彼得·萨德霍尔姆,安全政策委员会主任
丹·雅各布森,安全政策委员会副主任
泰瑞·汤普森,安全政策委员会参谋
维姬·拉巴尔,安全政策委员会参谋
许多私营部门的成员参加了会议。总共有23人在场。
韦尔奇将军讨论了第29号总统决定指令(PDD-29),因为它明确了SPAB的作用。他介绍了小组委员会的目标:
拉巴尔女士随后介绍了SPB为什么没有成立一个信息保障/安全委员会的背景。虽然这是一个复杂的问题,但监查院和监查院职员们未能推进这一问题的根本原因在于,民政部门对监查院通过国家安全事务助理(nsc)向总统报告的关系感到不快。中央情报局和国防部的主席和共同主席也有一些不舒服。
Cindy Conlon女士,兰德公司特别安全主管,代表6个谅解备忘录的行业协会[谅解备忘录的当事人],表达了行业的失望,因为还没有存在第8章的NISPOM。Conlon女士表示,谅解备忘录认为,只要不增加安全成本或安全要求,IAD的政策部分可以与基于性能的章节的行业草案相结合,创建新的NISPOM第8章。她鼓励SPB建立一个带有基准的正式时间表,以便所有人,特别是行业,有一个目标完成日期。康伦女士表示,SPB应该带头取代第八章,其他地方正在进行的所有平行努力应该被取消。她强调,ISWG愿意积极参与IAD的发展进程。(参见康伦事先准备的评论。)
韦尔奇要求对康伦的评论作一些澄清,康伦说,业界支持IAD,节省了额外的成本或要求。他问业界是否认为现有的信息安全系统是足够的。康伦对此予以否定,并请里奇·格劳阐明他们的担忧。
Rincon Research的安全总监Grau先生解释了业界对NISPOM第8章现有版本的担忧。他将其描述为缺乏灵活性,无法扩展技术。格劳先生承认,在信息系统安全方面,业界并非无所不知,但目前的第八章过于死板,甚至无法让他们探索潜在的解决方案。IAD的起草者需要从中吸取教训,不要再犯同样的错误。此外,业界担心的是无法预见的安全成本,这些成本不是基于威胁,因此没有真正的价值。灵活性是解决大组织和小组织需求的关键因素。业界更倾向于IAD只处理分类信息,没有附件。Grau先生总结说,数据的可用性和完整性是业界非常关注的问题,而这两者都可能受到新的安全层的不利影响。在没有明确界定和明确表达的威胁的情况下,不应实施这一额外的安全阶层。“让我们看到威胁,我们就会保护它,”这是格劳立场的核心。
韦尔奇将军问SPB办公室主任彼得·萨德霍尔姆先生,是否有解决这些问题的程序。萨德霍尔姆先生建议说,公司内部调查报告是由工业界和政府公开起草的。然而,他的观点是,那些在政府内部检查需求的人可能不够“理智”,不能在灵活的指导方针下操作。格劳赞同这种观点,并解释说,需要一个仲裁委员会来解决纠纷。工业界欢迎一个政府实体,该实体的工作人员了解有关问题,可以在信息安全问题上提供所需的指导和专门知识。金博宝正规网址
韦尔奇将军要求格劳先生进一步阐述他的声明,即目前的NISPOM不具有用户友好性。Grau先生回应说,目前的NISPOM是一个相当好的开始,但它需要修复,我们(业界和政府)应该继续努力这样做。
海军上将托马斯·布鲁克斯询问有多少其他的努力正在创建新的第八章。Saderholm先生描述了两项工作:在佛罗里达州墨尔本与哈里斯公司合作进行的DIS工作,以及国家侦察办公室(NRO)继续其“更新”ASH 300的工作。布鲁克斯上将表示,进行多重努力没有多大意义。他问行业代表,目前的IAD草案是否会在他们看来给行业带来额外负担和成本。格劳回答说,在某些领域,答案是否定的,而为了保护SECRET,答案是肯定的。布鲁克斯上将接着问,工业界是否认为他们在IAD的发展中有足够的发言权。格劳回应说,在涉及这一过程的34个声音中,产业界只有一个声音。他还表示,政府代表并不总是能理解成本问题。
韦尔奇将军要求SPB员工向SPAB提供一篇论文,介绍正在进行的多项工作,以解决第8章,并就需要发生的事情提出建议。
