Känslig säkerhetsinformation

Ytterligare information: Känslig säkerhetsinformation

Känslig säkerhetsinformation ( SSI ) är en kategori av känslig men oklassificerad information enligt den amerikanska regeringens regler för informationsdelning och kontroll. SSI är information som erhållits vid genomförandet av säkerhetsaktiviteter vars offentliggörande, enligt angivna statliga myndigheters bedömning, skulle skada transportsäkerheten, vara ett obefogat intrång i integriteten eller avslöja affärshemligheter eller privilegierad eller konfidentiell information. SSI styrs av avdelning 49 i Code of Federal Regulations (CFR), delar 15 och 1520.

Ett försättsblad, som de som finns på konfidentiella, hemliga och topphemliga dokument, men för känslig säkerhetsinformation.

SSI skapades för att hjälpa till att dela transportrelaterad information som anses vara för avslöjande för offentliggörande mellan federala myndigheter; Statliga, lokala, stam- och utländska regeringar; amerikanska och utländska lufttrafikföretag; och andra.

SSI är inte en form av klassificering enligt Executive Order 12958 i dess ändrade lydelse; det vill säga, det är inte sekretessbelagd nationell säkerhetsinformation i betydelsen Topphemlig, Hemlig eller Konfidentiell.

Historia

SSI fick sin start i Air Transportation Security Act från 1974 (Pub. L. No. 93-366), som bland annat bemyndigade Federal Aviation Administration (FAA) att förbjuda avslöjande av erhållen information vars avslöjande skulle utgöra ett obefogat intrång i den personliga integriteten; avslöja affärshemligheter eller privilegierad eller konfidentiell kommersiell eller finansiell information som erhållits från någon person; eller skulle minska passagerarnas säkerhet — allt trots lagen om informationsfrihet . Den 28 juni 1976 publicerade FAA ett förslag om att skapa Titel 14 Code of Federal Regulations (CFR) Part 191 med titeln "Uthålla säkerhetsinformation från avslöjande enligt Air Transportation Security Act från 1974." Del 191 skapade kategorin känslig men oklassificerad information som nu kallas Sensitive Security Information (SSI), och beskrev informationen som skulle skyddas från avslöjande, inklusive "säkerhetsprogrammet för alla flygplatser; säkerhetsprogrammet för alla lufttrafikföretag; alla enheter för upptäckt av explosiva eller brandfarliga anordningar eller vapen, och alla säkerhetsplaner för beredskap."

Pan Am Flight 103 den 21 december 1988 över Lockerbie, Skottland , rekommenderade presidentens kommission för luftfartssäkerhet och terrorism förbättringar i FAA:s säkerhetsbulletiner, vilket ledde till skapandet av säkerhetsdirektiv och informationscirkulär. År 1990 breddade avsnitt 9121 i Aviation Safety and Capacity Expansion Act från 1990 (Pub. L. 101–508) 14 CFR Part 191 till att förbjuda avslöjande av "all information som erhållits i samband med säkerhets- eller forsknings- och utvecklingsaktiviteter." Aviation Security Improvement Act från 1990 (Pub. L. No. 101-604) krävde att minimera antalet personer med tillgång till information om hot, ofta inkluderat i säkerhetsdirektiv (SD) och informationscirkulär (IC). Den 21 mars 1997 reviderade FAA 14 CFR Part 191 och ändrade dess titel till "Skydd av känslig säkerhetsinformation." Den stärkte också den befintliga regeln för att skydda SSI från obehörigt avslöjande, utökade dess tillämpning till att omfatta lufttrafikföretag, flygplatsoperatörer, indirekta lufttrafikföretag, utländska lufttrafikföretag och individer, och specificerade mer i detalj den information som skyddas till att omfatta SD:er, IC:er och inspektion , incident och verkställighetsrelaterad SSI.

