Guida alla certificazione DoD 8570: requisiti per i ruoli IAT, IAM, IASAE e CSSP

Il Dipartimento della Difesa (DoD) si affida a una forza lavoro informatica altamente qualificata e altamente qualificata per proteggere le proprie reti, difendere missioni critiche e tutelare gli interessi di sicurezza nazionale. La Direttiva 8570 del DoD ha stabilito il quadro di riferimento originale per i requisiti di formazione, certificazione e gestione della forza lavoro in materia di sicurezza delle informazioni (IA), che continua a guidare il personale informatico in tutta l'azienda del DoD, anche con la transizione delle responsabilità prevista dalla Direttiva 8140 del DoD.

Questa guida fornisce una panoramica completa e ufficiale dei requisiti di certificazione di base della Direttiva 8570 del DoD per le quattro principali categorie di forza lavoro informatica: Tecnico per la Sicurezza delle Informazioni (IAT), Gestione della Sicurezza delle Informazioni (IAM), Architettura e Ingegneria dei Sistemi di Sicurezza delle Informazioni (IASAE) e Fornitore di Servizi di Sicurezza Informatica (CSSP). È intesa come riferimento per appaltatori, civili del DoD, personale militare e dirigenti aziendali responsabili del mantenimento della conformità della forza lavoro.

1. Contesto: Scopo della Direttiva DoD 8570

La Direttiva DoD 8570.01-M è stata introdotta per garantire che tutto il personale addetto all'IA e alla sicurezza informatica possieda le conoscenze, le competenze e le certificazioni riconosciute dal settore necessarie per proteggere i sistemi informativi del DoD. Con la Direttiva 8570, il Dipartimento ha stabilito:

• Una matrice di certificazione di base unificata
• Categorie e livelli di forza lavoro standardizzati
• L'obbligo per il personale di ottenere e mantenere certificazioni approvate
• Un obbligo di allineamento e conformità degli appaltatori
• Una struttura di qualificazione comune per tutti i componenti del DoD

Sebbene la Direttiva 8570 sia in fase di integrazione graduale nell'ecosistema 8140 aggiornato, il suo sistema di classificazione IAT, IAM, IASAE, CSSP rimane la base per l'assegnazione del personale del DoD e la convalida delle certificazioni.

2. Categorie di forza lavoro DoD 8570

Lo standard 8570 organizza il personale addetto alla sicurezza informatica in quattro categorie principali, ciascuna delle quali è allineata con compiti e responsabilità specifici.

Le categorie includono:

• Tecnico di Garanzia delle Informazioni (IAT)
• Gestione della Garanzia delle Informazioni (IAM)
• Architettura e Ingegneria del Sistema di Garanzia delle Informazioni (IASAE)
• Fornitore di Servizi di Sicurezza Informatica (CSSP)

Ogni categoria è ulteriormente suddivisa in livelli in base alla complessità e alla responsabilità.

3. Tecnico di Garanzia delle Informazioni (IAT)

Il personale IAT svolge funzioni pratiche di sicurezza informatica e garanzia delle informazioni. Le sue responsabilità includono:

• Implementazione e manutenzione dei controlli di sicurezza
• Configurazione e gestione dei sistemi informativi del Dipartimento della Difesa
• Supporto alle operazioni di difesa della rete
• Gestione delle vulnerabilità di sistema e di rete

Il personale IAT deve dimostrare competenze tecniche in linea con il livello assegnato.

IAT Livello I

Ruoli tipici

• Tecnico di Help Desk
• Amministratore di Sistema Junior
• Tecnico di Supporto di Rete

Responsabilità Principali

• Configurazione di base dei dispositivi
• Manutenzione ordinaria del sistema
• Implementazione iniziale del controllo di sicurezza

Certificazioni di base approvate

• CompTIA A+
• CompTIA Network+
• CCNA (Cisco Certified Network Associate)

IAT Livello II

Ruoli tipici

• Amministratore di Sistema
• Amministratore di Rete
• Analista di Sicurezza Informatica di Livello Medio

Responsabilità Principali

• Applicazione delle policy di sicurezza del Dipartimento della Difesa
• Configurazione della sicurezza del sistema
• Rilevamento e reporting degli incidenti

Certificazioni di base approvate

• CompTIA Security+
• CompTIA CySA+
• GICSP
• CCNA Security

IAT Livello III

Ruoli tipici

• Amministratore di Sistema Senior
• Ingegnere di Sicurezza Informatica Senior
• Ingegnere di Sicurezza di Rete

Responsabilità Principali

• Operazioni avanzate di difesa del sistema
• Implementazione dell'architettura di sicurezza
• Integrazione dei controlli di sicurezza aziendale

Certificazioni di base approvate

• CASP+ (CompTIA Advanced Security Practitioner)
• CISSP (Certified Information Systems Security Professional)
• GCED (GIAC Certified Enterprise Defender)

4. Gestione della Garanzia delle Informazioni (IAM)

Il personale IAM supervisiona i programmi di sicurezza informatica, gestisce le operazioni di IA e garantisce la conformità alle policy del Dipartimento della Difesa. Ha responsabilità gestionali, amministrative e di supervisione.

