การทำให้กระบวนการง่ายขึ้นไม่ได้หมายความว่าจะสูญเสียความเข้มงวดไป นั่นคือเป้าหมายและแนวคิดในการขับเคลื่อนโครงการ Federal Risk Authorization Management (FedRAMP) ในช่วงห้าปีที่ผ่านมาความเป็นผู้นำของสำนักงานการจัดการโปรแกรมความปลอดภัยบนคลาวด์ได้รับฟังเสียงเรียกร้องจากอุตสาหกรรม หน่วยงาน และฝ่ายนิติบัญญัติ“สิ่งที่เราได้ยินจากผู้มีส่วนได้ส่วนเสียของเราคือความเรียบง่าย เพิ่มระบบอัตโนมัติในกระบวนการ ขยายตลาดของรัฐบาลกลาง และมอบโอกาสการเรียนรู้ที่มากขึ้น” Brian Conrad รักษาการผู้อำนวยการของ FedRAMP
กล่าวในการให้สัมภาษณ์กับ Federal News Network “ยิ่งไปกว่านั้น
เรากำลังดำเนินการย้ายจาก National Institute of Standards Special Publication 800-53 revision 4 ไปยัง revision 5 control catalog ดังนั้นบางสิ่งที่เรากำลังทำอยู่นั้นเกี่ยวข้องกับการให้คะแนนตามภัยคุกคาม เรากำลังใช้สิ่งนั้นกับตัวควบคุมที่อยู่ในแคตตาล็อก 800-53 รุ่นปรับปรุง 5 เรามั่นใจว่าการควบคุมที่อยู่ในบรรทัดฐานนั้นเป็นการเพิ่มมูลค่า ซึ่งจะช่วยป้องกัน ตรวจจับ และตอบสนอง [กิจกรรมทางไซเบอร์] ในการรักษาความปลอดภัยข้อมูลของรัฐบาลกลาง”
ข้อมูลเชิงลึกโดย Hypori: ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ ผู้ดำเนินรายการ Jared Serbu จะหารือเกี่ยวกับกลยุทธ์การปรับให้ทันสมัยทางดิจิทัลกับ DoD และผู้เชี่ยวชาญในอุตสาหกรรม
ที่มา: FedRAMP พฤษภาคม 2021
FedRAMP ออกสมุดปกขาวในเดือนกุมภาพันธ์เพื่อขอความคิดเห็นเกี่ยวกับวิธีการให้คะแนนภัยคุกคาม
“FedRAMP ทำงานร่วมกับ Cybersecurity Infrastructure Security Agency .gov Cybersecurity Architecture Review (.govCAR ของ CISA) พวกเขาพัฒนาวิธีการให้คะแนน NIST SP 800-53, rev. 4 การควบคุมความปลอดภัยจาก National Security Agency (NSA)/CSS Technical Cyber Threat Framework v2 (NTCTF)” FedRAMP เขียนในบล็อกโพสต์
“เป้าหมายของพวกเขาคือการช่วยให้เอเจนซี่ ผู้ให้บริการคลาวด์ (CSP)
และพันธมิตรในอุตสาหกรรมอื่น ๆ จัดลำดับความสำคัญของการควบคุมความปลอดภัยที่เกี่ยวข้องและมีประสิทธิภาพต่อสภาพแวดล้อมภัยคุกคามในปัจจุบัน สิ่งนี้นำไปสู่การตัดสินใจในการจัดการความเสี่ยงเชิงปริมาณที่มีข้อมูลครบถ้วนในการอนุญาตระบบข้อมูลสำหรับการใช้งานของรัฐบาล”
Conrad กล่าวว่าเขาหวังว่าหน่วยงานและผู้ให้บริการคลาวด์จะมีความเข้าใจที่ดีขึ้นจากการประเมินตามภัยคุกคามว่าการควบคุมใดดีที่สุดเพื่อป้องกันภัยคุกคามในโลกแห่งความเป็นจริงตามที่ปรากฏ
“เรากำลังสำรวจว่าข้อมูลนี้สามารถนำมาใช้เพื่อสร้างโปรไฟล์ความเสี่ยงได้อย่างไร โดยให้เจ้าหน้าที่ที่มีอำนาจใช้ข้อมูลเชิงปริมาณตามวิธีการเชิงปริมาณที่ป้องกันได้เพื่อทำการตัดสินใจเกี่ยวกับความเสี่ยง” เขากล่าว “เราไม่ได้เพิ่มส่วนควบคุม เพียงเพราะเราคิดว่าเป็นความคิดที่ดีที่จะเพิ่มส่วนควบคุม แต่จริง ๆ แล้วมีความเข้มงวดอยู่เบื้องหลัง และมันก็สมเหตุสมผลในการสนับสนุนการปกป้องข้อมูลของรัฐบาลกลาง”
เขาเสริมว่าวิธีการตามภัยคุกคามอาจช่วยลดภาระของผู้ให้บริการคลาวด์ องค์กรประเมินบุคคลที่สาม และคณะกรรมการอนุญาตร่วม (JAB) เมื่อทำการประเมินประจำปี
ปีที่แข็งแกร่งในปี 2020
นอกเหนือจากวิธีการตามภัยคุกคามแล้ว FedRAMP ยังทำงานร่วมกับ NIST เพื่อใช้ระบบอัตโนมัติกับโปรแกรม ด้วยภาษาประเมินการควบคุมความปลอดภัยแบบเปิด (OSCAL) NIST และ FedRAMP หวังว่าการใช้ภาษาดังกล่าวกับชุดการรับรอง จะสามารถ ลดเวลาและความพยายาม เพื่อให้บริษัทได้รับการรับรองจาก FedRAMP
“เรามีความก้าวหน้าอย่างมากในปีที่แล้วกับ NIST เพื่อให้ OSCAL พร้อมใช้งาน และแน่นอนว่าการเป็นพันธมิตรกับผู้ให้บริการคลาวด์ของเรานั้นมีประโยชน์อย่างเหลือเชื่อ” เขากล่าว “เรามีผู้ให้บริการคลาวด์ที่ต้องการเป็นส่วนหนึ่งของโครงการนำร่อง เช่นเดียวกับผู้ประเมินบุคคลที่สามที่รอคอยสิ่งนี้เช่นกัน เป็นเรื่องสำคัญเนื่องจากการปรับใช้ระบบอัตโนมัติจะช่วยลดความแปรปรวนของเวลาและทรัพยากรที่จำเป็นในการสร้างสิ่งประดิษฐ์ด้านความปลอดภัยเหล่านี้ทั้งหมด”
Conrad กล่าวว่าแม้จะมีการปรับปรุงอย่างต่อเนื่องทั้งหมดนี้ แต่ FedRAMP ก็มีปีที่แข็งแกร่งในปี 2020
างกัน มีเทคโนโลยีที่แตกต่างกัน และมีธุรกิจขนาดต่างๆ ดัง
credit : เว็บสล็อตแท้