ทำเนียบขาวต้องการเปลี่ยนวิธีการจัดการความพยายามด้านความปลอดภัยทางไซเบอร์ของหน่วยงานโดยเปลี่ยนจากการยืนยันตนเองและการปฏิบัติตามแนวทางไปสู่การตรวจสอบเครือข่ายและการวัดผลที่มุ่งเน้นผลลัพธ์อย่างต่อเนื่องมากขึ้น ตามที่หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลาง (CISO) กล่าวสำนักงานการจัดการและงบประมาณกำลังตรวจสอบให้แน่ใจว่าหน่วยงานต่าง ๆ กำลังให้ข้อมูลที่เรียกร้องในคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ของเดือนพฤษภาคมด้วย
“การกำกับดูแลที่เข้มงวด” ตาม Chris DeRusha, CISO ของรัฐบาลกลางที่ OMB
“เรากำลังวัดและกำหนดแดชบอร์ด data call layer อันดับแรก สิ่งที่ใช้ได้จริง — คือผู้คนทำในสิ่งที่เราขอให้พวกเขาทำบนไทม์ไลน์ที่เราขอให้พวกเขาทำ” DeRusha กล่าวระหว่างงานเมื่อวันที่ 28 กรกฎาคม ซึ่งจัดโดย Oracle“แต่นั่นไม่ได้วัดความก้าวหน้า” เขากล่าวเสริมข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
ท้ายที่สุด ทำเนียบขาวต้องการผูกการเรียกข้อมูลและเป้าหมายของ EO เข้ากับกระบวนการ Federal Information Security Modernization Act (FISMA) ซึ่งเป็นกฎหมายที่ควบคุมวิธีที่ผู้นำสาขาบริหารจัดการความปลอดภัยทางไซเบอร์ในหน่วยงานต่างๆ
“เราต้องการรวมสิ่งนี้เข้ากับ FISMA อย่างเป็นธรรมชาติ” DeRusha กล่าวต่อ “และเรายังต้องการปฏิรูป FISMA เพื่อให้เรามุ่งเน้นไปที่ผลลัพธ์ด้านความปลอดภัยและการรักษาความปลอดภัยจริงที่ผ่านการทดสอบ การตรวจสอบอย่างต่อเนื่อง และเราเริ่มถอยห่างจากการรับรองด้วยตนเองและแนวทางที่อิงตามการปฏิบัติตาม”
FISMA กำหนดกรอบการทำงานสำหรับสิ่งที่หน่วยงานควรทำเพื่อปกป้อง
ข้อมูลและเครือข่าย เช่น การบำรุงรักษาระบบไอที การจัดหมวดหมู่ข้อมูลและระบบตามความเสี่ยง และการใช้แผนการรักษาความปลอดภัยของระบบ — ท่ามกลางข้อกำหนดอื่นๆ อีกมากมาย
กฎหมายไม่เห็นการปฏิรูปครั้งใหญ่ตั้งแต่ปี 2014 “สิ่งต่างๆ เปลี่ยนไปมากตั้งแต่นั้นมา” DeRusha กล่าว
เขากล่าวว่าฝ่ายบริหารของ Biden กำลังทำงานอย่างใกล้ชิดกับสภาคองเกรส โดยเจ้าหน้าที่คาดว่าจะเห็นข้อเสนอจากฝ่ายนิติบัญญัติ “เร็วๆ นี้”
Gary Peters (D-Mich.) ประธานคณะกรรมการความมั่นคงแห่งมาตุภูมิและกิจการภาครัฐของวุฒิสภาและ Rob Portman สมาชิกอันดับ (R-Ohio) ส่งสัญญาณในเดือนพฤษภาคมว่าพวกเขากำลังจับตามองการปฏิรูป FISMA หลังจากการละเมิด SolarWinds ส่งผลกระทบต่อหน่วยงานรัฐบาลกลางหลายแห่ง
“FISMA ต้องการการปรับเปลี่ยนอย่างชัดเจนเพื่อให้แน่ใจว่าหน่วยงานต่างๆ และ [หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน] มีข้อมูลที่จำเป็นในการทำความเข้าใจความเสี่ยงของเราและจัดสรรทรัพยากรของเราเพื่อจัดการกับความเสี่ยงเหล่านั้นที่ได้รับการระบุ” ปีเตอร์สกล่าวระหว่างการพิจารณาคดีเมื่อวันที่ 11 พฤษภาคม “กฎหมายต้องสะท้อนเจตนารมณ์ของสภาคองเกรส ดังนั้นจึงไม่มีความคลุมเครือ ดังนั้นจึงไม่มีความสับสนว่าเมื่อใดและหากหน่วยงานจำเป็นต้องประกาศเหตุการณ์สำคัญและแจ้งให้สภาคองเกรสทราบเกี่ยวกับเหตุการณ์เหล่านั้น
ผู้ช่วยของ Peters ยืนยันว่าพรรคเดโมแครตของรัฐมิชิแกนกำลังทำงานอย่างแข็งขันเกี่ยวกับกฎหมายปฏิรูป FISMA ผู้ช่วยไม่สามารถหารือเกี่ยวกับตารางเวลาสำหรับการเผยแพร่ข้อเสนอ
อ่านเพิ่มเติม: ความปลอดภัยทางไซเบอร์
ในขณะเดียวกัน DeRusha กล่าวว่า “มีมากมาย” OMB สามารถทำได้ด้วยตัวเองบน FISMA และการย้ายออกจากการปฏิบัติตามข้อกำหนดไม่ได้หมายความว่าต้องปล่อยให้เอเจนซี่เลิกยุ่ง รายงาน FISMA ประจำปีงบประมาณ 2020 แสดงให้เห็นว่าหน่วยงานต่าง ๆ เห็นเหตุการณ์ทางไซเบอร์เพิ่มขึ้น 8%เมื่อเทียบกับปีที่แล้ว