Efter terroristattackerna den 11 september 2001 i USA antog kongressen Aviation and Transportation Security Act (ATSA) (Pub. L. No. 107-71), som inrättade Transportation Security Administration (TSA) under Department of Transport och överförde ansvaret för civil luftfartssäkerhet från FAA till TSA. Den 22 februari 2002 publicerade FAA och TSA 49 CFR Part 1520, som överlämnade SSI och de flesta andra FAA:s flygsäkerhetsuppgifter till TSA. Den specificerade också mer i detalj vilken information som är SSI, och skyddade sårbarhetsbedömningar för alla transportsätt.

Homeland Security Act från 2002 (Pub. L. No. 107-296) etablerade Department of Homeland Security (DHS) och överförde TSA från DOT till DHS. Lagen ändrade också avdelning 49 USC §40119 för att behålla SSI-befogenheter för transportministern, och lade till underavsnitt (s) till 49 USC § 114, vilket bekräftade TSA:s befogenhet enligt DHS att föreskriva SSI-regler. TSA och DOT utökade SSI-förordningen för att införliva sjösäkerhetsåtgärder implementerade av US Coast Guard-bestämmelser och förtydliga SSI-bestämmelser i en tillfällig slutregel (IFR) utfärdad den 18 maj 2004. DOT SSI-förordningen finns i 49 CFR Part 15, och TSA SSI-reglerna ligger kvar på 49 CFR Part 1520.

Avdelning 6 CFR Part 37, publicerad 29 januari 2008, kräver en säkerhetsplan och relaterade sårbarhetsbedömningar som definieras som SSI och styrs av 49 CFR 1520.

Homeland Security Appropriations Act från 2006 (Pub. L. No. 109-90, kodifierad i 6 USC § 114) krävde att DHS skulle tillhandahålla avdelningsomfattande policyer för att utse, skydda och markera dokument som SSI, tillsammans med revisions- och ansvarsförfaranden . Lagen krävde också att DHS rapporterade till kongressen antalet SSI-samordnare inom DHS och tillhandahåller en lista över dokument som betecknas som SSI i sin helhet. Det krävde också att DHS tillhandahåller vägledning som inkluderar omfattande exempel på SSI för att ytterligare definiera de kategorier som finns under 49 CFR avsnitt 1520.5(b)(1) till (16). Lagen föreskriver att sådan vägledning ska fungera som den primära grunden och auktoriteten för att skydda, dela och markera information som SSI.

Homeland Security Appropriations Act från 2007 (Pub. L. No. 109-295) krävde att DHS reviderade sina SSI-direktiv och gav mandat att granska SSI-förfrågningar i tid. Den innehöll också rapporteringskrav, beordrade utökad tillgång till SSI i rättstvister och krävde att alla SSI över tre år gamla, och inte i nuvarande SSI-kategorier, släpptes på begäran såvida inte DHS-sekreteraren [eller utsedda] gör ett skriftligt beslut om att informationen måste förbli SSI.

The Rail Transportation Security Final Rule, publicerad i det federala registret den 26 november 2008, lade till järnvägsrelaterade termer och omfattade personer till del 1520, inklusive järnvägstransportörer, järnvägsanläggningar, avlastare och mottagare av farligt material på järnväg och järnvägstransitsystem som är detaljerad i en ny del 1580. Även om bedömningar av järnvägssårbarhet och hotinformation redan var SSI under del 1520, specificerar denna slutliga järnvägsregel att information om järnvägssäkerhetsutredningar och inspektioner, säkerhetsåtgärder, säkerhetsutbildningsmaterial, kritiska tillgångar för järnvägsinfrastruktur och forskning och utveckling är också SSI.

Kategorier

SSI-förordningen listar 16 kategorier av påverkad information, och tillåter Secretary of Homeland Security och administratören av Transportation Security Administration att utse annan information som SSI.

