ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงการลดการโจมตีทางไซเบอร์ต่อหน่วยงานของรัฐบาลกลางลงได้อย่างมากนั้นเป็นเรื่องของการนำระเบียบวินัยบางประเภทมาสู่รัฐบาล
ผู้เชี่ยวชาญกล่าวว่ารัฐบาลต้องการการควบคุมแบบเดียวกับที่ใช้ในวิศวกรรมของอาคารหรือเครื่องบินในฮาร์ดแวร์และระบบไอทีRon Ross เพื่อนร่วมสถาบัน National Institute of Standards and Technology กล่าวว่านั่นหมายถึงการทำให้แน่ใจว่าทุกคนที่เกี่ยวข้องกับโปรแกรมเฉพาะรู้ถึงบทบาทของตน
“ผู้มีส่วนได้ส่วนเสียสามารถเลือกการควบคุมเพื่อปกป้องภารกิจ
ของพวกเขาและมีการอภิปรายแลกเปลี่ยนโดยที่พวกเขาถามว่าอะไรคือความเสี่ยงของฉันระหว่างสิ่งต่าง ๆ เช่นการตรวจสอบสิทธิ์สองปัจจัยกับการเข้ารหัส” Ross กล่าวในงาน AFCEA Bethesda ล่าสุด “สิ่งเหล่านี้เป็นการตัดสินใจทางวิศวกรรมและธุรกิจที่เราไม่ได้ทำในวันนี้ ฉันหวังว่าจะเปลี่ยนจากที่เราเป็นอยู่ทุกวันนี้ ทำตามกรอบ การควบคุม และมาตรฐาน และหน่วยงานที่จมอยู่ในแนวทางแทนที่จะให้กระบวนการที่มีระเบียบวินัยและมีโครงสร้างแก่พวกเขา และให้ทุกคนมีส่วนร่วมในทุกขั้นตอน”
ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคมเพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
รอสส์และคนอื่นๆ ยอมรับอย่างพร้อมเพรียงว่าการดำเนินการตามระเบียบวินัยประเภทนี้ต้องใช้เวลาหลายปี ไม่ใช่เรื่องง่ายและไม่ใช่กระสุนเงินสำหรับแฮ็กเกอร์ รัฐชาติ และผู้กระทำการที่ไม่ดีอื่นๆ
Peter Gouldmann ผู้อำนวยการโครงการความเสี่ยงด้านข้อมูลใน Office of Information Assurance ของกระทรวงการต่างประเทศสหรัฐฯ กล่าว
“มันเป็นความสัมพันธ์ระหว่างการป้องกันและการวางแผน” โกลด์แมนน์กล่าว “มันย้อนกลับไปที่ความจริงที่ว่าขอบเขตไม่สามารถพึ่งพาได้ 100 เปอร์เซ็นต์ ดังนั้นหากคุณเริ่มต้นด้วยการออกแบบโดยคำนึงถึงความยืดหยุ่น ด้วยความรู้ของสิ่งที่สำคัญที่สุดและสิ่งที่คุณสามารถทำได้หากจำเป็น คุณก็จะ สามารถอภิปรายเกี่ยวกับการป้องกันและความยืดหยุ่นได้”
การแก้ปัญหาพื้นฐาน
ด้วยเหตุนี้ NIST จึงรวมแนวคิดเหล่านี้ไว้ในเอกสารใหม่ Special Publication 800-160, Systems Security Engineering: An Integrated Approach to Building Trustworthy Resilient Systems
หน่วยงานเผยแพร่ฉบับร่างในเดือนพฤษภาคม 2014 รวบรวมความคิดเห็นจากปีที่แล้วและตอนนี้กำลังสรุปผล
Ross กล่าวว่าเวอร์ชัน 1.0 ควรออกภายในสิ้นปี 2558 หรือต้นปี 2559 หลังจากเผยแพร่ร่างสาธารณะครั้งที่สองสำหรับความคิดเห็นในช่วงฤดูร้อนนี้
