законодательством, агентства-члены Совета FAR должны совместно предпринять шаги по внесению поправок в FAR. До внесения любых таких поправок в FAR отдельным агентствам рекомендуется включать такие требования в будущие контракты в соответствии с применимым законодательством.
(iv) В течение 180 дней с даты этого приказа министр торговли, действующий через директора NIST, должен опубликовать обновленное руководство для агентств по развертыванию текущих, операционно жизнеспособных методов безопасности BGP для сетей и поставщиков услуг федерального правительства. Министр торговли, действующий через директора NIST, должен также предоставить обновленное руководство по другим появляющимся технологиям для улучшения безопасности и устойчивости маршрутизации Интернета, таким как смягчение утечки маршрутов и проверка исходного адреса.
(c) Шифрование трафика системы доменных имен (DNS) при передаче является критически важным шагом для защиты как конфиденциальности передаваемой информации, так и целостности связи с DNS-резолвером .
(i) В течение 90 дней с даты настоящего приказа министр внутренней безопасности, действующий через директора CISA, должен опубликовать шаблонный текст контракта, требующий, чтобы любой продукт, который действует как DNS-резолвер (будь то клиент или сервер) для федерального правительства, поддерживал зашифрованный DNS, и должен рекомендовать этот текст Совету FAR. В течение 120 дней с момента получения рекомендуемого текста Совет FAR должен рассмотреть его, и, в зависимости от обстоятельств и в соответствии с действующим законодательством, члены-агентства Совета FAR должны совместно предпринять шаги по внесению поправок в FAR.
(ii) В течение 180 дней с даты настоящего приказа агентства FCEB должны включить зашифрованные протоколы DNS везде, где их существующие клиенты и серверы поддерживают эти протоколы. Агентства FCEB также должны включить такие протоколы в течение 180 дней с любых дополнительных клиентов и серверов, поддерживающих такие протоколы.
(d) Федеральное правительство должно шифровать сообщения электронной почты при передаче и, где это практически осуществимо, использовать сквозное шифрование для защиты сообщений от компрометации.
(i) В течение 120 дней с даты настоящего приказа каждое агентство FCEB должно технически обеспечить использование зашифрованного и аутентифицированного транспорта для всех соединений между почтовыми клиентами агентства и связанными с ними почтовыми серверами.
(ii) В течение 180 дней с даты настоящего приказа директору OMB необходимо установить требование о расширенном использовании аутентифицированного шифрования транспортного уровня между серверами электронной почты, используемыми агентствами FCEB для отправки и получения электронной почты.
(iii) В течение 90 дней с момента установления требования, описанного в подпункте (d)(ii) настоящего раздела, министр внутренней безопасности, действующий через директора CISA, должен предпринять соответствующие шаги для оказания помощи агентствам в выполнении этого требования, в том числе путем выпуска директив по реализации, а также технических рекомендаций для устранения любых выявленных пробелов в возможностях.
(e) Современные средства связи, такие как голосовые и видеоконференции и мгновенные сообщения, обычно шифруются на уровне соединения, но часто не шифруются сквозным образом. В течение 180 дней с даты настоящего распоряжения, для повышения безопасности голосовых и видеоконференций и мгновенных сообщений на основе Интернета, директор OMB в координации с министром внутренней безопасности, действующим через директора CISA; министром обороны, действующим через директора Агентства национальной безопасности (NSA); министром торговли, действующим через директора NIST; архивариусом Соединенных Штатов, действующим через главного должностного лица по архивам правительства Соединенных Штатов; и администратором общих служб должны предпринять соответствующие шаги, чтобы потребовать от агентств:
(i) включить транспортное шифрование по умолчанию; и
(ii) при наличии технической поддержки использовать сквозное шифрование по умолчанию, сохраняя при этом возможности ведения журналов и архивирования, которые позволяют агентствам выполнять требования по управлению записями и подотчетности.
(f) Наряду с их преимуществами квантовые компьютеры представляют значительный риск для национальной безопасности, включая экономическую безопасность Соединенных Штатов. В частности, квантовый компьютер достаточного размера и сложности — также известный как криптоаналитически соответствующий квантовый компьютер (CRQC) — сможет взломать большую часть криптографии с открытым ключом, используемой в цифровых системах по всей территории Соединенных Штатов и по всему миру. В Меморандуме о национальной безопасности 10 от 4 мая 2022 года (Содействие лидерству Соединенных Штатов в квантовых вычислениях при одновременном снижении рисков для уязвимых криптографических систем) я поручил федеральному правительству подготовиться к переходу на криптографические алгоритмы, которые не будут уязвимы для CRQC.
