ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงเมื่อสภาคองเกรสอยู่ในทางตันเกี่ยวกับกฎหมายไซเบอร์ เส้นทางที่แตกต่างในการอัปเดตกฎหมายการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลาง (FISMA)กลุ่มอดีตผู้เชี่ยวชาญด้านไซเบอร์ของรัฐบาลกลางกำลังแนะนำการเปลี่ยนแปลงที่สำคัญสามประการใน Office of Management and Budget Circular A-130 เป้าหมาย
คือการรวบรวมการเฝ้าติดตามอย่างต่อเนื่อง บทบาทของแผนก
ความมั่นคงแห่งมาตุภูมิในการกำกับดูแลด้านการปฏิบัติงานของ FISMA และคำจำกัดความของระบบความมั่นคงแห่งชาติและระบบไอทีที่สำคัญ
ความพยายามในปัจจุบัน ‘ได้ผลเล็กน้อย’ เท่านั้นคาเรน อีแวนส์
กลุ่มผู้เชี่ยวชาญ — Alan Paller จาก SANS Institute; Jim Lewis จากศูนย์ยุทธศาสตร์และการศึกษาระหว่างประเทศ; Karen Evans ผู้อำนวยการ US Cyber Challenge; Dan Chenok กรรมการบริหารของ IBM Center for the Business of Government; และ Frank Reeder ผู้อำนวยการ Center for Internet Security ได้ออกเอกสารไวท์เปเปอร์ในวันนี้โดยให้รายละเอียดข้อเสนอแนะสำหรับการปรับปรุง A-130
“OMB ไม่ได้ขอให้เราทำเช่นนี้” Karen Evans อดีตผู้ดูแลระบบ OMB สำหรับรัฐบาลอิเล็กทรอนิกส์และไอทีกล่าวในการให้สัมภาษณ์กับ Federal News Radio “ถ้าคุณต้องการเปลี่ยนแปลงความปลอดภัยในโลกไซเบอร์และกฎหมายจะไม่เกิดขึ้น – นั่นคือสมมติฐาน – คำแนะนำประเภทใดที่สามารถทำได้ในวันนี้หากไม่มีกฎหมายที่จะทำให้ลูกบอลก้าวไปข้างหน้า มันเล็ดลอดออกมาจาก A-130”
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
Evans, Reeder และ Chenok เป็นอดีตเจ้าหน้าที่ OMB ในขณะ
ที่ Paller และ Lewis เป็นนักวิจารณ์อย่างตรงไปตรงมาเกี่ยวกับแนวทาง FISMA ที่มีมาช้านาน กลุ่มนี้ได้ดำเนินการตามคำแนะนำของ A-130ในช่วงที่ดีขึ้นของปี
แฟรงค์ รีดเดอร์“รัฐบาลกลางกำลังใช้จ่ายเงินจำนวนมากกับมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพเพียงเล็กน้อยหรือวัดประสิทธิภาพไม่ได้” โทนี่ เซเกอร์ อดีตเจ้าหน้าที่อาวุโสด้านไซเบอร์ของสำนักงานความมั่นคงแห่งชาติกล่าวในการแถลงข่าว “รายงานฉบับนี้แนะนำแนวทางที่นโยบายของรัฐบาลสามารถช่วยหน่วยงานต่างๆ ในการปรับปรุงการรักษาความปลอดภัยของตน โดยเป็นส่วนหนึ่งของการจัดการความเสี่ยงทั่วทั้งองค์กรของรัฐบาลกลาง”
ร่างกฎหมายของสภาผู้แทนราษฎรและวุฒิสภาได้พยายามปรับปรุง FISMA เพื่อรวมข้อกำหนดในการตรวจสอบเครือข่ายหน่วยงานอย่างต่อเนื่องสำหรับภัยคุกคามทางไซเบอร์และช่องโหว่ เฉพาะกฎหมายฉบับวุฒิสภาเท่านั้นที่จะกำหนดให้บทบาทของ DHS ใน FISMA เป็นกฎหมาย ตามที่อธิบายไว้ใน บันทึกช่วยจำ ของ OMB ในเดือนกรกฎาคม 2010
การ อัปเดต FISMA เวอร์ชันเฮาส์จะทำให้บทบาทของ OMB กลับคืนมาอีกครั้งในการพัฒนาและดูแลนโยบายไซเบอร์ ซึ่งโดยหลักแล้วจะเป็นการย้อนกลับบันทึกของทำเนียบขาว
ไม่มีการปรับปรุงตั้งแต่ปี 2000
อีแวนส์กล่าวว่าคำแนะนำของพวกเขาคือให้ A-130 ปฏิบัติตามวุฒิสภาและผู้นำของทำเนียบขาวเกี่ยวกับบทบาทของ DHS
อลัน พัลเลอร์
“นี่เป็นการปิดวงจรนโยบายของสิ่งที่ OMB เขียนไว้ในบันทึกและใส่ลงในวงกลม” เธอกล่าว “หนังสือเวียนไม่ได้รับการปรับปรุงมาตั้งแต่ปี 2543 ดังนั้นจึงเป็นการขจัดอุปสรรคต่อความสำเร็จระหว่างผู้ตรวจการทั่วไปและหัวหน้าเจ้าหน้าที่สารสนเทศ โดยปกติแล้ว CIO จะใช้บันทึกนโยบายของ OMB แต่ IG จะกลับมาและบอกว่าหนังสือเวียนไม่ได้รับการอัปเดต ดังนั้นนี่คือลำดับของวิธีการทำงาน มันลบข้อโต้แย้งทั้งหมด ดังนั้นคุณจึงสามารถไปยังจุดที่คุณกำลังพูดถึงว่าท่าเสี่ยงที่เหมาะสมสำหรับเอเจนซี่คืออะไร”
อีแวนส์กล่าวว่านั่นคือสาเหตุที่การเปลี่ยน A-130 จำเป็นต้องมีการตรวจสอบอย่างต่อเนื่องและประสานบทบาทของ DHS จะช่วยแก้ไขความแตกต่างในสิ่งที่ IGs และ CIO ปฏิบัติตาม
“โลกของนโยบายทำงานอย่างไร เนื่องจากเราอาจไม่จำเป็นต้องมีการเปลี่ยนแปลงทางกฎหมาย และคุณจะทำการเปลี่ยนแปลงครั้งใหญ่ สร้างผลกระทบ หรือรักษาผลกระทบนั้นไว้ได้อย่างไร ดังนั้นมันจึงเป็นกฎหมาย จากนั้น OMB จะเวียนตามด้วยบันทึกนโยบาย OMB” เธอกล่าว “ตัวอย่างเช่น ถ้าคุณต้องการให้ IG ดำเนินการตรวจสอบอย่างต่อเนื่องอย่างจริงจัง รักษาไว้และสร้างโปรแกรมการประเมินรอบ ๆ ตัว พวกเขาไปที่หนังสือเวียน พวกเขาจะดูที่กฎหมาย หนังสือเวียน แล้วก็ดูที่บันทึกนโยบาย หากเป็นเพียงในบันทึกนโยบาย มันก็ยากขึ้นเล็กน้อยที่จะทำให้มันกลายเป็นสถาบันผ่านโครงสร้างนั้นใน
