Defence Standard 05-138¶
Status: In flight (Plan 100). WI-0 (prace fundamentowe) obecnie w toku.
Zakres¶
Defence Standard 05-138 Issue 4 (lipiec 2024) to brytyjski standard cyber security UK MoD, który muszą spełniać kontraktorzy dostarczający systemy do Ministry of Defence. Choć 05-138 wyprzedza wytyczne specyficzne dla AI, jego zestaw kontroli jest tym, do czego klienci z defence supply chain są kontraktowo zobowiązani, więc pakiet Secruny traktuje go jako framework pierwszej klasy, a nie jako pod-zbiór AI Playbook.
05-138 jest standardem profile-based: każdy system dostaje przypisany Cyber Risk Profile w oparciu o wrażliwość danych oraz konsekwencje kompromitacji, a zestaw kontroli, które system musi spełnić, wynika z profilu.
Profile¶
| Profil | Opis |
|---|---|
| Very Low | Informacje publiczne; minimalne konsekwencje kompromitacji. |
| Low | Informacje wewnętrzne; ograniczone konsekwencje kompromitacji. |
| Moderate | Informacje wrażliwe; znaczące konsekwencje kompromitacji. |
| High | Informacje silnie wrażliwe; ciężkie konsekwencje kompromitacji. |
Profil jest ustalany w czasie tworzenia systemu AI i napędza, które kontrole mają zastosowanie. Wyższe profile dziedziczą kontrole każdego niższego profilu.
Kategorie¶
Każda kontrola ewaluuje się do jednej z trzech kategorii:
mandatory_control— kontrola jest wymagana na tym poziomie profilu. Niespełnienie to naruszenie kontraktu.recommended_control— kontrola jest best practice na tym profilu, ale nie jest wymagana kontraktowo. Klienci zwykle spełniają ją dla defence-in-depth.not_applicable— kontrola nie ma zastosowania do tego systemu AI na tym profilu.
Dlaczego to ma znaczenie dla AI¶
05-138 nie jest standardem AI, ale każdy system AI w kontekście obronnym jest też systemem oprogramowania, a systemy oprogramowania w kontekście obronnym podlegają 05-138. Pakiet pozwala klientowi z defence supply chain prowadzić jeden inwentarz systemów AI zmapowany zarówno wobec Defence AI Playbook (obowiązki specyficzne dla AI), jak i 05-138 (obowiązki cyber security), bez podwójnego wpisywania.
Reference¶
UK Ministry of Defence, Defence Standard 05-138 Issue 4 (lipiec 2024).
Plan references¶
- Plan 100 WI-0 — fundament: model profilu na
ai_systems, taksonomia kontroli, rejestracja frameworka 05-138. In flight. - Plan 100 WI-1+ — pakiet YAML kontroli per profil i matchery wobec taksonomii kategorii Plan 96 WI-3. Zaplanowane po WI-0.
Czego nie ma w tym pakiecie¶
Kontrole cyber security, które 05-138 specyfikuje, są ewaluowane
wobec tej samej powierzchni artifact_metadata co rule books
AI. Tam, gdzie kontrole 05-138 wymagają dowodów spoza zasięgu
Secruny (np. bezpieczeństwo fizyczne obiektu), werdykt jest
not_applicable_to_secruna i kontrola jest oflagowana, by
klient udowodnił ją zewnętrznie.
Analysis (po angielsku)¶
Pełna analiza (Scope, Key obligations, Our coverage approach, Gaps, Customer impact) jest w angielskiej wersji tej strony — terminologia kontraktowa MoD pozostaje w angielskim oryginale. Zobacz Defence Standard 05-138 (EN). Krótkie streszczenie po polsku: egzekucja 05-138 jest kontraktowa. Praktyczne konsekwencje to dyskwalifikacja oferty (brak dowodów 05-138 to porażka u bramy), naruszenie kontraktu (od planów naprawczych po rozwiązanie umowy), reach-back po supply chain (porażka sub-kontraktora staje się problemem prime contractora) oraz ekspozycja reputacyjna i incydentalna. Dla systemów AI specyficznie 05-138 nakłada się na obowiązki Defence AI Playbook — klient w zakresie obu pakietów ma skumulowaną ekspozycję kontraktową.