จับตาดูกระทรวงกลาโหมในช่วงซัมเมอร์นี้เพื่อดูว่าผู้ออกแบบ Cybersecurity Maturity Model Certification (CMMC) เวอร์ชัน 2.0 ทำได้ดีเพียงใดการทดสอบจริงครั้งแรกของความพยายามในการปรับปรุงใหม่นั้นมาในรูปแบบของการฝึกซ้อมบนโต๊ะในช่วงกลางถึงปลายเดือนมิถุนายนหรือต้นเดือนกรกฎาคมStacy Bostjanick เป็นหัวหน้าฝ่ายปฏิบัติการและนโยบายในสำนักงานของ DoD Chief Information Officer
“เรากำลังจะทำแบบฝึกหัดบนโต๊ะ ซึ่งเราสร้างโปรแกรม
และพาสุนัขไปเดินเล่น ตรวจสอบให้แน่ใจว่าเราดูข้อเสนอ เรากำลังหาข้อมูลที่ถูกต้อง และเรากำลังจะมีสมาชิกจากกลาโหม ภาคส่วนฐานอุตสาหกรรม (DIB) เข้าร่วมกับเรา” Stacy Bostjanick หัวหน้าฝ่ายปฏิบัติการและนโยบายในสำนักงาน DoD ของ DoD Chief Information Officer กล่าวในงาน AFCEA NOVA Small Business IT Day เมื่อวันที่ 5 พฤษภาคม “เราต้องการได้ยิน จากมุมมองของคุณ ไม่ว่านั่นจะเป็นสะพานที่ไกลเกินไปหรือยากเกินไปสำหรับเรา เราจำเป็นต้องอ่าน wicker it ด้วยวิธีอื่นเพื่อให้แน่ใจว่าสิ่งที่เรารวบรวมไว้นั้นเป็นโปรแกรมที่สามารถดำเนินการได้ซึ่งผู้คนสามารถมีส่วนร่วมและเข้าใจตั้งแต่เริ่มต้นว่าความต้องการของคุณคืออะไร และคุณต้องจัดการและจัดการสิ่งต่างๆ อย่างไร”
DoD ได้ปรับปรุงวิธีการรักษาความปลอดภัยของข้อมูลที่ไม่เป็นความลับ (CUI) ที่มีการควบคุมในเดือนพฤศจิกายนและกำลังเข้าสู่กระบวนการกำหนดกฎเกณฑ์ของรัฐบาลกลาง Bostjanick กล่าวว่าแบบฝึกหัดบนโต๊ะเหล่านี้เป็นก้าวสำคัญสู่เป้าหมายของ DoD ในการเปิดตัว CMMC ในปี 2566
จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
สิ่งที่น่าสนใจอย่างหนึ่งสำหรับ DoD คือการใช้ CUI Bostjanick กล่าวว่าผู้รับเหมาที่มี CUI ระดับ 2 ของ CMMC บางประเภทจะต้องทำการประเมินตนเอง ในขณะที่รายอื่นที่มีข้อมูลระดับ 2 ที่ละเอียดอ่อนกว่าจะต้องได้รับการประเมินจากบุคคลที่สาม
“สิ่งที่เรากำลังดำเนินการกับแบบฝึกหัดบนโต๊ะเหล่านั้นที่เรากำลังดำเนินการอยู่
ในปัจจุบันจะแยกออกจากจุดที่เรารู้สึกว่าเราสามารถแบ่งระดับ 2 ได้ ซึ่งเราได้จัดลำดับความสำคัญและไม่ได้จัดลำดับความสำคัญของ CUI หากคุณเป็นบริษัทที่มีข้อมูลสัญญาของรัฐบาลกลาง (FCI) คุณต้องทำ [การควบคุมความปลอดภัย] 15 ข้อ คุณต้องทำการประเมินตนเองประจำปีนั้นและยืนยันว่าคุณปฏิบัติตามข้อกำหนดเหล่านั้น จากนั้นคุณจะต้องทำการประเมินตนเองทุกๆ 3 ปี” เธอกล่าว “สิ่งที่เราพูดเมื่อเราเริ่มมองหาจักรวาลของบริษัท เพราะมีประมาณ 80,000 บริษัทที่คาดว่าจะเป็นผู้ถือ CUI และไม่ต้องสงสัยเลยว่าคุณจะไม่เสนอราคาเพียงสัญญาเดียว ฉันคิดว่าในที่สุดกระบวนการคิดก็คือทุกคนจะต้องเข้าร่วมในการจัดซื้อที่ต้องได้รับการรับรองจากบุคคลที่สาม แต่ถ้าคุณโชคดีพอที่จะได้รับเฉพาะ CUI ที่ไม่ได้จัดลำดับความสำคัญ คุณก็สามารถทำได้”