(i) В течение 180 дней с даты настоящего приказа министр внутренней безопасности, действующий через директора CISA, должен опубликовать и впоследствии регулярно обновлять список категорий продуктов, в которых широко доступны продукты, поддерживающие постквантовую криптографию (PQC).
(ii) В течение 90 дней с момента внесения категории продуктов в список, описанный в подпункте (f)(i) настоящего раздела, агентства должны предпринять шаги для включения в любые заявки на продукты в этой категории требования о том, чтобы продукты поддерживали PQC.
(iii) Агентства должны внедрить создание ключа PQC или создание гибридного ключа, включая алгоритм PQC, как только это станет практически возможным, при условии поддержки со стороны продуктов и услуг сетевой безопасности, уже развернутых в их сетевых архитектурах.
(iv) В течение 90 дней с даты настоящего указа государственный секретарь и министр торговли, действуя через директора NIST и заместителя министра по международной торговле, должны определить и привлечь иностранные правительства и промышленные группы в ключевых странах для поощрения их перехода на алгоритмы PQC, стандартизированные NIST.
(v) В течение 180 дней с даты настоящего приказа, в целях подготовки к переходу на PQC, министр обороны в отношении систем национальной безопасности (NSS) и директор OMB в отношении систем, не относящихся к NSS, должны выпустить требования для агентств по поддержке, как только это станет практически возможным, но не позднее 2 января 2030 года, протокола безопасности транспортного уровня версии 1.3 или его последующей версии.
(g) Федеральному правительству следует использовать преимущества коммерческих технологий и архитектур безопасности, таких как аппаратные модули безопасности, доверенные среды выполнения и другие технологии изоляции, для защиты и аудита доступа к криптографическим ключам с расширенными жизненными циклами.
(i) В течение 270 дней с даты настоящего приказа министр торговли, действующий через директора NIST, по согласованию с министром внутренней безопасности, действующим через директора CISA, и администратором общих служб должен разработать руководящие принципы для безопасного управления токенами доступа и криптографическими ключами, используемыми поставщиками облачных услуг.
(ii) В течение 60 дней с момента публикации руководящих принципов, описанных в подпункте (g)(i) настоящего раздела, Администратор общих служб, действующий через директора FedRAMP, по согласованию с министром торговли, действующим через директора NIST, и министром внутренней безопасности, действующим через директора CISA, должен разработать обновленные требования FedRAMP, включив в них руководящие принципы, описанные в подпункте (g)(i) настоящего раздела, по мере необходимости и в соответствии с руководящими принципами, выпущенными директором OMB, относительно методов обеспечения безопасности управления криптографическими ключами.
(iii) В течение 60 дней с момента публикации руководящих принципов, описанных в подпункте (g)(i) настоящего раздела, директор OMB по согласованию с министром торговли, действующим через директора NIST; министром внутренней безопасности, действующим через директора CISA; и администратором общих служб должны предпринять соответствующие шаги, чтобы потребовать от агентств FCEB следовать передовой практике в отношении защиты и управления аппаратными модулями безопасности, доверенными средами выполнения или другими технологиями изоляции для токенов доступа и криптографических ключей, используемых поставщиками облачных услуг при предоставлении услуг агентствам.
Раздел 5. Решения по борьбе с киберпреступностью и мошенничеством. (a) Использование украденных и синтетических удостоверений преступными синдикатами для систематического мошенничества с программами государственных пособий обходится налогоплательщикам и тратит средства федерального правительства. Чтобы помочь в борьбе с этими преступлениями, политика исполнительной власти заключается в том, чтобы настоятельно поощрять принятие цифровых удостоверений личности для доступа к программам государственных пособий, требующим проверки личности, при условии, что это делается таким образом, чтобы сохранить широкий доступ к программе для уязвимых слоев населения и поддерживать принципы конфиденциальности, минимизации данных и взаимодействия.
(i) В течение 90 дней с даты настоящего распоряжения учреждениям, имеющим полномочия на предоставление грантов, рекомендуется рассмотреть совместно с Административно-бюджетным управлением и персоналом Совета национальной безопасности вопрос о наличии федерального грантового финансирования для оказания помощи штатам в разработке и выдаче мобильных водительских удостоверений, соответствующих политике и принципам, описанным в настоящем разделе.
