เป็นเวลาห้าปีแล้วที่กระทรวงกลาโหมนำกรอบการบริหารความเสี่ยงมาใช้เป็นวิธีการใหม่ในการรับรองความปลอดภัยทางไซเบอร์ของระบบไอทีและอาวุธ และเพื่อให้พูดอย่างนุ่มนวล สิ่งต่างๆ เริ่มขึ้นจากหินเล็กน้อย ในกรณีของกองทัพบก เนื่องจากการนำบริการ RMF มาใช้ครั้งแรก ส่งผลให้ภาระงานเพิ่มขึ้น 800%แต่เจ้าหน้าที่กล่าวว่าพวกเขาได้ทำการปรับปรุงอย่างมากในกระบวนการแม้ว่าตอนนี้พวกเขากำลังเริ่มต้นความพยายามในการปฏิรูป RMF สามเฟสหลายปีที่เรียกว่า Project Sentinel กองทัพกล่าวว่าได้ลดเวลาหลายร้อยชั่วโมงออกจากขั้นตอนการอนุญาตและการรับรองระบบ และกำจัดระบบที่รอการอนุมัติทางไซเบอร์ที่ค้างอยู่
“ฉันคิดว่าตอนนี้เรามาถึงจุดที่ได้เรียนรู้เพียงพอแล้ว และคุณเห็นสิ่งนี้ในบริการอื่นๆ
เช่นกัน กองทัพอากาศทำกระบวนการRapid ATO ของพวกเขา และเราก็ทำกระบวนการที่คล้ายกันสำหรับระบบยุทธวิธีของเรา” แนนซี่ Kreidler ผู้อำนวยการฝ่ายความปลอดภัยทางไซเบอร์และการประกันข้อมูลในสำนักงาน CIO ของกองทัพบกกล่าวในการให้สัมภาษณ์กับ Federal News Network’s On DoD “มีช่วงการเรียนรู้ที่สูงชันมาก และต้องใช้เวลาสักพักกว่าจะเข้าใจกระบวนการก่อนที่เราจะเริ่มตัดเย็บ”
Insight by Tanium: เอเจนซีกำลังฝึกฝนวิธีที่ดีที่สุดในการรักษาความปลอดภัยซอฟต์แวร์และมองเห็นซัพพลายเออร์ได้ดีขึ้น เราพูดคุยกับผู้นำจาก DoD, FDA, GSA, NASA และรัฐเพื่อเปิดเผยว่าหน่วยงานต่าง ๆ ตอบสนองความต้องการในการมองเห็นแนวทางปฏิบัติทางไซเบอร์ของผู้ขายได้อย่างไร
โดย “การปรับแต่ง” Kreidler หมายถึงการควบคุมความปลอดภัยเต็มรูปแบบใน RMF ซึ่งมีทั้งหมด 1,900 รายการ และจัดลำดับความสำคัญให้กับกองทัพหรือความปลอดภัยของระบบใดระบบหนึ่ง โดยคำนึงถึงสภาพแวดล้อมที่ระบบจะ ทำงานใน.
นั่นเป็นความแตกต่างอย่างชัดเจนจากวิธีการที่บริการนี้นำกรอบมาใช้เป็นครั้งแรก
ซึ่งพัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติการควบคุมไม่ได้รับการจัดลำดับความสำคัญ
ในปี 2558 เมื่อกองทัพบกเปลี่ยนมาใช้ RMF เป็นครั้งแรก กองทัพเริ่มใช้บุคลากรของตนเองในการประเมินความปลอดภัย แทนที่จะใช้ผู้ประเมินบุคคลที่สามซึ่งได้รับการว่าจ้างให้ทำงานภายใต้กระบวนการ DoD เดิมหรือที่เรียกว่า DIACAP
“สิ่งที่เกิดขึ้นคือมีการควบคุมมากมายและไม่ได้จัดลำดับความสำคัญ” ไครด์เลอร์กล่าว “การควบคุมทุกอย่างจะเท่ากับการควบคุมก่อนหน้าและการควบคุมหลังจากนั้น และด้วยเหตุนี้ คุณจึงไม่ได้จัดลำดับความสำคัญของความเสี่ยงหรือสิ่งที่คุณควรให้ความสำคัญ และเมื่อคุณเปลี่ยนจากขั้นตอนการประเมิน 200 ครั้งเป็นการประเมิน 1900 ครั้ง คุณก็แค่พยายามผ่านขั้นตอนนี้ไปให้ได้”
กระบวนการ NIST เรียกร้องอย่างชัดเจนให้องค์กรที่ใช้ RMF เริ่มต้นโดยการเลือกการควบคุมที่เกี่ยวข้อง และนั่นคือสิ่งที่กองทัพบกกำลังทำอยู่เป็นส่วนใหญ่ในสองระยะแรกของ Project Sentinel
ในระยะแรกที่กำลังดำเนินการอยู่นี้ กองทัพบกกำลังมองหาวิธีที่จะให้แต่ละระบบ “สืบทอด” การควบคุมความปลอดภัยจากโครงสร้างพื้นฐานที่ดำเนินการอยู่ หรือจากนโยบายที่บังคับใช้แล้วทั่วทั้งองค์กร
เรื่องที่เกี่ยวข้อง
DISA หันไปหาพันธมิตรในภารกิจมากขึ้นเพื่อวัดและลดความเสี่ยงทางไซเบอร์
ถามซีไอโออ่านเพิ่มเติม
กองทัพอากาศเข้าร่วมรายชื่อหน่วยงานที่เพิ่มขึ้นปูทางใหม่ในการอนุมัติทางไซเบอร์
สมุดบันทึกของนักข่าวอ่านเพิ่มเติม
หกวิธีที่ CIO สนับสนุนหน่วยเฉพาะกิจ AI ใหม่ของกองทัพบก
ถามซีไอโออ่านเพิ่มเติม“ตัวอย่างคือคุณยอมรับการใช้งานที่ระบุในนโยบายหรือไม่? พวกเราทำ. เรามีนโยบายการเข้าถึงที่มีสิทธิพิเศษ ดังนั้นเราจึงสามารถตอบรับการควบคุมนี้เพียงครั้งเดียว จากนั้นระบบทั้งหมดจะสามารถสืบทอดคำตอบนั้นได้” Kreidler กล่าว “และในขณะที่สิ่งนี้อาจดูเล็กน้อยมาก ความจริงที่ว่าคุณไม่ต้องตอบรับการควบคุมสำหรับทุกระบบในกองทัพซ้ำแล้วซ้ำเล่าช่วยประหยัดเวลาได้มาก เราจะดูชุดควบคุมนี้ต่อไปและดูว่าเราจะใช้การสืบทอดและตอบครั้งเดียวสำหรับกองทัพบกได้ที่ไหน หรือเราจะรวมเข้าด้วยกันก็ได้”
ภายในเดือนเมษายน คณะทำงานของผู้เชี่ยวชาญ RMF จากทั่วทั้งกองทัพหวังว่าจะเห็นด้วยกับชุดการควบคุมความปลอดภัยที่เล็กลงและรวมเข้าด้วยกันซึ่งระบบส่วนใหญ่จะได้รับการประเมิน ไครด์เลอร์กล่าวว่าเป็นไปไม่ได้ที่จะทราบแน่ชัดว่าจะมีจำนวนเท่าใด แต่เธอหวังว่าจะลดจากปี 1900 เหลือระหว่าง 200 ถึง 300
