วิธีการตามภัยคุกคามคือขั้นตอนต่อไปของ FedRAMP สู่ความเรียบง่ายพร้อมความเข้มงวด

วิธีการตามภัยคุกคามคือขั้นตอนต่อไปของ FedRAMP สู่ความเรียบง่ายพร้อมความเข้มงวด

การทำให้กระบวนการง่ายขึ้นไม่ได้หมายความว่าจะสูญเสียความเข้มงวดไป นั่นคือเป้าหมายและแนวคิดในการขับเคลื่อนโครงการ Federal Risk Authorization Management (FedRAMP) ในช่วงห้าปีที่ผ่านมาความเป็นผู้นำของสำนักงานการจัดการโปรแกรมความปลอดภัยบนคลาวด์ได้รับฟังเสียงเรียกร้องจากอุตสาหกรรม หน่วยงาน และฝ่ายนิติบัญญัติ“สิ่งที่เราได้ยินจากผู้มีส่วนได้ส่วนเสียของเราคือความเรียบง่าย เพิ่มระบบอัตโนมัติในกระบวนการ ขยายตลาดของรัฐบาลกลาง และมอบโอกาสการเรียนรู้ที่มากขึ้น” Brian Conrad รักษาการผู้อำนวยการของ FedRAMP

 กล่าวในการให้สัมภาษณ์กับ Federal News Network “ยิ่งไปกว่านั้น

 เรากำลังดำเนินการย้ายจาก National Institute of Standards Special Publication 800-53 revision 4 ไปยัง revision 5 control catalog ดังนั้นบางสิ่งที่เรากำลังทำอยู่นั้นเกี่ยวข้องกับการให้คะแนนตามภัยคุกคาม เรากำลังใช้สิ่งนั้นกับตัวควบคุมที่อยู่ในแคตตาล็อก 800-53 รุ่นปรับปรุง 5 เรามั่นใจว่าการควบคุมที่อยู่ในบรรทัดฐานนั้นเป็นการเพิ่มมูลค่า ซึ่งจะช่วยป้องกัน ตรวจจับ และตอบสนอง [กิจกรรมทางไซเบอร์] ในการรักษาความปลอดภัยข้อมูลของรัฐบาลกลาง”

        ข้อมูลเชิงลึกโดย Hypori: ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ ผู้ดำเนินรายการ Jared Serbu จะหารือเกี่ยวกับกลยุทธ์การปรับให้ทันสมัยทางดิจิทัลกับ DoD และผู้เชี่ยวชาญในอุตสาหกรรม

ที่มา: FedRAMP พฤษภาคม 2021

FedRAMP ออกสมุดปกขาวในเดือนกุมภาพันธ์เพื่อขอความคิดเห็นเกี่ยวกับวิธีการให้คะแนนภัยคุกคาม

“FedRAMP ทำงานร่วมกับ Cybersecurity Infrastructure Security Agency .gov Cybersecurity Architecture Review (.govCAR ของ CISA) พวกเขาพัฒนาวิธีการให้คะแนน NIST SP 800-53, rev. 4 การควบคุมความปลอดภัยจาก National Security Agency (NSA)/CSS Technical Cyber ​​Threat Framework v2 (NTCTF)” FedRAMP เขียนในบล็อกโพสต์ 

“เป้าหมายของพวกเขาคือการช่วยให้เอเจนซี่ ผู้ให้บริการคลาวด์ (CSP)

 และพันธมิตรในอุตสาหกรรมอื่น ๆ จัดลำดับความสำคัญของการควบคุมความปลอดภัยที่เกี่ยวข้องและมีประสิทธิภาพต่อสภาพแวดล้อมภัยคุกคามในปัจจุบัน สิ่งนี้นำไปสู่การตัดสินใจในการจัดการความเสี่ยงเชิงปริมาณที่มีข้อมูลครบถ้วนในการอนุญาตระบบข้อมูลสำหรับการใช้งานของรัฐบาล”

Conrad กล่าวว่าเขาหวังว่าหน่วยงานและผู้ให้บริการคลาวด์จะมีความเข้าใจที่ดีขึ้นจากการประเมินตามภัยคุกคามว่าการควบคุมใดดีที่สุดเพื่อป้องกันภัยคุกคามในโลกแห่งความเป็นจริงตามที่ปรากฏ

“เรากำลังสำรวจว่าข้อมูลนี้สามารถนำมาใช้เพื่อสร้างโปรไฟล์ความเสี่ยงได้อย่างไร โดยให้เจ้าหน้าที่ที่มีอำนาจใช้ข้อมูลเชิงปริมาณตามวิธีการเชิงปริมาณที่ป้องกันได้เพื่อทำการตัดสินใจเกี่ยวกับความเสี่ยง” เขากล่าว “เราไม่ได้เพิ่มส่วนควบคุม เพียงเพราะเราคิดว่าเป็นความคิดที่ดีที่จะเพิ่มส่วนควบคุม แต่จริง ๆ แล้วมีความเข้มงวดอยู่เบื้องหลัง และมันก็สมเหตุสมผลในการสนับสนุนการปกป้องข้อมูลของรัฐบาลกลาง”

เขาเสริมว่าวิธีการตามภัยคุกคามอาจช่วยลดภาระของผู้ให้บริการคลาวด์ องค์กรประเมินบุคคลที่สาม และคณะกรรมการอนุญาตร่วม (JAB) เมื่อทำการประเมินประจำปี

ปีที่แข็งแกร่งในปี 2020

นอกเหนือจากวิธีการตามภัยคุกคามแล้ว FedRAMP ยังทำงานร่วมกับ NIST เพื่อใช้ระบบอัตโนมัติกับโปรแกรม ด้วยภาษาประเมินการควบคุมความปลอดภัยแบบเปิด  (OSCAL) NIST และ FedRAMP หวังว่าการใช้ภาษาดังกล่าวกับชุดการรับรอง จะสามารถ  ลดเวลาและความพยายาม  เพื่อให้บริษัทได้รับการรับรองจาก FedRAMP

“เรามีความก้าวหน้าอย่างมากในปีที่แล้วกับ NIST เพื่อให้ OSCAL พร้อมใช้งาน และแน่นอนว่าการเป็นพันธมิตรกับผู้ให้บริการคลาวด์ของเรานั้นมีประโยชน์อย่างเหลือเชื่อ” เขากล่าว “เรามีผู้ให้บริการคลาวด์ที่ต้องการเป็นส่วนหนึ่งของโครงการนำร่อง เช่นเดียวกับผู้ประเมินบุคคลที่สามที่รอคอยสิ่งนี้เช่นกัน เป็นเรื่องสำคัญเนื่องจากการปรับใช้ระบบอัตโนมัติจะช่วยลดความแปรปรวนของเวลาและทรัพยากรที่จำเป็นในการสร้างสิ่งประดิษฐ์ด้านความปลอดภัยเหล่านี้ทั้งหมด”

Conrad กล่าวว่าแม้จะมีการปรับปรุงอย่างต่อเนื่องทั้งหมดนี้ แต่ FedRAMP ก็มีปีที่แข็งแกร่งในปี 2020

างกัน มีเทคโนโลยีที่แตกต่างกัน และมีธุรกิจขนาดต่างๆ ดัง

credit : เว็บสล็อตแท้