贾内利随后讨论了与拟议的财务披露要求相关的法律问题。金博宝正规网址他说,加州宪法和联邦要求之间可能存在冲突。他总结道,产业界反对使用财务披露表格。在他的判断中,对这个问题进行成本效益分析会产生更大的损失,而不是收益。他说,鉴于政府有权审查个人财务记录,这尤其没有意义。
韦尔奇将军问贾内利先生是否认为休斯公司有人担任了足够敏感的职位,需要完成财务披露表格。Gianelli先生回答说,这种要求的候选人可能存在,这取决于整个背景。韦尔奇接着问贾内利,他是否反对任何程度的财务披露。他表示,他并不是单方面反对所有形式的财务披露,但认为目前的提案已经触及了个人隐私的极限。
康伦打断了她的观点,她认为所有的改变都应该在SPB的过程中进行合作。康伦表示,工业界不希望看到组织在流程之外工作。
韦尔奇将军注意到互惠的重要目标可能会在短期内付出代价,但从长远来看会省钱。
布鲁克斯上将询问了SAP世界中需求的扩散。萨德霍尔姆回应说,直到现在,我们才意识到众多的sap如何导致规章制度的激增。Saderholm先生表示,问题在于SAP社区对机密和绝密担保级别的许可和其他形式的安全没有信任。一旦建立了相互接受的基线,那么SAP程序只需要应用唯一的需求。SPB员工与OSD (Policy)人员就此保持了良好的对话。OSD策略和服务有责任展示他们正在以有效的方式管理这些程序。然而,SAP世界认为,它们受到了阻碍,因为它们没有提供相互可接受的基线。尽管存在这些障碍,他们仍在努力加强不同软件包之间的一致性。
在描述迄今取得的重大进展时,萨德霍尔姆解释说,“问责制”一词已经不复存在。然而,虽然文件核算不再是一种例行工具,但在物质、人员和技术安全控制不足时,可以采用补充的行政控制。斯图尔特询问问责制是否仍是检查的一个因素。Saderholm先生回应说,一些收据的使用将继续下去,但承包商将不再被要求找到个别文件,即使是为了检查。斯图尔特接着问,SAP的世界是否也是如此。Saderholm先生就SCI世界作出了肯定的回应,但承认这个问题仍然在国防部SAP世界中发展。但是,他重申,在这两个领域的趋势都是远离文件控制。
Saderholm先生进一步解释说,新的安全指令将有开放仓库建设和深度安全的标准。项目经理可以在通知ISOO的情况下放弃该要求。韦尔奇将军随后询问项目经理是否有权放弃scif的相互使用。Saderholm先生回应说,如果经理放弃了一个SCIF的要求,答案是肯定的;如果对一组SCIFS来说,答案是否定的。
韦尔奇将军表达了他对包含私有SCIFS的建筑要求的担忧。布鲁克斯上将注意到,许多私人SCIFS仍然存在,但他相信情况正在改善。与会的行业代表也表达了同样的观点。韦尔奇将军对联合使用scif的实际改进表示怀疑。布鲁克斯上将注意到,建立一个可靠的基线对于希望在这方面有所改善是至关重要的。
斯图尔特询问了将外国政府信息(FGI)担忧纳入指令的情况,并询问了我们如何解决这些担忧。萨德霍尔姆回答说,美国的标准将是谈判所有新条约的起点,而在此之前,旧条约将设定标准。斯图尔特指出,外国政府还有其他担忧,并询问这些担忧将如何得到解决。萨德霍尔姆回答说,他不确定具体细节,但这些担忧目前正在通过这一程序得到解决。
锁栏容器的问题引起了大量的讨论。斯图尔特女士询问为何要设立2012年10月1日的日落条款。萨德霍尔姆回应说,锁锁保险箱不可靠,政府的代表希望把它们剔除。斯图尔特接着问,这一决定是否考虑到了成本因素。Saderholm先生回应说,在缺乏真正威胁信息的情况下,任何成本数据都是不可靠的。韦尔奇将军询问为什么国防部的日落条款是针对2002年而不是2012年。萨德霍尔姆表示,国防部在这一问题上的工作时间比社区长了五年。布鲁克斯上将质疑两种标准是否可取。韦尔奇将军同意并观察到国防部需要与社区合作。关于2002年或2012年日落条款的问题必须得到协调,SPAB认为2012年是更好的选择。
