ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับข้อมูลเสียงสัมภาษณ์ประจำวันของ Federal Drive บนApple Podcast หรือ PodcastOneในฐานะที่เป็นส่วนหนึ่งของโปรแกรม Cybersecurity Maturity Model Certification ซึ่งยังคงพัฒนาอยู่ เพนตากอนต้องการหลักฐานว่าผู้ขายกำลังปกป้องข้อมูลที่ละเอียดอ่อน ผู้ค้าจำนวนมากคิดว่าข้อกำหนดของ CMMC ค่อนข้างยุ่งยาก ส่วนหนึ่งของร่างกฎหมายการให้อำนาจด้านกลาโหมปี 2564
สภาคองเกรสขอให้กระทรวงกลาโหมแสดงหลักฐานบางอย่างว่า
เพนตากอนกำลังตรงตามมาตรฐานความปลอดภัยทางไซเบอร์แบบเดียวกับที่เรียกร้องจากผู้รับเหมา คำตอบสั้น ๆ คือไม่ สำหรับคำตอบที่ยาวกว่านี้ Joseph Kirschbaum ผู้อำนวยการฝ่ายความสามารถในการกลาโหมและปัญหาการจัดการที่สำนักงานความรับผิดชอบของรัฐบาล ได้พูดคุยกับ Jared Serbu จาก Federal News Network บน Federal Drive กับTom Temin
โจเซฟ เคิร์ชบาม:Code of Federal Regulations กำหนดให้ระบบของรัฐบาลกลางและระบบเหล่านั้นที่สนับสนุนข้อมูลของรัฐบาลกลางและโดยเฉพาะอย่างยิ่งข้อมูล ที่ควบคุมหมวดหมู่ข้อมูลที่ไม่เป็นความลับ ถูกต้อง มันไม่ได้ถูกจัดประเภท แต่ก็ยังมีความละเอียดอ่อนไม่ทางใดก็ทางหนึ่ง รูปร่าง หรือรูปแบบ ต้องการให้ระบบได้รับการคุ้มครองในแง่ของการรักษาความลับของข้อมูลที่ใครสามารถเข้าถึงได้ จากนั้น เพื่อนำสิ่งเหล่านั้นไปใช้ มีสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้พัฒนาโครงร่างและชุดมาตรฐานของตนเองสำหรับการควบคุมความปลอดภัยสำหรับระบบที่จัดการ CUI และยกตัวอย่างเช่น กระทรวงกลาโหมได้กำหนดกรอบการทำงาน นั่นคือ กรอบการรับรอง Cybersecurity Maturity Model Certification หรือ CMMC
โดยเฉพาะสำหรับบริษัทที่จัดการข้อมูล CUI
สำหรับผู้รับเหมาของกระทรวงกลาโหม อะไรไม่ และนี่เป็นวิธีที่ทำให้พวกเขาปกป้องระบบของตนเองที่จัดการกับ CUI ได้ดีขึ้น ดังนั้น CMMC ที่เติบโตเต็มที่จึงใช้มาตรฐาน NIST และสร้างสิ่งต่างๆ ซึ่งเป็นมาตรฐานที่พวกเขาจะต้องปฏิบัติตามเพื่อให้ระบบเหล่านั้นได้รับการรับรองในการจัดการข้อมูล ตัวอย่างเช่น cmmc มีข้อกำหนดการควบคุมความปลอดภัย 110 ข้อที่มาจาก NIST ซึ่งจำเป็นสำหรับระบบ จากนั้นกระทรวงกลาโหมได้กำหนดแนวทางให้บริษัทต่าง ๆ สามารถรับรองตนเองโดยใช้ผู้ประเมินบุคคลที่สามและสิ่งต่าง ๆ ในลักษณะนั้น และสิ่งหนึ่งที่สภาคองเกรสสนใจคือ พวกเขาได้ยินการตอบโต้มากมายจากผู้รับเหมาเกี่ยวกับวิธีการเปิดตัว CMMC ข้อกำหนดสำหรับการรับรอง วิธีการจัดการ และในระดับพื้นฐาน สภาคองเกรสกังวลว่า DoD จะเป็นไปตามมาตรฐานการควบคุมความปลอดภัยเช่นเดียวกับ cmmc หรือไม่ สิ่งแรกที่แผนกทำคือพิจารณาว่าจะไม่ใช้ cmmc เป็นมาตรฐานสำหรับรายงานนั้น พวกเขาใช้กรอบการบริหารความเสี่ยงของแผนกเพื่อไม่ตัดสินในเชิงคุณภาพว่าแบบใดดีกว่ากัน เพราะจริงๆ แล้ว พวกเขาต่างกัน แผนกเลือกใช้กรอบการบริหารความเสี่ยงเนื่องจากมีความแตกต่างกัน มันขึ้นอยู่กับความเสี่ยงเทียบกับการปฏิบัติตามซึ่งเป็นสิ่งที่ CMMC เป็น CMMC มีแนวปฏิบัติที่เข้มงวดและบริษัทต้องปฏิบัติตามแต่ละข้อเป็นรายการตรวจสอบเพื่อให้ได้รับการรับรอง กรอบการบริหารความเสี่ยงขึ้นอยู่กับสิ่งนั้น การประเมินความเสี่ยงสำหรับส่วนต่าง ๆ ซึ่งใช้การควบคุม ซึ่งไม่มี และเมื่อระบบไม่เป็นไปตามข้อกำหนด วิธีที่จะทำให้พวกเขาปฏิบัติตาม ซึ่งต้องใช้เวลา แผนปฏิบัติการ และความพยายามและการสิ้นสุด นั่นคือสิ่งที่กระทรวงกลาโหมทำ พวกเขาประเมินตนเองตามกรอบการจัดการความเสี่ยงนั้น เพื่อให้ภาพนั้นแก่สภาคองเกรสเกี่ยวกับวิธีดำเนินการด้านความปลอดภัยทางไซเบอร์
จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
Jared Serbu: ใช่ และจากนั้นก็ย้ายจาก CMMC ฉันคิดว่าส่วนอื่นของคำตอบที่นี่คือ แม้ว่ามาตรฐาน CMMC นั้นจะไม่ได้นำไปใช้กับ DoD แต่ก็ไม่เป็นไปตามข้อกำหนด แม้ว่าจะอยู่ภายใต้ข้อกำหนด RMF แบบดั้งเดิมที่มีอยู่แล้วก็ตาม มาระยะหนึ่งแล้ว ซึ่งรวมถึงสิ่งพื้นฐานอย่างการทำให้ระบบ ATO ทั้งหมดของคุณอยู่บนเครือข่าย
credit : ฝากถอนไม่มีขั้นต่ำ