(ii) В течение 270 дней с даты настоящего указа министр торговли, действующий через директора NIST, должен выпустить практическое руководство по внедрению в сотрудничестве с соответствующими агентствами и другими заинтересованными сторонами через Национальный центр передового опыта в области кибербезопасности для поддержки удаленной цифровой проверки личности с использованием цифровых идентификационных документов, которое поможет эмитентам и верификаторам цифровых идентификационных документов продвигать политику и принципы, описанные в настоящем разделе.
(iii) Агентствам следует рассмотреть возможность принятия цифровых документов, удостоверяющих личность, в качестве доказательства цифровой верификации личности для доступа к программам общественного блага, но только в том случае, если использование этих документов соответствует политике и принципам, описанным в этом разделе.
(iv) Агентства должны, в соответствии с действующим законодательством, стремиться обеспечить, чтобы цифровые документы, удостоверяющие личность, принимались в качестве доказательства проверки цифровой личности для доступа к программам общественного блага:
(A) совместимы с соответствующими стандартами и доверительными структурами, так что общественность может использовать любое соответствующее стандартам оборудование или программное обеспечение, содержащее официальный выданный правительством цифровой документ, удостоверяющий личность, независимо от производителя или разработчика;
(B) не позволяют органам, выдающим цифровые документы, удостоверяющие личность, производителям устройств или любой другой третьей стороне контролировать или отслеживать представление цифрового документа, удостоверяющего личность, включая местоположение устройства пользователя во время представления; и
(C) поддерживают конфиденциальность пользователей и минимизацию данных, гарантируя, что у держателя цифрового документа, удостоверяющего личность, запрашивается только минимальная информация, необходимая для транзакции — часто ответ «да» или «нет» на вопрос, например, старше ли человек определенного возраста.
(b) Использование служб проверки «Да/Нет», также называемых службами проверки атрибутов, может обеспечить больше средств сохранения конфиденциальности для снижения мошенничества с идентификацией. Эти службы позволяют программам подтверждать, посредством сохраняющего конфиденциальность ответа «да» или «нет», что предоставленная заявителем идентификационная информация соответствует информации, уже содержащейся в официальных записях, без необходимости делиться содержанием этих официальных записей. Для поддержки использования таких услуг Комиссар социального обеспечения и руководитель любого другого агентства, назначенного Директором OMB, должны, в зависимости от обстоятельств и в соответствии с действующим законодательством, рассмотреть возможность принятия мер по разработке или изменению услуг — в том числе посредством, в зависимости от обстоятельств, инициирования предлагаемого нормотворчества или публикации уведомления о новом или значительно измененном обычном использовании записей — связанных с государственными системами проверки личности и программами государственных льгот, с учетом того, что такие системы и программы должны предоставлять информацию о личности, предоставленную заявителем, агентству, предоставляющему услугу, и получать ответ «да» или «нет» относительно того, соответствует ли информация о личности, предоставленная заявителем, информации, хранящейся в файле агентства, предоставляющего услугу. При этом руководители этих агентств должны специально рассмотреть возможность обеспечения, в соответствии с действующим законодательством, того, чтобы:
(i) любая предоставленная заявителем идентификационная информация, представленная службам, и любые ответы «да» или «нет», предоставленные службами, используются только для содействия проверке личности, администрированию программы, операциям по борьбе с мошенничеством или расследованию и судебному преследованию мошенничества, связанного с программой государственных пособий, для которой была предоставлена идентификационная информация;
(ii) услуги предоставляются в максимально допустимой степени и по мере необходимости программам государственных пособий; системам проверки личности, управляемым правительством, включая поставщиков общих услуг; программам целостности платежей; и финансовым учреждениям, регулируемым Соединенными Штатами; и
(iii) агентства, программы общественного блага или учреждения, использующие услуги, предоставляют возмещение для надлежащего покрытия расходов и поддержки постоянного обслуживания, улучшения и широкой доступности услуг.
(c) Министр финансов, по согласованию с администратором общих служб, должен исследовать, разработать и провести пилотную программу по технологии, которая уведомляет физических и юридических лиц об использовании их идентификационной информации для запроса платежа по программе государственных пособий, предоставляет физическим и юридическим лицам возможность остановить потенциально мошеннические транзакции до того, как они произойдут, и сообщает о мошеннических транзакциях правоохранительным органам.
Раздел 6. Повышение безопасности с помощью искусственного интеллекта и в нем. Искусственный интеллект (ИИ) имеет потенциал для трансформации киберзащиты за счет быстрого выявления новых уязвимостей, увеличения масштаба методов обнаружения угроз и автоматизации киберзащиты. Федеральное правительство должно ускорить разработку и развертывание ИИ, изучить способы улучшения кибербезопасности критической инфраструктуры с помощью ИИ и ускорить исследования на стыке ИИ и кибербезопасности.