De 16 SSI-kategorierna som anges i 49 CFR §1520.5(b) är:

  1. Säkerhetsprogram och beredskapsplaner.
  2. säkerhetsdirektiv.
  3. Informationscirkulär.
  4. Prestandaspecifikationer.
  5. Sårbarhetsbedömningar.
  6. Säkerhetsinspektion eller utredningsinformation.
  7. Hotinformation.
  8. Säkerhetsåtgärder.
  9. Information om säkerhetskontroll.
  10. Säkerhetsutbildningsmaterial.
  11. Identifierande information om viss transportsäkerhetspersonal.
  12. Kritisk information om tillgångar inom luftfart eller sjöfartsinfrastruktur.
  13. Systemsäkerhetsinformation.
  14. Konfidentiell affärsinformation.
  15. Forskning och utveckling.
  16. Annan information. (Bestämmas skriftligen av DHS eller DOT; används sällan.)

Till exempel inkluderar SSI säkerhetsprogram för flygplatser och flygplansoperatörer; Uppgifterna om olika säkerhetsåtgärder för luftfart, sjöfart eller järnvägstransport, inklusive perimetersäkerhet och tillträdeskontroll; förfaranden för screening av passagerare och deras bagage; resultaten av sårbarhetsbedömningar av alla transportsätt; de tekniska specifikationerna för viss screeningutrustning och de föremål som används för att testa sådan utrustning; och utbildningsmaterial som kan användas för att penetrera eller kringgå säkerheten.

SSI-förordningen begränsar frisläppandet av SSI till personer med ett "need to know" (se 49 CFR §1520.11), generellt definierade som de som behöver informationen för att utföra sitt jobb inom transportsäkerhet, till exempel: DHS- och TSA-tjänstemän, flygplats operatörer, flygbolagspersonal, järnvägstransportörer, avlastare och mottagare av farligt material på järnväg, ägare och operatörer av fartyg och maritima hamnar och andra som anges i 49 CFR §1520.7. SSI kan inte ges till allmänheten och är undantaget från offentliggörande enligt Freedom of Information Act .

En byrås slutgiltiga beslut om SSI kan endast ifrågasättas i Förenta staternas appellationsdomstol .

2005 års rapport från US Government Accountability Office

En rapport från juni 2005 från US Government Accountability Office (GAO) med titeln "Clear Policies and Oversight Needed for Designation of Sensitive Security Information (SSI)," kritiserade TSA:s övervakningskontroller och sa: "TSA har inte upprättat och dokumenterat policyer och interna kontrollprocedurer för att övervaka efterlevnaden av de regler, policyer och procedurer som styr dess SSI-designprocess, inklusive löpande övervakning av processen."

GAO-rapporten citerade ett TSA-memo från den 14 oktober 2004 som sa att myndighetens styrelse för intern säkerhetspolitik insåg att hantering och identifiering av SSI hade blivit ett problem:

Avsaknaden av ett centralt policyprogramkontor för SSI har lett till förvirring och onödig klassificering av vissa material som SSI. Efterlevnaden av hanteringskraven inom TSA har varit inkonsekvent, och det har förekommit fall där SSI har blivit felaktigt hanterat utanför TSA. Identifiering av SSI har ofta förefallit vara ad hoc, präglat av förvirring och oenighet beroende på identifierarens synvinkel, erfarenhet och utbildning. Striktioner för frisläppandet av SSI och annan SSI-policy eller hanteringsrelaterade problem har ibland frustrerat branschintressenter, kongressen, media och våra egna anställda som försöker arbeta inom begränsningarna. Betydande tid och ansträngning har ägnats åt SSI-frågor, och det är inte troligt att det nuvarande tillvägagångssättet för att ta itu med sådana frågor kan hållas.

Men i en rapport till kongressen den 30 november 2007 med titeln Transportation Security Administration's Processes for Designating and Releasing Sensitive Security Information, sa GAO: "DHS, främst genom TSA:s SSI-kontor, har tagit itu med alla lagstiftande mandat från DHS Appropriation Act, 2007, och vidtog åtgärder för att uppfylla alla rekommendationer från vår rapport från juni 2005. DHS reviderade sin MD (dvs. Management Directive) för att möta behovet av att uppdatera SSI-vägledning, och TSA har fastställt mer omfattande SSI-kriterier och exempel som svarar mot kraven i DHS Appropriation Act, 2007, och vår rekommendation från 2005 att TSA upprättar vägledning och förfaranden för att använda TSA-regler för att avgöra vad som utgör SSI. Vidare har TSA dokumenterat kriterierna och exemplen i olika publikationer för att fungera som vägledning för att identifiera och utse SSI. TSA har också delat sin dokumentation av kriterierna och exemplen med andra DHS-byråer."