สำหรับ FCI สำนักงานกำกับดูแลความปลอดภัยข้อมูลของ National Archives and Records Administration เขียนในบล็อกปี 2020ว่า “คำจำกัดความของ FCI ซึ่งกล่าวถึงข้อมูลที่ ‘จัดหาโดยหรือสร้างขึ้นสำหรับรัฐบาลภายใต้สัญญาเพื่อพัฒนาหรือส่งมอบผลิตภัณฑ์หรือบริการให้กับ รัฐบาล.’ กล่าวอีกนัยหนึ่ง FCI เกี่ยวข้องกับสิ่งที่รัฐบาลให้กับคุณในฐานะส่วนหนึ่งของสัญญาหรือสิ่งที่คุณสร้างขึ้นสำหรับพวกเขาภายใต้สัญญา ในขณะที่ CUI ที่ได้รับการคุ้มครองภายใต้หมวดการจัดซื้อจัดจ้างทั่วไปและการได้มาซึ่งส่วนใหญ่เป็นข้อมูลที่เป็นกรรมสิทธิ์และข้อมูลที่ละเอียดอ่อนที่ให้แก่ รัฐบาลและได้รับการคุ้มครองตลอดกระบวนการทำสัญญา/รางวัล”
การรักษาความปลอดภัยข้อมูลคือเป้าหมายสูงสุด
การเปลี่ยนไปใช้ CMMC 2.0 นั้น DoD หวังว่ากระบวนการรักษาความปลอดภัยของ CUI และข้อมูลที่ละเอียดอ่อนอื่นๆ จะยุ่งยากน้อยลงและมีความคล่องตัวมากกว่าเวอร์ชัน 1.0 ในการทำซ้ำครั้งที่สองนี้ DoD ได้รวมห้าระดับเป็นสามระดับและมุ่งเน้นไปที่ประเภทของข้อมูลที่ผู้ขายต้องปกป้องและลดข้อกำหนดสำหรับการประเมินโดยบุคคลที่สาม
ดร. Kelly Fletcher รองประธาน CIO ของ DoD กล่าวในงาน AFCEA NoVA ว่าเพนตากอนเข้าใจสิ่งที่พวกเขากำลังขอให้ผู้รับเหมาดำเนินการนั้นไม่ใช่เรื่องง่ายและต้องใช้เวลาและความอดทน กระทรวงกลาโหมประเมินว่าอาจใช้เวลาสองปีนับจากเมื่อกฎขั้นสุดท้ายประกาศใช้กลางปี 2566 เพื่อให้ CMMC บรรลุขีดความสามารถในการดำเนินงานอย่างเต็มที่
Fletcher กล่าวว่าในขณะที่โปรแกรมเปิดตัวในปีหน้า DoD เป้าหมายสูงสุดคือให้ผู้รับเหมาทำมากขึ้นเพื่อปกป้องเครือข่าย ระบบ และข้อมูลของพวกเขา โดยส่วนใหญ่ทำให้แน่ใจว่าพวกเขาปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่กำหนดโดย National Institute of Standards and Technology ใน สิ่งพิมพ์พิเศษ 800-171.
“เรากำลังเขียนข้อเสนอการเปลี่ยนแปลงกฎไปยังมาตรา 32 และ 48 ของ Code of Federal Regulations (CFR) ที่เกิดขึ้นเบื้องหลัง มีคนทำงานหนักมากในเรื่องนี้ แต่คุณจะไม่เห็นมัน เรา DoD CIO เราจะส่งร่างกฎเหล่านี้ไปยัง Office of Management and Budget (OMB) จากนั้นพวกเขาจะเข้าสู่กระบวนการกำหนดกฎ” Fletcher กล่าว “เราคิดว่ากฎนี้จะได้รับการเผยแพร่สำหรับความคิดเห็นสาธารณะในเดือนมีนาคม 2023 เหตุผลที่สำคัญมากก็คือนี่คือความคิดเห็นสาธารณะ คุณมีโอกาสที่จะแสดงความคิดเห็น และเราต้องการความคิดเห็นของคุณ เราอยากให้คุณพูดว่า ‘นี่มันยากเกินไป นี้มีราคา
Credit :เว็บสล็อตแท้ / สล็อตเว็บตรงไม่ผ่านเอเย่นต์