(a) В течение 180 дней с даты завершения конкурса 2025 Artificial Intelligence Cyber Challenge Агентства перспективных исследовательских проектов обороны министр энергетики в координации с министром обороны, действующим через директора Агентства перспективных исследовательских проектов обороны, и министром внутренней безопасности должен запустить пилотную программу, включающую сотрудничество с субъектами критической инфраструктуры частного сектора по мере необходимости и в соответствии с применимым законодательством, по использованию ИИ для усиления киберзащиты критической инфраструктуры в энергетическом секторе и провести оценку пилотной программы по ее завершении. Эта пилотная программа и сопутствующая оценка могут включать обнаружение уязвимостей, автоматическое управление исправлениями, а также идентификацию и категоризацию аномальной и вредоносной активности в системах информационных технологий (ИТ) или операционных технологий.
(b) В течение 270 дней с даты настоящего приказа министр обороны должен создать программу по использованию передовых моделей ИИ для киберзащиты.
(c) В течение 150 дней с даты настоящего указа министр торговли, действующий через директора NIST; министр энергетики; министр внутренней безопасности, действующий через заместителя министра по науке и технологиям; и директор Национального научного фонда (NSF) должны определить приоритеты финансирования своих соответствующих программ, которые поощряют разработку крупномасштабных маркированных наборов данных, необходимых для достижения прогресса в исследованиях в области киберзащиты, и обеспечить, чтобы существующие наборы данных для исследований в области киберзащиты были доступны более широкому академическому исследовательскому сообществу (либо защищенным, либо публичным образом) в максимально возможной степени с учетом конфиденциальности бизнеса и национальной безопасности.
(d) В течение 150 дней с даты настоящего приказа министр торговли, действующий через директора NIST; министр энергетики; министр внутренней безопасности, действующий через заместителя министра по науке и технологиям; и директор NSF должны определить приоритеты исследований по следующим темам:
(i) методы взаимодействия человека и искусственного интеллекта для содействия оборонительному киберанализу;
(ii) безопасность помощи в кодировании ИИ, включая безопасность кода, сгенерированного ИИ;
(iii) методы проектирования безопасных систем ИИ; и
(iv) методы предотвращения, реагирования, устранения и восстановления после киберинцидентов с участием систем ИИ.
(e) В течение 150 дней с даты настоящего приказа министр обороны, министр внутренней безопасности и директор национальной разведки в координации с директором Административно-бюджетного управления должны включить управление уязвимостями и компрометациями программного обеспечения ИИ в существующие процессы своих соответствующих агентств и механизмы межведомственной координации для управления уязвимостями, в том числе посредством отслеживания инцидентов, реагирования на них и предоставления отчетности, а также путем обмена индикаторами компрометации систем ИИ.
Раздел 7. Согласование политики с практикой. (a) ИТ-инфраструктура и сети, которые поддерживают критические миссии агентств, должны быть модернизированы. Политики агентств должны согласовывать инвестиции и приоритеты для улучшения видимости сети и контроля безопасности для снижения киберрисков.
(i) В течение 3 лет с даты этого приказа Директор OMB должен выпустить руководство, включая любые необходимые изменения в циркуляре OMB A-130, для устранения критических рисков и адаптации современных практик и архитектур в федеральных информационных системах и сетях. Это руководство должно, как минимум:
(A) описать ожидания в отношении обмена информацией о кибербезопасности в агентстве, прозрачности предприятия и ответственности руководителей служб информационной безопасности агентства за общекорпоративные программы кибербезопасности;
(B) пересмотреть циркуляр OMB A-130, сделав его менее технически предписывающим в ключевых областях, где это уместно, чтобы более четко содействовать принятию развивающихся лучших практик кибербезопасности в федеральных системах, а также включить переход к архитектурам нулевого доверия и реализацию критически важных элементов, таких как возможности EDR, шифрование, сегментация сети и устойчивая к фишингу многофакторная аутентификация; и
(C) рассмотреть, как агентства должны выявлять, оценивать, реагировать и снижать риски для основных функций миссии, возникающие из-за концентрации поставщиков и услуг ИТ.
(ii) Министр торговли, действующий через директора NIST; министр внутренней безопасности, действующий через директора CISA; и директор OMB должны создать пилотную программу подхода «правила как код» для машиночитаемых версий политики и руководств, которые OMB, NIST и CISA публикуют и управляют в отношении кибербезопасности.