Den 28 juli 2008 gick GAO ännu längre och sa till kongressen: "Transportation Security Administrations (TSA) program för att hantera information som den utser som känslig säkerhetsinformation skulle kunna fungera som en modell för att vägleda andra myndigheters implementering av CUI."

Lagstiftning för att stävja sekretessavtal

Under 1980-talet krockade kongressen och Vita huset om sekretessavtal som sade att anställda kunde straffas för att avslöja "sekretessbelagd" (snarare än hemligstämplad) information. Det primära argumentet emot var att en whistleblower kunde hämnas genom ett ledningsbeslut att helt enkelt retroaktivt besluta att de avslöjade sekretessbelagd information - även om den inte var hemligstämplad när avslöjandet skedde. Beslutet att markera informationen som känslig skulle ha skett först efter ett utlämnande. Vidare skulle detta ha hållit anställda som lämnat ut till en högre standard än den som ansvarar för märkning av uppgifter som ska märkas sekretessbelagda. Till slut togs den "klassificerbara" aspekten av regeringens sekretesspolicy bort.

Samma situation har dock lyft upp huvudet i den tidigare TSA Federal Air Marshal Robert MacLean v. Department of Homeland Securitys uppsägning av whistleblower-fallet, som kretsar kring TSA:s retroaktiva beslut att märka ett avslöjande från MacLean som "Känslig säkerhetsinformation." tre år efter att han lämnat sitt avslöjande och fyra månader efter att han sagt upp honom. MacLean hävdar att hans avslöjande skyddades av Whistleblower Protection Act ; TSA motarbetar att SSI-avslöjande inte är skyddade eftersom överträdelser av verkställande organs bestämmelser är lika med ett "brott mot lag".

Enligt denna husrapport från 1988. "Förvaltningens senaste försök att definiera "sekretessbelagd" håller anställda ansvariga för avslöjande av icke-sekretessbelagda uppgifter, utan föregående meddelande till dem om dess särskilda status. Enligt Executive Order 12356 är sekretessbelagda uppgifter märkta som sådana. Avsnitt 1.5. Även information som håller på att fastställa en klassificering ges en interimistisk klassificeringsmärkning för en period på 30 dagar. Executive Order 12356, Sections 1.1(c), 1.(e). Den anställde är därför medveten om sin speciella status. Utan klassificeringsmarkeringarna på oklassificerad information kan dock en anställd inte vara säker på att sekretessavtalens begränsningar gäller för det materialet. Följaktligen måste de kontrollera med sina arbetsledare och därigenom uppmärksamma dem på avslöjandet. Det inbjuder till en kylande effekt. Som dåvarande kongressledamot (nu amerikansk senator) Barbara Boxer noterade vid utfrågningarna:

Jag är orolig att detta kommer att tvinga blivande visselblåsare att behöva fråga sina överordnade om klassificeringsbestämningar. Detta skulle agera för att stoppa meddelaren.

Det bör dock återigen noteras att känslig säkerhetsinformation regleras av publicerade bestämmelser. Om det är korrekt markerat som SSI, varnar ett dokument tydligt en anställd att följa regulatoriska krav och implementeringsvägledning angående avslöjande.

