USGCB en una computadora no conectada a la red

Para actualizar computadoras no conectadas, puede usar herramientas de actualización sin conexión que descargan las actualizaciones usando otra computadora (que luego puede transferir a la computadora no conectada a la red a través de una unidad USB para la instalación). Por ejemplo, puede usar el actualizador de conexión WSUS para Windows. Sin embargo, para su proveedor de AV, tendría que consultar con ellos cómo obtener actualizaciones sin conexión.

Supongo que usted o su empresa trabajan como contratistas para el gobierno ... En cuyo caso, ¿sabe si el contrato estipula que la computadora necesita estar certificada para funcionar (es decir, ¿Será auditado para el cumplimiento de la USGCB? Si es así, valdría la pena hablar con el auditor sobre el asunto.

El USGCB se deriva de las recomendaciones que se encuentran en NIST SP 800-53, que se pueden adaptar a un conjunto dado de circunstancias. Si la computadora no va a estar conectada a una red, realmente no hay necesidad de un lector de tarjetas inteligentes o para que usted obtenga tarjetas inteligentes: la computadora no va a estar conectada a ningún tipo de servidor de autenticación que haga de la tarjeta inteligente. inútil ...

Si trabaja como contratista para el gobierno de los EE. UU., como generalmente implica su requisito de cumplimiento de USGCB, es probable que requieran que su sistema se incluya en un plan de seguridad que cumpla con el NIST SP 800-53. pautas El proceso para esto es no sin excepción. Para cualquier control en 800-53 que no pueda cumplir, por cualquier motivo, puede proponer que su cliente simplemente acepte el riesgo de no cumplir con el control.

En última instancia, dependerá del gobierno que se apruebe la propuesta de riesgo aceptado, pero no debería tener muchos problemas mientras su justificación sea sólida y sólida. Si no aprueban el AR, pueden agregar remediación del problema a los Planes de Acción e Hitos (POA & Ms) del Plan de Seguridad.

Dicho todo esto, no espero que obtenga una exención completa en Flaw Remediation (SI-02) o Malicious Code Protection (SI-03) simplemente porque La computadora no está conectada a la red. Las actualizaciones de seguridad pueden llevarse al sistema a través de sneaker-net (por ejemplo, WSUS sin conexión) y la mayoría de los proveedores de antivirus también ofrecen descargas manuales de sus firmas y actualizaciones de programas para la instalación sin conexión.

Sin embargo, para la autenticación multifactor, probablemente deba proponer un AR. A menos que el sistema esté conectado a algún tipo de servidor de autenticación que pueda administrar y validar las credenciales de PIV, no creo que haya ninguna forma de que las Tarjetas inteligentes (o cualquier método similar de autenticación de dos factores) puedan ser de utilidad real. Para esto, deberá proponer un AR contra algunas de las mejoras a Identificación y autenticación (usuarios de la organización) (IA-02). Cuáles dependerán de la categorización FIPS-199 de los tipos de datos que maneja su sistema.

Bajo: 1
Medio: 1, 2, 3, 8
Alto: 1, 2, 3, 4, 8, 9

Las mejoras 1, 2, 8 y 9 solo se aplican al acceso a la red, por lo que su sistema estará exento de estas de todos modos. Mientras que las mejoras 8 y 9 no mencionan específicamente la autenticación de múltiples factores, la mayoría de los "mecanismos resistentes a la reproducción" implican la autenticación de múltiples factores. Consulte con su cliente para ver cuáles son los valores definidos por la organización (ODV, por sus siglas en inglés) para la "Lista de mecanismos de autenticación resistentes a la reproducción utilizados para el acceso de red a las cuentas".