(b) Управление рисками кибербезопасности теперь является частью повседневной отраслевой практики и должно быть ожидаемо для всех типов предприятий. Минимальные требования кибербезопасности могут сделать взлом сетей более дорогостоящим и сложным для субъектов угроз. В течение 240 дней с даты этого приказа министр торговли, действующий через директора NIST, должен оценить общие практики кибербезопасности и результаты контроля безопасности, которые обычно используются или рекомендуются в различных секторах промышленности, международных органах по стандартизации и других программах управления рисками, и на основе этого руководства по оценке определить минимальные практики кибербезопасности. При разработке этого руководства министр торговли, действующий через директора NIST, должен запросить вклад от федерального правительства, частного сектора, академических кругов и других соответствующих субъектов.
(c) Агентства сталкиваются с многочисленными рисками кибербезопасности при покупке продуктов и услуг. Хотя агентства уже добились значительных успехов в улучшении управления рисками в цепочке поставок, необходимы дополнительные действия, чтобы идти в ногу с меняющимся ландшафтом угроз. В течение 180 дней с момента выпуска руководства, описанного в подпункте (b) настоящего раздела, Совет FAR должен пересмотреть руководство, и, в зависимости от обстоятельств и в соответствии с применимым законодательством, агентства-члены Совета FAR должны совместно предпринять шаги по внесению поправок в FAR с целью:
(i) требовать, чтобы подрядчики Федерального правительства следовали применимым минимальным практикам кибербезопасности, указанным в руководстве NIST в соответствии с подпунктом (b) настоящего раздела в отношении работ, выполняемых по агентским контрактам или при разработке, обслуживании или поддержке ИТ-услуг или продуктов, предоставляемых Федеральному правительству; и
(ii) принять требования к агентствам, которые к 4 января 2027 года потребуют от поставщиков федеральному правительству потребительских продуктов Интернета вещей, как определено в 47 CFR 8.203(b), наносить на эти продукты маркировку Знака кибердоверия США.
Раздел 8. Системы национальной безопасности и системы ослабляющего воздействия. (a) За исключением случаев, специально предусмотренных в разделе 4(f)(v) настоящего приказа, разделы 1–7 настоящего приказа не применяются к федеральным информационным системам, которые являются системами национальной безопасности или иным образом определены Министерством обороны или разведывательным сообществом как системы ослабляющего воздействия.
(b) В течение 90 дней с даты настоящего приказа, чтобы помочь обеспечить защиту NSS и систем ослабления воздействия с помощью самых современных мер безопасности, министр обороны, действующий через директора NSA в качестве национального менеджера по системам национальной безопасности (национальный менеджер), в координации с директором национальной разведки и Комитетом по системам национальной безопасности (CNSS), а также в консультации с директором OMB и помощником президента по вопросам национальной безопасности (APNSA), должен разработать требования к NSS и системам ослабления воздействия, которые соответствуют требованиям, изложенным в настоящем приказе, по мере необходимости и в соответствии с применимым законодательством. Министр обороны может предоставлять исключения из таких требований в обстоятельствах, обусловленных уникальными потребностями миссии. Такие требования должны быть включены в предлагаемый Меморандум о национальной безопасности, который должен быть представлен президенту через APNSA.
(c) Чтобы помочь защитить космические NSS с помощью мер кибербезопасности, которые идут в ногу с возникающими угрозами, в течение 210 дней с даты настоящего приказа CNSS должен пересмотреть и обновить, по мере необходимости, соответствующие политики и руководства в отношении кибербезопасности космических систем. В дополнение к соответствующим обновлениям CNSS должен определить и рассмотреть соответствующие требования по внедрению киберзащиты на закупаемых федеральным правительством космических NSS в областях обнаружения вторжений, использования аппаратных корней доверия для безопасной загрузки, а также разработки и развертывания исправлений безопасности.
(d) Для повышения эффективности управления и надзора за федеральными информационными системами в течение 90 дней с даты настоящего приказа Директор OMB должен выпустить соответствующие указания, требующие от агентств провести инвентаризацию всех основных информационных систем и предоставить инвентарь CISA, Министерству обороны или Национальному менеджеру, в зависимости от обстоятельств, которые должны вести реестр инвентарей агентств в пределах своей компетенции. CISA, CIO Министерства обороны и Национальный менеджер будут обмениваться своими инвентарями по мере необходимости для выявления пробелов или дублирования в охвате надзора. Эти указания не применяются к элементам разведывательного сообщества.
