วหมวกอาจเป็นชุดสุดท้ายของรายงาน Federal Information Security Management Act (FISMA) ประจำปีที่น่าสะพรึงกลัวที่สุดซึ่งมาจากผู้ตรวจสอบทั่วไปของหน่วยงานการยอมรับ เมื่อเร็วๆ นี้ของทำเนียบขาวว่าร่างกฎหมายไซเบอร์ฉบับเล็กอาจดีกว่าร่างกฎหมายใหญ่ฉบับเดียว สร้างความหวังว่าสภาคองเกรสอาจผ่านร่างกฎหมายไซเบอร์ในปีหน้า และการอัปเดตเป็น FISMA ก็จะรวมอยู่ในแนวทางการเรียกเก็บเงินที่เล็กลงอย่างแน่นอน ใช่ไหม
คำวิจารณ์ที่มีมาอย่างยาวนานของ FISMA คือการปฏิบัติตามข้อ
กำหนดหรือแบบฝึกหัดรายการตรวจสอบ และการตรวจสอบการปฏิบัติตามกฎระเบียบของหน่วยงานผ่านหรือไม่ผ่านมากเกินไป แทนที่จะคำนึงถึงการตัดสินใจตามความเสี่ยงของหน่วยงาน
รายงานล่าสุดของกระทรวงการต่างประเทศเน้นย้ำถึงสิ่งที่หลายคนเห็นว่าเป็นปัญหาของ FISMA ก่อนอื่น ส่วนที่ดีของรายงานของ State IG จะถูกแก้ไขด้วยเหตุผลด้านความมั่นคงของชาติ แต่ความจริงอย่างหนึ่งที่เปิดเผยคือรัฐเพิ่มงบประมาณด้านความปลอดภัยทางไซเบอร์ของหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลในสำนักการจัดการทรัพยากรสารสนเทศ สำนักงานประกันสารสนเทศเป็น 14 ล้านดอลลาร์ในปี 2556 เป็น 14 ล้านดอลลาร์ เพื่อจ้างผู้รับเหมาเพื่อให้ปฏิบัติตาม FISMA ได้ดียิ่งขึ้น
Insight by Rancher Government Solutions: รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบัน
ปัญหาที่ใหญ่ที่สุดของ FISMA อยู่ในนั้น ไม่ต้องเล่นความหมาย
แต่ “ปรับปรุงความพยายามในการปฏิบัติตาม FISMA” เป็นวลีสำคัญ
ไม่ใช่เพื่อปรับปรุงความปลอดภัยทางไซเบอร์หรือปกป้องข้อมูลให้ดียิ่งขึ้น แต่เพื่อให้เป็นไปตามกฎหมาย ตอนนี้ ในวลีนั้น IG ของรัฐหมายถึงการพูดว่าหน่วยงานกำลังใช้เงินทุนเพิ่มเติมเพื่อแก้ไขคำแนะนำ 29 ข้อในรายงานปีงบประมาณ 2013 หรือคำแนะนำ 33 ข้อในการตรวจสอบปีนี้ แต่นั่นไม่ใช่สิ่งที่ IG เขียน ดังนั้นจึงยากที่จะบอกว่าผู้ตรวจสอบหมายถึงอะไร
การค้นพบของ IG หมายความว่าระบบของรัฐไม่ปลอดภัยหรือเต็มไปด้วยช่องโหว่หรือไม่? ตามเนื้อผ้า รัฐเป็นผู้นำในการรักษาความปลอดภัยทางไซเบอร์ ใช้การตรวจสอบอย่างต่อเนื่องและการให้คะแนนตามความเสี่ยงก่อนหน่วยงานอื่น ๆ เกือบทั้งหมด ซึ่งทำให้เชื่อว่าพวกเขามีรูปร่างที่ดีกว่าหน่วยงานอื่น ๆ ในแง่ของการทำความเข้าใจความเสี่ยงและการปกป้องระบบหรือข้อมูลที่สำคัญที่สุด .
ชุมชน IG ยังตระหนักถึงปัญหาในการปฏิบัติตามคำสั่งของ FISMA และเข้าใจธรรมชาติที่เปลี่ยนแปลงไปของแนวปฏิบัติด้านความปลอดภัยในโลกไซเบอร์ ซึ่งการตัดสินใจขึ้นอยู่กับความเสี่ยงมากกว่าแนวทางการป้องกันแบบครอบคลุม
เมื่อเดือนกุมภาพันธ์ที่แล้ว ฉันได้เขียนเกี่ยวกับความพยายามของ Council of IGs ในการพัฒนาแบบจำลองวุฒิภาวะใหม่สำหรับการรักษาความปลอดภัยทางไซเบอร์ของหน่วยงาน เพื่อหลีกหนีจากการประเมิน FISMA ทั่วไปที่หลายคนเชื่อว่ามีค่าเพียงเล็กน้อย
และดูเหมือนว่าโมเดลที่ครบกำหนดนั้นเกือบจะพร้อมสำหรับการทดสอบแล้ว
ในระหว่างการประชุม Federal Audit Executive Council ในเดือนกันยายนAndy Patchan ผู้ร่วมงาน IG สำหรับ IT ที่ Federal Reserve Board และ Consumer Financial Protection Bureau และLouis Kingผู้ช่วย IG สำหรับการตรวจสอบทางการเงินและ IT ที่ Department of Transportation ได้นำเสนอความครบกำหนดที่เสนอ แบบจำลองสำหรับความปลอดภัยของข้อมูลและการตรวจสอบอย่างต่อเนื่อง (ISCM)
แบบร่างประกอบด้วยสี่ระดับโดยเริ่มจากนโยบายและขั้นตอน และสิ้นสุดด้วยการปรับปรุงแนวทางปฏิบัติของ ISCM อย่างต่อเนื่อง