Obamas administration

John Podesta , chef för Barack Obama-teamets presidentövergång , sa till amerikanska lagstiftare den 16 september 2008 att under de senaste sju åren har "Bush-administrationen ökat sekretessen och begränsat tillgången till information på olika sätt", inklusive:

  • En explosion i användningen av "kontrollerade oklassificerade" markeringar, av vilka de flesta aldrig har godkänts enligt lag, för att begränsa tillgången till oklassificerad information.
  • Att hota journalister, whistleblowers och andra privata medborgare med åtal för innehav eller publicering av nationell säkerhetsinformation; och utfärdande av hemliga order och juridiska yttranden för att skydda olagliga handlingar från offentlig granskning.

Rapport för 2014 års tvåpartskongressens tillsynskommitté

Den 29 maj 2014 utfärdade USA:s huskommitté för tillsyn och regeringsreformer den republikanska ordföranden Darrell Issa och demokraternas rankade medlem Elijah Cummings en mycket kritisk rapport om SSI. Den citerade dessa resultat: "TSA utsåg felaktigt viss information som SSI för att undvika att den offentliggjordes. TSA släppte upprepade gånger information till allmänheten mot inrådan från SSI-kontoret och utan att ha tagit fram lämplig dokumentation för att förklara beslutet. Strukturen och positionen från SSI-kontoret inom TSA har bidragit till de svårigheter som kontoret har stött på i att utföra sitt uppdrag. TSA har flyttat kontoret inom myndighetens organisationsstruktur flera gånger. En tjänsteman uppgav att kontorsflyttarna i praktiken har förvisat det till ett "slängkontor". "

På sidan 17 i rapporten citerade den i detalj det pågående amerikanska högsta domstolens mål, Department of Homeland Security v. MacLean: "TSA:s offentliggörande av information relaterad till [Federal Air Marshals (FAM)] är särskilt ironiskt med tanke på byråns behandling av whistleblower och före detta flygmarskalken Robert MacLean . 2003 blåste MacLean i ropet om TSA:s planer på att avbryta FAM-bevakningen på flygningar trots hotet om en överhängande kapning av Al Qaida. Många kongressmedlemmar uttryckte oro och DHS drog tillbaka ordern om att avbryta FAM-bevakningen , kallar det "ett misstag". Tre år senare märkte TSA retroaktivt informationen som MacLean hade avslöjat som SSI och sparkade MacLean för hans avslöjande."

Kommittén drog slutsatsen att "TSA gjorde betydande förbättringar av sin SSI-designprocess efter kommitténs utredning."

Utmaningar

I Chowdhury v. TSA utmanade ACLU TSA:s befogenhet att undanhålla SSI från civilrättsliga tvister och deras advokater i en begäran om granskning som är anhängig vid USA:s andra appellationsdomstol i New York. ACLU försökte fastställa:

  • Huruvida TSA har den erforderliga lagstadgade behörigheten att undanhålla SSI från civilrättsliga tvistar och deras advokater, där TSA har bestämt att ett sådant avslöjande skulle vara skadligt för transportsäkerheten.
  • Huruvida TSA:s expertbedömning att undanhålla SSI från civilrättsliga tvistande parter och deras advokater utgör "åtgärder som bestäms av byråns bedömning enligt lag"
  • Huruvida en TSA Final Order om SSI berövar käranden i detta fall ett grundlagsskyddat egendomsintresse utan vederbörlig rättsprocess.

I maj 2005 har andra kretsdomstolen ännu inte tagit ställning i frågan. Emellertid krävde Homeland Security Appropriations Act från 2007 (Pub. L. No. 109-295), avsnitt 525(d): "Att i civilrättsliga förfaranden i USA:s distriktsdomstolar, där en part som söker tillgång till SSI visar att parten har ett betydande behov av relevant SSI i förberedelsen av partens ärende och att parten inte utan onödiga svårigheter kan erhålla den väsentliga motsvarigheten till informationen på annat sätt, ska partens eller partens ombud utses som en täckt person enligt 49 CFR Del 1520.7 för att få tillgång till den SSI som är aktuell i målet, förutsatt att tillsynsdomaren anger ett beslut som skyddar SSI från obehörigt eller onödigt avslöjande och specificerar villkoren för tillgång ..."

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=Sensitive_Security_Information&oldid=1099958002 "