(e) Ничто в настоящем приказе не изменяет полномочий и обязанностей, предоставленных в законе или политике Директору национальной разведки, Министру обороны и Национальному управляющему в отношении применимых систем в соответствии с Законом о национальной безопасности 1947 года (публичный закон 80–253), Законом о модернизации федеральной информационной безопасности 2014 года (публичный закон 113-283), Директивой о национальной безопасности 42 от 5 июля 1990 года (Национальная политика по безопасности телекоммуникационных и информационных систем национальной безопасности) или Меморандумом о национальной безопасности 8 от 19 января 2022 года (Улучшение кибербезопасности систем национальной безопасности, Министерства обороны и разведывательного сообщества).
Раздел 9. Дополнительные меры по борьбе со значительными вредоносными действиями, осуществляемыми в киберпространстве. Поскольку я считаю, что необходимо предпринять дополнительные шаги для борьбы с чрезвычайной ситуацией в стране в отношении существенной вредоносной кибердеятельности, объявленной в Указе президента 13694 от 1 апреля 2015 года (Блокирование собственности определенных лиц, участвующих в существенной вредоносной кибердеятельности), с поправками, внесенными Указом президента 13757 от 28 декабря 2016 года (Принятие дополнительных мер по борьбе с чрезвычайной ситуацией в стране в отношении существенной вредоносной кибердеятельности), и с дальнейшими поправками, внесенными Указом президента 13984 от 19 января 2021 года (Принятие дополнительных мер по борьбе с чрезвычайной ситуацией в стране в отношении существенной вредоносной кибердеятельности), для защиты от растущей и меняющейся угрозы вредоносной кибердеятельности против Соединенных Штатов и их союзников и партнеров, включая растущие угрозы со стороны иностранных субъектов несанкционированного доступа к критически важной инфраструктуре, программ-вымогателей, а также кибервторжений и уклонения от санкций, настоящим распорядиться о том, чтобы раздел 1(a) Указа президента 13694 был дополнительно изменен следующим образом:
«Раздел 1. (a) Все имущество и имущественные интересы, которые находятся в Соединенных Штатах, которые в дальнейшем попадут в пределы Соединенных Штатов или которые находятся или в дальнейшем попадут во владение или контроль любого гражданина Соединенных Штатов из следующих лиц, блокируются и не могут быть переданы, оплачены, экспортированы, изъяты или иным образом использованы:
(i) лица, перечисленные в Приложении к настоящему приказу;
(ii) любое лицо, определенное министром финансов по согласованию с генеральным прокурором и государственным секретарем как ответственное или соучастника, или вовлеченное, прямо или косвенно, в кибердеятельность, исходящую от лиц, находящихся полностью или в значительной части за пределами Соединенных Штатов, или направляемую ими, которая с достаточной вероятностью может привести к угрозе национальной безопасности, внешней политике, экономическому здоровью или финансовой стабильности Соединенных Штатов или существенно способствовала ей, и которая имеет целью или связана с:
(A) нанесение вреда или иное нарушение предоставления услуг компьютером или сетью компьютеров, которые поддерживают одну или несколько организаций в секторе критической инфраструктуры;
(B) создание угрозы предоставлению услуг одним или несколькими субъектами в секторе критической инфраструктуры;
(C) нарушение доступности компьютера или сети компьютеров или нарушение целостности информации, хранящейся на компьютере или в сети компьютеров;
(D) совершение неправомерного присвоения денежных средств или экономических ресурсов, интеллектуальной собственности, конфиденциальной информации, являющейся собственностью компании, или деловой информации, персональных идентификаторов или финансовой информации в целях получения коммерческого или конкурентного преимущества или личной финансовой выгоды;
(E) фальсификация, изменение или неправомерное присвоение информации с целью вмешательства или подрыва избирательных процессов или институтов; или
(F) участие в атаке с использованием программ-вымогателей, такой как вымогательство посредством вредоносного использования кода, шифрования или другой деятельности с целью повлиять на конфиденциальность, целостность или доступность данных или компьютера или сети компьютеров, против лица Соединенных Штатов, Соединенных Штатов, союзника или партнера Соединенных Штатов или гражданина, подданного или организации, организованной в соответствии с их законами; или
(iii) любое лицо, определенное министром финансов по согласованию с генеральным прокурором и государственным секретарем:
