หน่วยงานที่ได้รับการรับรองทางไซเบอร์กล่าว

หน่วยงานที่ได้รับการรับรองทางไซเบอร์กล่าว

ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับข้อมูลเสียงสัมภาษณ์ประจำวันของ Federal Drive  บนApple Podcast  หรือ  PodcastOneหน่วยงานรับรองที่อยู่เบื้องหลังโปรแกรม Cybersecurity Maturity Model Certification กำลังวางแผนที่จะแก้ไขร่างเอกสารกระบวนการที่เผยแพร่เมื่อเดือนที่แล้ว หลังจากถูกวิพากษ์วิจารณ์อย่างกว้างขวางว่ามีความซับซ้อนและเข้มงวดเกินไป

ในระหว่างการประชุมสาธารณะเมื่อวันอังคาร Matthew Travis

 ประธาน Cyber ​​Accreditation Body เน้นย้ำว่าเอกสาร “CMMC Assessment Process”หรือที่เรียกว่า “CAP” เป็นร่างก่อนการตัดสินใจ Cyber ​​AB เผยแพร่ เอกสารสาธารณะฉบับแรก ในปลายเดือนกรกฎาคม มันวางแนวทางขั้นตอนสำหรับการประเมิน CMMC ของผู้รับเหมาป้องกันควรดำเนินการอย่างไร

“เราต้องการรับฟังความคิดเห็นของคุณเป็นอย่างมาก และฉันรู้ว่าร่าง CAP ทำให้เกิดกิจกรรมมากมายในกระดานข้อความและเวทีอื่นๆ ซึ่งดีมาก” Travis กล่าวเมื่อวันอังคาร “เราจะทำงานนี้ต่อไปและตัดสินความคิดเห็นและแบ่งปันกับคุณ ในแต่ละเดือนจะให้ข้อมูลอัปเดตเกี่ยวกับการแก้ไขและการเปลี่ยนแปลง CAP แก่คุณ”

        ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps

ในจดหมายถึง Travis เมื่อวันที่ 24 ส.ค.กลุ่มพันธมิตรเพื่อการจัดซื้อจัดจ้างของรัฐบาลได้โต้แย้งร่าง CAP ว่า “เพิ่มภาระและค่าใช้จ่ายให้กับกระบวนการที่ซับซ้อนอยู่แล้ว” กลุ่มพันธมิตรกล่าวว่ามีสมาชิกมากกว่า 300 คน และ 25% เป็นธุรกิจขนาดเล็ก

“เรามีข้อสงวนอย่างจริงจังเกี่ยวกับ CAP และขอเรียกร้อง

ให้ถอดถอน พิจารณาใหม่ และออกใหม่ในรูปแบบที่แตกต่างกันโดยพื้นฐาน” จดหมายระบุ

คำติชมจำนวนมากมีปัญหาเกี่ยวกับคำอธิบายโดยละเอียดเกี่ยวกับวิธีการที่ CMMC Third-Party Assessment Organization (C3PAO) ควรเตรียมตัวสำหรับการประเมินและเจรจากับบริษัทที่ต้องการบริการ

“เมื่อมีการแก้ไข CAP ควรกระชับมากขึ้น แสดงอย่างเรียบง่ายและชัดเจนมากขึ้น และควรหลีกเลี่ยงการกำหนดขั้นตอนย่อยที่ C3PAO ไม่ต้องการ” กลุ่มพันธมิตรเพื่อการจัดซื้อจัดจ้างของรัฐบาลเขียนไว้ในจดหมาย

ข้อวิจารณ์อีกประการหนึ่งคือ CAP ไม่สอดคล้องกับวิธีที่กระทรวงกลาโหมดำเนินการประเมินทางไซเบอร์ของผู้รับเหมาจำนวนจำกัดผ่านศูนย์ประเมินความปลอดภัยทางไซเบอร์ของฐานอุตสาหกรรมกลาโหม

Travis กล่าวว่าจุดประสงค์ของ CAP คือการวางกระบวนการที่สอดคล้องกันสำหรับการประเมินโดยบุคคลที่สาม ซึ่งต้องมี “ลำดับขั้นตอน” ในเอกสาร แต่เขากล่าวว่าเขาตระหนักถึงความจำเป็นในการหา “สมดุลที่ดี” ในจำนวนรายละเอียดที่มีให้

“เราจะดูอย่างแน่นอนว่าร่าง CAP ปัจจุบันสามารถลดขนาดลงและทำให้มีประสิทธิภาพมากขึ้นได้หรือไม่” ทราวิสกล่าว “DIBCAC มีส่วนร่วมในการช่วยเหลือเราในเรื่อง CAP เป็นเอกสารของเรา แต่แน่นอนว่าเรายื่นอุทธรณ์ต่อผู้เชี่ยวชาญบางส่วนของพวกเขา ดังนั้น เราจะพิจารณาต่อไปเพื่อดูว่ามีตรงไหนที่ไม่ตรงกัน ทำงานเพื่อให้ตรงกันมากขึ้น”

คำถามสำคัญสำหรับกระบวนการ CMMC คือการใช้ระบบคลาวด์และบริการด้านไอทีที่มีการจัดการของผู้รับเหมาจะได้รับการพิจารณาว่าเป็นส่วนหนึ่งของการประเมินอย่างไร เจ้าหน้าที่กระทรวงกลาโหมกล่าวว่าพวกเขาต้องการเสนอระดับการแลกเปลี่ยนซึ่งกันและกันสำหรับระบอบการปฏิบัติตามกฎระเบียบอื่น ๆ เช่น Federal Risk and Authorization Management Program (FedRAMP) แต่แผนกได้เสนอรายละเอียดหรือคำแนะนำเพียงเล็กน้อย

ร่าง CAP รวมถึงภาษาเกี่ยวกับวิธีที่ C3PAO ควรประเมินบริการเหล่านี้ “การตรวจสอบและพิจารณาว่าผู้ให้บริการระบบคลาวด์ภายนอกตรงตามความต้องการด้านความปลอดภัย ‘เทียบเท่า’ กับพื้นฐาน FedRAMP Moderate หรือไม่” เป็นต้น

แต่แนวร่วมเพื่อการจัดซื้อจัดจ้างของรัฐบาลกลับผลักดันไปในทิศทางนั้น

credit: pescalluneslanparty.com sfery.org planesyplanetas.com vosoriginesyourroots.com citadelindustry.com tomklaasen.net tglsys.net nezavisniprostor.net greensys2013.org northpto.org