เพนตากอนออกกรอบการทำงานทางไซเบอร์ที่รอคอยมานานสำหรับอุตสาหกรรมกลาโหม

เพนตากอนออกกรอบการทำงานทางไซเบอร์ที่รอคอยมานานสำหรับอุตสาหกรรมกลาโหม

ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน  Apple Podcasts  หรือ  PodcastOneเมื่อวันศุกร์ที่ผ่านมากระทรวงกลาโหมได้เผยแพร่ชุดมาตรฐานความปลอดภัยทางไซเบอร์ที่ครอบคลุมซึ่งจะเริ่มรวมอยู่ในสัญญาการป้องกันในปลายปีนี้ นับเป็นก้าวสำคัญในการยกเครื่องขั้นตอนการบังคับใช้ความปลอดภัยด้านไอทีในฐานอุตสาหกรรม

เฟรมเวิร์ ก Cybersecurity Maturity Model Certification เวอร์ชัน 1.0 เกิดขึ้นหลังจากที่แผนกใช้เวลา

หลายเดือนในการเผยแพร่เวอร์ชันร่างและได้รับความคิด

เห็นจากผู้ขายที่จะต้องดำเนินการตามนั้นในที่สุด โดยระบุระดับความเข้มงวดด้านความปลอดภัยทางไซเบอร์ที่แตกต่างกัน 5 ระดับ ตั้งแต่ข้อกำหนดด้านสุขอนามัยขั้นพื้นฐานสำหรับผู้ขายที่ไม่จัดการกับข้อมูลที่ละเอียดอ่อน ไปจนถึงรายการการควบคุมความปลอดภัยโดยละเอียดสำหรับบริษัทเหล่านั้น ซึ่งอาจทำให้แผนกตกอยู่ในอันตรายร้ายแรงหากระบบของพวกเขาถูกเจาะระบบ

        Insight by Tanium: เอเจนซีกำลังฝึกฝนวิธีที่ดีที่สุดในการรักษาความปลอดภัยซอฟต์แวร์และมองเห็นซัพพลายเออร์ได้ดีขึ้น เราพูดคุยกับผู้นำจาก DoD, FDA, GSA, NASA และรัฐเพื่อเปิดเผยว่าหน่วยงานต่าง ๆ ตอบสนองความต้องการในการมองเห็นแนวทางปฏิบัติทางไซเบอร์ของผู้ขายได้อย่างไร

แม้ว่า CMMC จะถูกรวมเข้ากับสัญญาบางฉบับในปีนี้ แต่จะใช้เวลาจนถึงปี 2569 ก่อนที่จะเข้าสู่การจัดหา DoD ใหม่ทั้งหมด เจ้าหน้าที่เพนตากอนกล่าวว่าพวกเขากำลังใช้แนวทางที่ช้าและรอบคอบ เพราะการนำ CMMC ไปใช้อย่างเต็มที่จะเป็นความท้าทายที่สำคัญ ทุกบริษัทที่ทำธุรกิจกับเพนตากอนจะต้องได้รับการรับรองระดับหนึ่งจากผู้ประเมินบุคคลที่สาม และกลาโหมทั้งหมด พนักงานที่ซื้อกิจการจะต้อง

ได้รับการฝึกอบรมเกี่ยวกับวิธีการใช้แบบจำลองกับสัญญาของพวกเขา

การฝึกอบรมดังกล่าวจะเริ่มปรากฏบนเว็บไซต์ของ Defense Acquisition University ในฤดูร้อนนี้ ในเวลาเดียวกัน DoD จะเลือกสัญญาสิบฉบับแรกที่อยู่ภายใต้ CMMC ข้อกำหนดนี้จะปรากฏในคำขอข้อมูลเป็นครั้งแรกในเดือนมิถุนายน จากนั้นในคำขอข้อเสนออย่างเป็นทางการในฤดูใบไม้ร่วงนี้