“เรากำลังพยายามแก้ปัญหาพื้นฐานเกี่ยวกับวิธีการรวม ระบบความปลอดภัยทางไซเบอร์เข้าด้วยกันเข้าสู่กระบวนการหลักขององค์กร นั่นคือสิ่งที่เราดิ้นรนด้วย” เขากล่าว “เราใช้มาตรฐานสากล เป็นมาตรฐาน IEEE และ ISO ซึ่งเป็นมาตรฐานร่วม 15288 และเราได้รับอนุญาตจาก IEEE ให้อ้างอิงขั้นตอนกระบวนการตลอดวงจรชีวิต สิ่งที่เรากำลังทำในเอกสารเผยแพร่ของ NIST คือเรากำลังกำหนดแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ควรเกิดขึ้นในทุกจุดในวงจรชีวิตนั้น ตั้งแต่ข้อกำหนดของผู้มีส่วนได้ส่วนเสียไปจนถึงการออกแบบ สถาปัตยกรรม ไปจนถึงการนำไปใช้งาน การตรวจสอบและการตรวจสอบความถูกต้อง ตลอดทาง ผ่าน. ความตั้งใจคือการทำให้คนที่เหมาะสมในองค์กรมีส่วนร่วมในกระบวนการตัดสินใจว่าคุณปกป้องพันธกิจของธุรกิจอย่างไร ทุกวันนี้ ในหลายกรณี เรากำลังผลักดันการควบคุมความปลอดภัยจากล่างขึ้นบน โดยไม่มีบริบท”Ross กล่าวว่า 800-160 ในหลาย ๆ ด้านกำลังบูรณาการงานทั้งหมดที่ NIST ได้ทำในช่วงทศวรรษที่ผ่านมาหรือมากกว่านั้นกับการจัดการความเสี่ยงการควบคุมความปลอดภัย และสิ่งพิมพ์พิเศษทางไซเบอร์อื่น ๆ เขากล่าวว่าเอกสารแต่ละฉบับไม่ได้หายไป แต่เป้าหมายคือให้หน่วยงานมีบริบทที่ดีขึ้นสำหรับการใช้มาตรฐานความปลอดภัยทางไซเบอร์เหล่านี้
“ทุกภารกิจ ทุกธุรกิจมีความแตกต่างกันเล็กน้อย ดังนั้น เมื่อคุณตัดสินใจได้ว่าหน้าที่ที่สำคัญและวัตถุประสงค์ทางธุรกิจของคุณคืออะไร คำถามในวันนี้ก็คือ ฉันจะปกป้องตัวเองได้อย่างไรเมื่อฉันต้องพึ่งพาเทคโนโลยีสารสนเทศสำหรับภารกิจและความสำเร็จของธุรกิจนั้น” เขาพูดว่า. “เมื่อคุณดำเนินการจากระดับบนลงล่าง คุณจะให้ผู้มีส่วนได้ส่วนเสียเข้ามามีส่วนร่วมตั้งแต่เนิ่นๆ พวกเขาสามารถเป็นส่วนหนึ่งของการอภิปรายว่าทำไมคุณถึงต้องการการควบคุมความปลอดภัยนี้ ทำไมคุณถึงมีข้อกำหนดด้านความปลอดภัยนี้ มีวัตถุประสงค์หรือไม่ จะช่วยได้อย่างไร ฉันปกป้องธุรกิจหรือภารกิจของฉัน และฉันสามารถจัดการความเสี่ยงหลังจากที่ฉันตัดสินใจเหล่านั้นได้หรือไม่ เป็นวิธีการทำธุรกิจที่โปร่งใสหรือมีข้อมูลมากขึ้น
Ross กล่าวว่าเป้าหมายสุดท้ายคือการกระจายความเชี่ยวชาญทางไซเบอร์ทั่วทั้งแผนก เพื่อให้ทุกคนตั้งแต่ CFO ไปจนถึงผู้จัดการโปรแกรมไปจนถึงผู้จัดการฝึกอบรม ไปจนถึงทุกคนที่มีส่วนได้ส่วนเสียในความสำเร็จของภารกิจของหน่วยงาน
Ross กล่าวว่าเหตุผลที่ NIST ตัดสินใจพัฒนาสิ่งพิมพ์ด้านวิศวกรรมความปลอดภัยของระบบเป็นเพราะความซับซ้อนที่เพิ่มขึ้นของระบบและอุปกรณ์
