เพนตากอน ‘รับรอง’ ซึ่งกันและกันสำหรับ CMMC

เพนตากอน 'รับรอง' ซึ่งกันและกันสำหรับ CMMC

ผู้ตรวจสอบความปลอดภัยทางไซเบอร์ภายในของเพนตากอนได้ให้เครดิตแก่บริษัทต่าง ๆ สำหรับการใช้บริการภายใต้โครงการ Federal Risk and Authorization Management Program แต่กระทรวงกลาโหมยังคงต้องชี้แจงรายละเอียดการแลกเปลี่ยนซึ่งกันและกันที่คล้ายคลึงกันกับ Cyber ​​Accreditation BodyDavid McKeown รองประธานเจ้าหน้าที่ฝ่ายสารสนเทศด้านความปลอดภัยทางไซเบอร์ของ DoD กล่าวว่า Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) ตระหนักถึงเมื่อผู้รับเหมาใช้บริการที่ได้รับการรับรองจาก FedRAMP เพื่อจัดการและปกป้องข้อมูลที่ละเอียดอ่อน

เจ้าหน้าที่ของกระทรวงกลาโหมได้กล่าวมานานแล้ว

ว่าพวกเขาตั้งใจที่จะเสนอการแลกเปลี่ยนในระดับหนึ่งระหว่างการรับรองแบบกำหนดวุฒิภาวะความปลอดภัยทางไซเบอร์และการรับรองทางไซเบอร์อื่น ๆ แต่รายละเอียดเกี่ยวกับวิธีการทำงานของโปรแกรมดังกล่าวในทางปฏิบัติยังไม่เพียงพอ

“ฉันเป็นแฟนตัวยงของการแลกเปลี่ยนซึ่งกันและกัน และฉันไม่ต้องการทำงานซ้ำเมื่อเราดูการควบคุมที่เหมือนกันทุกประการ” McKeown กล่าวระหว่างการสัมมนาผ่านเว็บเมื่อวันที่ 24 มิถุนายน ซึ่งจัดโดย Preveil “เมื่อ DIBCAC หยุดทำงาน หากผู้ขายรายใดรายหนึ่งแสดงว่ากำลังใช้บริการที่ได้รับการรับรองจาก FedRAMP การตรวจสอบจากที่นั่นทำได้ง่ายมาก และให้เครดิตสำหรับการควบคุมที่ได้รับความพึงพอใจจากข้อเสนอนั้น”

        ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps

แต่ McKeown กล่าวว่าเจ้าหน้าที่ของ DoD ยังคงต้องหารือเกี่ยวกับการแลกเปลี่ยนซึ่งกันและกันกับ Cyber ​​Accreditation Body ซึ่งอนุญาตและรับรอง CMMC Third-Party Assessment Organizations 

“ตอนนี้กับ CMMC AB ผมไม่รู้ว่าเราได้เจาะจงหัวข้อนี้หรือไม่”

 เขากล่าว “เรามีกับ DIBCAC อย่างแน่นอน และเราให้เครดิตพวกเขา แต่เราอาจต้องพูดคุยกับ AB ด้วยเช่นกันเพื่อให้แน่ใจว่าพวกเขารู้ว่าเราสนับสนุนการแลกเปลี่ยนซึ่งกันและกัน”

นอกจากนี้ เพนตากอนยังไม่ได้พิจารณาอย่างถ่องแท้ว่าบริษัทต่างๆ จะได้รับเครดิตสำหรับการปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์อื่นๆ เช่น ที่ดูแลโดยองค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO) หรือไม่

“เราอาจจะต้องทำมากกว่านี้เพื่อดู ISO และมาตรฐานอื่น ๆ ที่มีอยู่ แต่แน่นอนว่ามีการทำแผนที่เหล่านั้นอยู่ และฉันคิดว่าเราสามารถทำได้อย่างง่ายดาย” McKeown กล่าว

การอภิปรายเกี่ยวกับการแลกเปลี่ยนซึ่งกันและกันเกิดขึ้นเมื่อเพนตากอนวางแผนที่จะส่งกฎอย่างเป็นทางการซึ่งใช้ข้อกำหนด CMMC ที่ปรับปรุงใหม่ไปยังสำนักงานการจัดการและงบประมาณของทำเนียบขาวภายในกลางเดือนสิงหาคม ในเวลาเดียวกัน DoD กำลังเปิดตัวโครงการผู้เริ่มต้นใช้งาน CMMCเพื่อสนับสนุนให้บริษัทต่างๆ ได้รับการประเมินก่อนที่จะมีการสรุปข้อกำหนด

เจ้าหน้าที่เพนตากอนหวังว่า OMB จะอนุมัติกฎชั่วคราวภายในเดือนมีนาคม 2566 โดยเริ่มเปิดใช้ระยะเวลาแสดงความคิดเห็นสาธารณะ 60 วัน จากนั้น DoD จะสามารถเริ่มบังคับใช้ CMMC ในสัญญาได้ภายในเดือนพฤษภาคม 2566

การปรับปรุงข้อกำหนดระหว่าง CMMC และโปรแกรมอื่นๆ เช่น FedRAMP อาจช่วยลดภาระให้กับผู้รับเหมาได้ รวมทั้งช่วยแก้ปัญหาการขาดแคลน C3PAO ที่อาจเกิดขึ้น ตามที่ McKeown ได้กล่าวพาดพิงถึง มีการทับซ้อนกันระหว่างข้อกำหนดของ FedRAMP และ CMMC นอกจากนี้ FedRAMP ยังใช้ Third-Party Assessment Organizations (3PAO) เพื่อประเมินความปลอดภัยของบริการและผลิตภัณฑ์ระบบคลาวด์

ทีมงาน CMMC ของเพนตากอนกำลังจัดทำแผนเฉพาะเพื่อปรับปรุงข้อกำหนดสำหรับผู้ให้บริการที่มีการจัดการ ตามที่ Stacy Bostjanick หัวหน้าฝ่ายปฏิบัติและนโยบายในสำนักงานของ McKeown กล่าว MSP เป็นบริษัทบุคคลที่สามที่จัดการระบบไอทีของลูกค้าจากระยะไกล

credit : เว็บสล็อตแท้