(A) нести ответственность или быть соучастником или участвовать, прямо или косвенно, в получении или использовании для коммерческого или конкурентного преимущества или частной финансовой выгоды, или коммерческим субъектом за пределами Соединенных Штатов денежных средств или экономических ресурсов, интеллектуальной собственности, конфиденциальной деловой информации, персональных идентификаторов или финансовой информации, незаконно присвоенных с помощью киберсредств, зная, что они были незаконно присвоены, когда незаконное присвоение таких денежных средств или экономических ресурсов, интеллектуальной собственности, конфиденциальной деловой информации, персональных идентификаторов или финансовой информации с достаточной вероятностью приведет к угрозе национальной безопасности, внешней политике, экономическому здоровью или финансовой стабильности Соединенных Штатов или существенно способствовало этому;
(B) нести ответственность или быть соучастником или участвовать, прямо или косвенно, в деятельности, связанной с получением или попыткой получения несанкционированного доступа к компьютеру или сети компьютеров лица Соединенных Штатов, Соединенных Штатов, союзника или партнера Соединенных Штатов или гражданина, подданного или организации, организованной в соответствии с их законами, когда такие усилия исходят от лиц, находящихся полностью или в значительной степени за пределами Соединенных Штатов, или направляются ими, и с достаточной вероятностью могут привести к значительной угрозе национальной безопасности, внешней политике, экономическому здоровью или финансовой стабильности Соединенных Штатов или существенно способствовали ей;
(C) оказывать материальную помощь, спонсировать или предоставлять финансовую, материальную или технологическую поддержку, или товары или услуги для или в поддержку любой деятельности, описанной в подпунктах (a)(ii) или (a)(iii)(A) или (B) настоящего раздела, или любому лицу, чье имущество и интересы в имуществе заблокированы в соответствии с настоящим приказом;
(D) находиться в собственности или под контролем, или действовать или намереваться действовать от имени или по поручению, прямо или косвенно, любого лица, чье имущество и имущественные интересы заблокированы в соответствии с настоящим распоряжением, или которое участвовало в любой деятельности, описанной в подпунктах (a)(ii) или (a)(iii)(A) – (C) настоящего раздела;
(E) пытались участвовать в любой из видов деятельности, описанных в подпунктах (a)(ii) и (a)(iii)(A)-(D) настоящего раздела; или
(F) быть или являться руководителем, должностным лицом, старшим исполнительным директором или членом совета директоров любого лица, чье имущество и имущественные интересы заблокированы в соответствии с настоящим приказом или которое занималось любой деятельностью, описанной в подпунктах (a)(ii) или (a)(iii)(A) – (E) настоящего раздела».
Раздел 10. Определения. Для целей настоящего приказа:
(a) Термин «агентство» имеет значение, приписанное ему в соответствии с 44 USC 3502(1), за исключением независимых регулирующих агентств, описанных в 44 USC 3502(5).
(b) Термин «артефакт» означает запись или данные, которые генерируются вручную или автоматизированными средствами и могут использоваться для демонстрации соответствия определенным практикам, в том числе для безопасной разработки программного обеспечения.
(c) Термин «искусственный интеллект» или «ИИ» имеет значение, указанное в 15 USC 9401(3).
(d) Термин «система ИИ» означает любую систему данных, программное обеспечение, оборудование, приложение, инструмент или утилиту, которые работают полностью или частично с использованием ИИ.
(e) Термин «аутентификация» означает процесс определения действительности одного или нескольких аутентификаторов, таких как пароль, используемых для подтверждения цифровой идентичности.
(f) Термин «Протокол пограничного шлюза» или «BGP» означает протокол управления, используемый для распределения и вычисления путей между десятками тысяч автономных сетей, составляющих Интернет.
(g) Термин «потребительские продукты Интернета вещей» означает продукты Интернета вещей, предназначенные в первую очередь для использования потребителями, а не для корпоративного или промышленного использования. Потребительские продукты Интернета вещей не включают медицинские устройства, регулируемые Управлением по контролю за продуктами питания и лекарственными средствами США, или автомобили и оборудование для автомобилей, регулируемые Национальным управлением безопасности дорожного движения.
(h) Термин «киберинцидент» имеет значение, приданное термину «инцидент» в соответствии с 44 USC 3552(b)(2).
(i) Термин «системы ослабляющего воздействия» означает системы, описанные в 44 USC 3553(e)(2) и 3553(e)(3) для целей Министерства обороны и разведывательного сообщества соответственно.
(j) Термин «цифровой документ, удостоверяющий личность» означает электронное, многоразовое, криптографически проверяемое удостоверение личности, выданное государственным источником, например, выданные государством мобильные водительские права или электронный паспорт.
(k) Термин «цифровая проверка личности» означает проверку личности, которую пользователь выполняет в режиме онлайн.
(l) Термин «конечная точка» означает любое устройство, которое может быть подключено к компьютерной сети, создавая точку входа или выхода для передачи данных. Примерами конечных точек являются настольные и портативные компьютеры, смартфоны, планшеты, серверы, рабочие станции, виртуальные машины и потребительские продукты Интернета вещей.