IAM Livello I

Ruoli tipici

• Responsabile della sicurezza (livello base)
• Responsabile della sicurezza delle informazioni

Responsabile della sicurezza delle informazioni

Responsabile della sicurezza delle informazioni

Responsabile della sicurezza delle informazioni

• Gestione del programma di sicurezza locale
• Supervisione degli accessi degli utenti
• Applicazione della conformità di base

Certificazioni di base approvate

• CAP (Certified Authorization Professional)
• GSLC (GIAC Security Leadership Certification)

IAM Livello II

Ruoli tipici

• Responsabile della sicurezza informatica di livello intermedio
• Supervisore del programma informatico
• Responsabile dei sistemi informativi

Responsabile della sicurezza delle informazioni ... e garanzia di conformità

Certificazioni di base approvate

• CISSP
• GSLC

5. Information Assurance System Architecture and Engineering (IASAE)

Il personale IASAE si concentra sulla progettazione, l'ingegnerizzazione e l'architettura di sistemi informativi sicuri. Garantisce che i sistemi del Dipartimento della Difesa soddisfino i requisiti di sicurezza informatica durante tutto il ciclo di vita.

Livello IASAE I, II, III

(Questi livelli funzionano come ruoli tecnici progressivi, sebbene le certificazioni di base rimangano simili.)

Ruoli tipici

• Architetto della sicurezza informatica
• Ingegnere della sicurezza dei sistemi
• Architetto aziendale

Responsabilità principali

• Progettazione dell'architettura
• Integrazione della sicurezza informatica dei sistemi
• Ereditarietà e mappatura dei controlli RMF

Certificazioni di base approvate

• CISSP-ISSAP (Information Systems Security Architecture Professional)
• CISSP-ISSEP (Information Systems Security Engineering Professional)
• CSSLP (Certified Secure Software Lifecycle Professional)

Queste certificazioni dimostrano competenze ingegneristiche e architetturali avanzate.

6. Ruoli del Fornitore di Servizi di Sicurezza Informatica (CSSP)

6.1 Panoramica

La categoria CSSP supporta le operazioni informatiche difensive (DCO) e le funzioni di monitoraggio della sicurezza. Il personale CSSP opera in genere all'interno dei Security Operations Center (SOC), dei team di risposta agli incidenti e delle unità di difesa informatica del Dipartimento della Difesa.

I ruoli CSSP includono:

• Analista CSSP
• Supporto Infrastrutturale CSSP
• Addetto alla Risposta agli Incidenti CSSP
• Revisore CSSP
• Responsabile CSSP

Ogni ruolo ha responsabilità e requisiti di certificazione distinti.

6.2 Analista CSSP

Responsabilità

• Monitoraggio delle reti
• Rilevamento degli incidenti informatici
• Analisi delle minacce

Certificazioni approvate

• CEH (Certified Ethical Hacker)
• CySA+
• GCIH

6.3 Supporto all'infrastruttura CSSP

Responsabilità

• Supporto alla difesa della rete
• Monitoraggio dell'infrastruttura
• Configurazione degli strumenti

Certificazioni approvate

• Security+
• CySA+
• GNFA

6.4 Responsabile della risposta agli incidenti CSSP

Responsabilità

• Identificazione degli incidenti informatici
• Contenimento ed eradicazione
• Triage forense

Certificazioni approvate

• GCIH
• CEH
• GCFA

6.5 Auditor CSSP

Responsabilità

• Revisione e valutazione della sicurezza
• Verifica della conformità
• Audit di rischio e vulnerabilità

Approvato Certificazioni

• CISA
• GSNA
• CEH

6.6 Responsabile CSSP

Responsabilità

• Supervisione delle operazioni DCO
• Supervisione delle prestazioni SOC
• Gestione della difesa informatica aziendale

Certificazioni approvate

• CISSP
• CISM

7. Tempistiche e mantenimento della certificazione

Il personale assegnato ai ruoli 8570 deve:

• Ottenere la certificazione richiesta entro 6 mesi dall'assegnazione (a seconda della policy del componente).
• Mantenere la validità della certificazione tramite CEU, CPE o attività di formazione continua.
• Caricare la convalida della certificazione sul sistema di gestione della forza lavoro del Dipartimento della Difesa appropriato.

Il mancato rispetto o mantenimento di questi requisiti può comportare la rimozione dal ruolo o la perdita dell'idoneità contrattuale (per i contraenti).

8. Responsabilità organizzative

I componenti e gli appaltatori del Dipartimento della Difesa devono garantire:

• Allineamento della forza lavoro alla corretta categoria 8570
• I registri di certificazione sono aggiornati e verificabili
• Il personale rispetta le scadenze di certificazione
• Formazione continua e mantenimento delle competenze
• Piena conformità al Cyber Workforce Framework (DCWF) del Dipartimento della Difesa

Gli appaltatori devono garantire che il personale a contratto soddisfi i requisiti di certificazione prima di iniziare le prestazioni.

9. Riepilogo

Il framework 8570 del Dipartimento della Difesa rimane un pilastro del programma di qualificazione della forza lavoro del Dipartimento e continua a guidare le credenziali del personale durante la transizione alla 8140. Definendo percorsi di certificazione chiari per i ruoli IAT, IAM, IASAE e CSSP, il Dipartimento della Difesa garantisce una forza lavoro informatica in grado di proteggere e difendere i sistemi mission-critical.

Comprendere e soddisfare i requisiti della norma 8570 è essenziale per:

• Civili del Dipartimento della Difesa
• Personale militare
• Appaltatori della Difesa
• Professionisti IT e informatici che supportano le reti del Dipartimento della Difesa

La conformità garantisce la prontezza, migliora la sicurezza operativa e consente alle organizzazioni di soddisfare i requisiti federali in materia di sicurezza informatica.