กระทรวงกลาโหมกำลังขยายจำนวนและประเภทของอุปกรณ์ที่ครอบคลุมภายใต้กฎระเบียบความปลอดภัยทางไซเบอร์Teri Takai หัวหน้าเจ้าหน้าที่ข้อมูลของ DoD คาดว่าจะออกกฎระเบียบใหม่ในเดือนตุลาคมDaryl Haegley ผู้จัดการโปรแกรมสำหรับการรวมองค์กรธุรกิจในสำนักงานของรองปลัดกลาโหมสำหรับการติดตั้งและสิ่งแวดล้อมกล่าวว่าวันพุธ DoD กำลังอัปเดตคำแนะนำชุด 8500 ซึ่งเป็นส่วนหนึ่งของวิวัฒนาการของคำสั่งทางไซเบอร์ ในช่วงปี 1990 DoD มุ่งเน้นไปที่ความปลอดภัยของการสื่อสารหรือ ComSec จากนั้นจึงย้ายไปที่การรับประกันข้อมูล และ
ตอนนี้เต็มไปด้วยความปลอดภัยทางไซเบอร์
ด้วยแนวทางการรักษาความปลอดภัยทางไซเบอร์เต็มรูปแบบ DoD จะบอกหน่วยงานและบริการของตนให้มุ่งเน้นมากกว่าแค่อีเมลหรือระบบธุรกิจ แต่เป็นสิ่งที่เชื่อมต่อกับเครือข่าย
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
“มันกล่าวโดยเฉพาะว่าบริการข้อมูลและแพลตฟอร์มไอทีทั้งหมดจำเป็นต้องคำนึงถึงความปลอดภัยทางไซเบอร์ ดังนั้นตอนนี้มันทำให้โลกของระบบควบคุมอุตสาหกรรมและโลกของบริการข้อมูลเท่าเทียมกัน” Haegley กล่าวในการอภิปรายที่ได้รับการสนับสนุนจากนิตยสาร Government Executive ในวอชิงตัน “พวกเขานิยามไอทีที่นี่ บริการข้อมูล — อีเมลของคุณ สิ่งที่เดินทางบนเซิร์ฟเวอร์ แล็ปท็อปและสมาร์ทโฟน และสิ่งเหล่านั้น — ความปลอดภัยของข้อมูลสำหรับสิ่งนั้น จากนั้นแพลตฟอร์มไอทีหรือเทคโนโลยีการปฏิบัติงานหรือระบบควบคุมอุตสาหกรรม เครือข่ายเหล่านั้นก็มีหมวดหมู่ของตนเองเช่นกัน และพวกเขายังต้องการการประเมินความปลอดภัยทางไซเบอร์ด้วย”
ระบบควบคุมอุตสาหกรรม (ICS) คือระบบที่ควบคุมน้ำ
เครื่องปรับอากาศ เครื่องทำความร้อน ไฟฟ้า โทรคมนาคม และสิ่งอำนวยความสะดวกอื่น ๆ หรือระบบรักษาความปลอดภัยทางกายภาพ
กรอบการบริหารความเสี่ยงใหม่Haegley กล่าวว่า DoD กำลังปรับปรุงกฎระเบียบที่จะทำให้เพนตากอนใกล้ชิดกับรัฐบาลพลเรือนมากขึ้นเกี่ยวกับการจัดการความเสี่ยง ซึ่งจะเป็นการเปลี่ยนแปลงที่สำคัญ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติเพิ่งปรับปรุงสิ่งพิมพ์พิเศษ 800-37 เพื่อจัดการกับการจัดการความเสี่ยงทางไซเบอร์
“โดยพื้นฐานแล้วสิ่งที่ CIO และ DoD ช่วยให้พวกเขาเข้าใจคือกระบวนการ DICAP แบบเก่า ซึ่งเป็นกระบวนการรับรองที่ยาวนานและบางครั้งใช้เวลาหลายปีกว่าจะผ่านขั้นตอนต่างๆ ไปได้ เมื่อคุณได้ประทับตราแล้ว คุณก็สบายไปสามปี คุณต้องกลับมาตรวจสอบอีกครั้งในอีกสามปี” เขากล่าว “นั่นไม่สอดคล้องกับสิ่งที่เราต้องการสำหรับแนวทางปฏิบัติด้านความปลอดภัยที่ดี DoD กำลังจะนำกรอบการจัดการความเสี่ยงนี้ไปใช้และนำไปใช้กับข้อกำหนดด้านความปลอดภัยข้อมูลและความปลอดภัยของ ICS ในคำสั่งนั้น มันสะท้อนหลายอย่างที่มีอยู่ในสิ่งพิมพ์พิเศษนั้นเป็นหลัก แต่ก็มีความแตกต่างบางประการ”
กระทรวงกลาโหมได้สร้างกระบวนการรับรองและการรับรองระบบสารสนเทศด้านกลาโหม (DICAP) ในปี 2550
Haegley กล่าวว่าเขาไม่สามารถพูดคุยเกี่ยวกับความแตกต่างเฉพาะระหว่างกรอบการจัดการความเสี่ยงใหม่ของ DoD กับสิ่งพิมพ์ของ NIST เนื่องจากเอกสารยังคงอยู่ในรูปแบบร่าง
การเปลี่ยนแปลงที่สำคัญประการที่สามในแนวทางใหม่ที่กำลังจะมีขึ้นนี้เป็นเรื่องของการรับรองซึ่งกันและกัน Haegley กล่าวว่ากระทรวงกลาโหมจะบอกหน่วยงานและหน่วยงานทางทหารให้ไว้วางใจซึ่งกันและกันเมื่ออนุมัติผลิตภัณฑ์หรือบริการที่ตรงตามมาตรฐานใหม่การแลกเปลี่ยนซึ่งกันและกันเป็นอุปสรรคสำคัญสำหรับรัฐบาลทั้งหมด แต่ละหน่วยงานใช้เงินหลายสิบล้านดอลลาร์เพื่อทำซ้ำการรับรองและการอนุญาตด้านความปลอดภัยทางไซเบอร์ ความพยายามที่ซ้ำซ้อนและสิ้นเปลืองนี้เป็นเหตุผลที่ Office of Management Budget แนะนำและกำหนด กระบวนการอนุมัติความปลอดภัยทางไซเบอร์บนคลาวด์ ของFedRAMP