(m) Термин «обнаружение и реагирование на конечные точки» означает инструменты и возможности кибербезопасности, которые объединяют непрерывный мониторинг в реальном времени и сбор данных о конечных точках (например, сетевых вычислительных устройствах, таких как рабочие станции, мобильные телефоны, серверы) с возможностями автоматизированного реагирования и анализа на основе правил.
(n) Термин «Федеральные органы гражданской исполнительной власти» или «Федеральные органы гражданской исполнительной власти» включает все органы, за исключением органов и других подразделений Министерства обороны, а также органов разведывательного сообщества.
(o) Термин «Федеральная информационная система» означает информационную систему, используемую или эксплуатируемую агентством, подрядчиком агентства или другой организацией от имени агентства.
(p) Термин «государственная система проверки личности» означает систему, которой владеет и управляет федеральный, государственный, местный, племенной или территориальный орган власти, который выполняет проверку личности, включая системы одного агентства и общие службы, которые предоставляют услуги нескольким агентствам.
(q) Термин «аппаратный корень доверия» означает изначально доверенную комбинацию аппаратного обеспечения и прошивки, которая помогает поддерживать целостность информации.
(r) Термин «гибридная схема установления ключа» означает схему установления ключа, которая представляет собой комбинацию двух или более компонентов, которые сами по себе являются криптографическими схемами установления ключа.
(s) Термин «проверка личности» означает процесс сбора идентификационной информации или доказательств, проверки их законности и подтверждения того, что они связаны с реальным лицом, предоставившим их.
(t) Термин «Разведывательное сообщество» имеет значение, данное ему в соответствии с 50 USC 3003(4).
(u) Термин «создание ключа» означает процесс, посредством которого криптографический ключ безопасно передается двум или более субъектам.
(v) Термин «наименьшие привилегии» означает принцип, согласно которому архитектура безопасности разработана таким образом, чтобы каждому субъекту предоставлялись минимальные системные ресурсы и разрешения, необходимые субъекту для выполнения его функции.
(w) Термин «машиночитаемый» означает, что вывод продукта имеет структурированный формат, который может быть использован другой программой с использованием последовательной логики обработки.
(x) Термин «системы национальной безопасности» или «СНБ» имеет значение, приданное ему в соответствии с 44 USC 3552 (b)(6).
(y) Термин «патч» означает программный компонент, который при установке напрямую изменяет файлы или настройки устройства, связанные с другим программным компонентом, не изменяя номер версии или сведения о выпуске для соответствующего программного компонента.
(z) Термин «подход «правила как код»» означает закодированную версию правил (например, содержащихся в законодательстве, нормативных актах или политике), которая может быть понята и использована компьютером.
(aa) Термин «безопасная загрузка» означает функцию безопасности, которая предотвращает запуск вредоносного программного обеспечения при запуске компьютерной системы. Функция безопасности выполняет ряд проверок во время последовательности загрузки, что помогает гарантировать загрузку только доверенного программного обеспечения.
(bb) Термин «результат контроля безопасности» означает результаты выполнения или невыполнения мер безопасности или контрмер, предписанных для информационной системы или организации для защиты конфиденциальности, целостности и доступности системы и ее информации.
(cc) Термин «архитектура нулевого доверия» имеет значение, данное ему в Указе президента 14028.
Раздел 11. Общие положения. (a) Ничто в настоящем приказе не должно толковаться как наносящее ущерб или иным образом влияющее на:
(i) полномочия, предоставленные законом исполнительному департаменту или агентству или их главе; или
(ii) функции директора Управления по управлению и бюджету, связанные с бюджетными, административными или законодательными предложениями.
(б) Настоящий приказ должен быть реализован в соответствии с действующим законодательством и при условии наличия ассигнований.
(c) Настоящий приказ не предназначен и не создает никаких прав или выгод, материальных или процессуальных, подлежащих принудительному исполнению по закону или по праву справедливости любой стороной в отношении Соединенных Штатов, их департаментов, агентств или организаций, их должностных лиц, сотрудников или агентов или любого другого лица.
ДЖОЗЕФ Р. БАЙДЕН-МЛАДШИЙ.
БЕЛЫЙ ДОМ,
16 января 2025 г. Вашингтон, округ Колумбия.
Источники: Источники: WH.gov , Midtown Tribune news,
новости Большого Нью-Йорка BigNY.com
Sources: WH.gov, Midtown Tribune news
Big New York news BigNY.com
Leave a Reply