ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับข้อมูลเสียงสัมภาษณ์ประจำวันของ Federal Drive บนApple Podcast หรือ PodcastOneหน่วยงานรับรองที่อยู่เบื้องหลังโปรแกรม Cybersecurity Maturity Model Certification กำลังวางแผนที่จะแก้ไขร่างเอกสารกระบวนการที่เผยแพร่เมื่อเดือนที่แล้ว หลังจากถูกวิพากษ์วิจารณ์อย่างกว้างขวางว่ามีความซับซ้อนและเข้มงวดเกินไป
ในระหว่างการประชุมสาธารณะเมื่อวันอังคาร Matthew Travis
ประธาน Cyber Accreditation Body เน้นย้ำว่าเอกสาร “CMMC Assessment Process”หรือที่เรียกว่า “CAP” เป็นร่างก่อนการตัดสินใจ Cyber AB เผยแพร่ เอกสารสาธารณะฉบับแรก ในปลายเดือนกรกฎาคม มันวางแนวทางขั้นตอนสำหรับการประเมิน CMMC ของผู้รับเหมาป้องกันควรดำเนินการอย่างไร
“เราต้องการรับฟังความคิดเห็นของคุณเป็นอย่างมาก และฉันรู้ว่าร่าง CAP ทำให้เกิดกิจกรรมมากมายในกระดานข้อความและเวทีอื่นๆ ซึ่งดีมาก” Travis กล่าวเมื่อวันอังคาร “เราจะทำงานนี้ต่อไปและตัดสินความคิดเห็นและแบ่งปันกับคุณ ในแต่ละเดือนจะให้ข้อมูลอัปเดตเกี่ยวกับการแก้ไขและการเปลี่ยนแปลง CAP แก่คุณ”
ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
ในจดหมายถึง Travis เมื่อวันที่ 24 ส.ค.กลุ่มพันธมิตรเพื่อการจัดซื้อจัดจ้างของรัฐบาลได้โต้แย้งร่าง CAP ว่า “เพิ่มภาระและค่าใช้จ่ายให้กับกระบวนการที่ซับซ้อนอยู่แล้ว” กลุ่มพันธมิตรกล่าวว่ามีสมาชิกมากกว่า 300 คน และ 25% เป็นธุรกิจขนาดเล็ก
“เรามีข้อสงวนอย่างจริงจังเกี่ยวกับ CAP และขอเรียกร้อง
ให้ถอดถอน พิจารณาใหม่ และออกใหม่ในรูปแบบที่แตกต่างกันโดยพื้นฐาน” จดหมายระบุ
คำติชมจำนวนมากมีปัญหาเกี่ยวกับคำอธิบายโดยละเอียดเกี่ยวกับวิธีการที่ CMMC Third-Party Assessment Organization (C3PAO) ควรเตรียมตัวสำหรับการประเมินและเจรจากับบริษัทที่ต้องการบริการ
“เมื่อมีการแก้ไข CAP ควรกระชับมากขึ้น แสดงอย่างเรียบง่ายและชัดเจนมากขึ้น และควรหลีกเลี่ยงการกำหนดขั้นตอนย่อยที่ C3PAO ไม่ต้องการ” กลุ่มพันธมิตรเพื่อการจัดซื้อจัดจ้างของรัฐบาลเขียนไว้ในจดหมาย
ข้อวิจารณ์อีกประการหนึ่งคือ CAP ไม่สอดคล้องกับวิธีที่กระทรวงกลาโหมดำเนินการประเมินทางไซเบอร์ของผู้รับเหมาจำนวนจำกัดผ่านศูนย์ประเมินความปลอดภัยทางไซเบอร์ของฐานอุตสาหกรรมกลาโหม
Travis กล่าวว่าจุดประสงค์ของ CAP คือการวางกระบวนการที่สอดคล้องกันสำหรับการประเมินโดยบุคคลที่สาม ซึ่งต้องมี “ลำดับขั้นตอน” ในเอกสาร แต่เขากล่าวว่าเขาตระหนักถึงความจำเป็นในการหา “สมดุลที่ดี” ในจำนวนรายละเอียดที่มีให้
“เราจะดูอย่างแน่นอนว่าร่าง CAP ปัจจุบันสามารถลดขนาดลงและทำให้มีประสิทธิภาพมากขึ้นได้หรือไม่” ทราวิสกล่าว “DIBCAC มีส่วนร่วมในการช่วยเหลือเราในเรื่อง CAP เป็นเอกสารของเรา แต่แน่นอนว่าเรายื่นอุทธรณ์ต่อผู้เชี่ยวชาญบางส่วนของพวกเขา ดังนั้น เราจะพิจารณาต่อไปเพื่อดูว่ามีตรงไหนที่ไม่ตรงกัน ทำงานเพื่อให้ตรงกันมากขึ้น”
คำถามสำคัญสำหรับกระบวนการ CMMC คือการใช้ระบบคลาวด์และบริการด้านไอทีที่มีการจัดการของผู้รับเหมาจะได้รับการพิจารณาว่าเป็นส่วนหนึ่งของการประเมินอย่างไร เจ้าหน้าที่กระทรวงกลาโหมกล่าวว่าพวกเขาต้องการเสนอระดับการแลกเปลี่ยนซึ่งกันและกันสำหรับระบอบการปฏิบัติตามกฎระเบียบอื่น ๆ เช่น Federal Risk and Authorization Management Program (FedRAMP) แต่แผนกได้เสนอรายละเอียดหรือคำแนะนำเพียงเล็กน้อย
ร่าง CAP รวมถึงภาษาเกี่ยวกับวิธีที่ C3PAO ควรประเมินบริการเหล่านี้ “การตรวจสอบและพิจารณาว่าผู้ให้บริการระบบคลาวด์ภายนอกตรงตามความต้องการด้านความปลอดภัย ‘เทียบเท่า’ กับพื้นฐาน FedRAMP Moderate หรือไม่” เป็นต้น
แต่แนวร่วมเพื่อการจัดซื้อจัดจ้างของรัฐบาลกลับผลักดันไปในทิศทางนั้น
credit: pescalluneslanparty.com sfery.org planesyplanetas.com vosoriginesyourroots.com citadelindustry.com tomklaasen.net tglsys.net nezavisniprostor.net greensys2013.org northpto.org