“เห็นได้ชัดว่านี่เป็นการเปิดตัวที่ซับซ้อนสำหรับอุตสาหกรรม และเรากำลังดำเนินการตามความเป็นจริงในแง่ของการทำให้แน่ใจว่าเรามีโครงการเบิกทางที่เราจะนำไปใช้ จากนั้นเรียนรู้ รับข้อเสนอแนะและดำเนินการต่อไป” เอลเลน ลอร์ด ปลัดกระทรวงกลาโหม สำหรับการได้มาและความยั่งยืนกล่าวในการแถลงข่าวเมื่อวันศุกร์ “นี่เป็นรากฐานที่สำคัญอย่างยิ่งของความพยายามด้านความปลอดภัยทางไซเบอร์โดยรวมของแผนก และเราเชื่อว่าเรากำลังทำสิ่งนี้ด้วยสิ่งที่ผมเรียกว่าโมเมนตัมที่เปลี่ยนแปลงไม่ได้ เราต้องการให้แน่ใจว่าสิ่งนี้ใช้ได้ผลและยั่งยืน”

ความพยายามของ CMMC ก้าวข้ามอีกก้าวสำคัญในเดือนมกราคมด้วยการยืนหยัดในหน่วยงานที่ได้รับการรับรองซึ่งแผนกนี้กล่าวว่าจะดำเนินการโดยอิสระจากเพนตากอน ผ่านบันทึกความเข้าใจที่แผนกกำลังร่างอยู่ คณะกรรมการ 13 คนจะตัดสินใจว่าผู้ประเมินบุคคลที่สามทางไซเบอร์ (C3PAO) รายใดได้รับอนุญาตให้รับรองระบบของผู้รับเหมาภายใต้ CMMC

“แผนกได้ส่งมอบ CMMC รุ่น 1.0 ให้กับคณะกรรมการรับรองมาตรฐานแล้ว จากนั้นคณะกรรมการรับรองมาตรฐานจะใช้แบบจำลองและแนวทางการประเมินที่เกี่ยวข้องเพื่อฝึกอบรมวุฒิภาวะสำหรับผู้สมัคร C3PAO” Katie Arrington หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ DoD กล่าว “ในขณะเดียวกัน คณะกรรมการจะกำหนดข้อกำหนดสำหรับผู้สมัคร C3PAO และผู้ประเมินรายบุคคล เรามีบริษัทมากมายถามว่า ฉันจะเป็นผู้ประเมิน CMMC ได้อย่างไร คณะกรรมการจะให้ข้อมูลอัปเดตเกี่ยวกับชั้นเรียนฝึกอบรม ซึ่งมีแผนจะเริ่มในต้นฤดูใบไม้ผลิปี 2020 และคณะกรรมการรับรองมาตรฐานและเว็บไซต์ CMMC จะเป็นสถานที่ที่ดีที่สุดที่บริษัทจะได้รับข้อมูล”

เจ้าหน้าที่การจัดหากลาโหมเน้นย้ำว่าพวกเขากำลังทำทุกอย่างที่ทำได้เพื่อให้แน่ใจว่าพวกเขาจะไม่ใช้วิธีการแบบหนึ่งเดียวสำหรับ CMMC และพวกเขาเห็นว่าเป็นสิ่งสำคัญที่กระบวนการนี้จะไม่ขับไล่ธุรกิจขนาดเล็กและไม่ใช่แบบดั้งเดิมออกไป งานป้องกัน.

แผนกได้ใช้เวลาส่วนที่ดีกว่าของปีที่แล้วในการดำเนินการ “รับฟังความคิดเห็น” กับผู้ขายเพื่อให้แน่ใจว่าอุตสาหกรรมเข้าใจเป้าหมายของโปรแกรม และพยายามสร้างโปรแกรมที่ปรับปรุงความปลอดภัยทางไซเบอร์โดยไม่สร้างภาระเกินควร

ปฏิกิริยาเบื้องต้นจากกลุ่มอุตสาหกรรมในวันศุกร์ดูเหมือนจะบ่งบอกว่าฐานผู้ขายเห็นว่าความพยายามนั้นประสบความสำเร็จอย่างมาก

ฝากถอนไม่มีขั้นต่ำ