Conlon女士注意到,关于消除锁杆保险柜的成本效益分析尚未完成。她称新的要求是“可笑的”,因为它不是基于威胁。她建议,安全官员在试图向高层管理人员解释一个带锁的容器不能被另一个带锁的容器所取代时,要考虑可信度,尤其是一个带锁的容器要200美元,而一个新保险柜要3000美元。SPAB随后向观众询问了目前工业上使用的锁条容器的数量,结果相当高。一位公司代表表示,他的公司仍有6000个锁条集装箱。韦尔奇将军接着问谁负责这个要求。萨德霍尔姆回应说,国会和政府安全官员提出了这一要求。
汤普森随后讨论了财务披露表格的不足之处。侵犯性是最常听到的反对意见,大多数人认为填写这样的表格侵犯了隐私,这是不言而喻的事实。我们绝对不能保证财务披露计划会奏效并抓住间谍。没有可以研究的先例,因此,对成功的预测只是推论。财务披露表格不是测谎仪;申报人只能伪造或省略数据,从而破坏披露的目的。财富,无论是通过间谍或其他不法行为获得的,都可以被隐藏起来)一个保险箱只是隐藏方法的一个例子。一项财务披露计划将是非常昂贵的,而且收集的信息必须小心保护,因为随时都有可能被滥用。最后,完成和收集财务披露表格肯定是一个冗长乏味的过程。
汤普森先生随后讨论了支持表格的论据。财务披露表格可以为调查人员提供一个起点,就像现在的人事历史报表一样。因为调查人员将获得更多的信息,假阳性调查实际上可能会减少。例如,如果提交人继承了一大笔财产,他的这一陈述可能会节省大量的调查工作,否则核实新发现的财富的来源是必要的。这可能会降低这个过程的侵入性。填写表格可能会对潜在的不法分子起到某种威慑作用。虽然现金确实可以被隐藏,但大多数间谍将其间谍所得用于购买资产是可追踪的,这也是事实。最后,如果案件进入法庭,提交人的陈述可能作为证据审判的开始。
康伦询问谁将为这个项目买单,政府内部是否有足够的资源来分析收集到的表格。汤普森回应称,这将要求对调查人员和审裁人员进行再培训,以适当地管理信息。除此之外,美国政府必须为此付出代价。
布鲁克斯上将询问了中情局目前表格的使用情况。CMS的卡尔·达比(Carl Darby)建议说,在重新调查过程中,中央情报局的表格被选择性地使用。
布鲁克斯上将随后将这一要求描述为“愚蠢的官僚反应”。他进一步表示政府似乎对整个问题没有一个清晰的认识。他允许资产和账户的价值每天都在变化。他敦促财务披露计划成为整个过程的一部分,而不仅仅是表格的组成部分。Saderholm先生回应说,形式并不是唯一的重点;相反,我们一直从整体的角度看待这个问题。韦尔奇将军指出,总统或国会并不要求货币价值。是司法部副部长支持价值观,而这些价值观在埃姆斯一案中帮不了忙。布鲁克斯上将还表示,财务披露要求将使大量拥有独立财富的诚实人士感到不安,特别是在工业界的高层人士中。他还表示,大量误报似乎是不可避免的。 Mr. Saderholm interjected that there is little support in the security community for a form; Congress and the White House have mandated it. General Welch countered with the impression that the SPB Staff is proceeding "pelf mell" to develop a form. Mr. Saderholm responded that that is simply not the case. He opined that the CIA form leads many to conclude that a form and a program are already in place for the whole community. Instead, the SPB Staff is exploring all possibilities and the favored option is the expansion and enhancement of the financial aspects of the background investigation.
康伦代表工业界表示,没有人支持这一要求,她质疑为什么没有与国会就这一问题进行对话。萨德霍尔姆表示,任何人都没有这样做的意愿。布鲁克斯上将接着询问,是否有一种更仔细地划分这个问题的方法,即,目标是什么,以及实现目标的行动手段是什么。他接着认为,政府只需要确定已清除个人的财务生活方式,并将该数据纳入裁决。一般韦尔奇表示同意。他接着注意到,许多人知道艾姆斯有无法解释的财富,只是不知道如何利用它。萨德霍尔姆提醒他们,政府的调查资源已经大幅减少。
格劳建议,财务披露将导致招聘问题,这一问题需要考虑到整体情况。达比表示,安全专业人士的可信度也存在问题。埃姆斯在改善安全官员的形象方面取得了进展,但财务披露程序可能会玷污现在已经改善的形象。
韦尔奇将军对个别机构在选择和使用监督机制方面的灵活性表示保留意见。SPAB倾向于采用IG式的监督,或者采用完全外部的机制。萨德霍尔姆将确保这种情绪在政策制定过程中得到贯彻。
委员会还对承包商的生活方式测谎仪持保留意见,特别是这些要求涉及中央情报局和国家安全局的承包商与工作人员一样的访问权限。测谎仪工作组表示,应该扩大这些人的范围。委员会对“工作人员式访问”的定义有疑问。是否只有那些真正能接触机密信息和计算机系统的人才能像职员一样接触?执行局希望对这一术语有明确的定义。布鲁克斯上将说,许多在情报机构工作的承包商几乎无法接触到机密信息,但他们仍然被要求接受生活方式测谎仪。他形容这是“对政府资源的荒谬利用”。他进一步表示,许多员工已经等了一年的考试。委员会希望对“员工式通道”有一个更明确的定义,并认为这个定义不应该仅仅是进入建筑物。一些行业代表表示,CIA仍然需要一个扩大范围的测谎仪,仅仅是为了进入。
康伦女士还注意到,业界从来没有参与过测谎仪问题的讨论。她观察到,行业受到这一要求的严重影响,因此需要一种机制来解决不满。Saderholm先生表示,该行业在人事安全委员会的代表可以表达自己的意见。他还建议,测谎仪问题将在下一个计划的政策统一委员会,也有行业代表。金博宝正规网址
布鲁克斯上将要求记录表明他支持某种上诉机制。
韦尔奇将军认为测谎仪是一种调查工具,因此,训练人们如何使用测谎仪是不明智的。
一位业内代表询问道,国防部使用的测谎仪的数量是否会增加。答案是否定的。
斯图尔特询问了每年向ISOO提交的投诉数量。格劳建议ISOO主任史蒂夫·加芬克尔(Steve Garfinkel)建议,所有投诉首先通过母公司。康伦注意到,投诉最终都是通过NISPPAC提出的。然而,许多部门更喜欢自己实施,这削弱了NISPOM的有效性。Conlon女士再次强调,由于资源有限,ISOO在这方面的任务很难完成。她举例说,最近对空军进行的ISOO检查中,ISOO带着3人对空军进行了为期两天的访问。据康伦女士说,ISOO的资源限制要求这种简短的努力,导致最低的生产力。
斯图尔特要求SPB工作人员核实向ISOO提交的投诉数量。韦尔奇将军指示参谋部提供一篇关于ISOO的历史和使命的论文,因为它与NISPOM有关。