สำนักบริหารและงบประมาณเน้นย้ำอีกครั้งว่าหน่วยงานต้องอนุญาตการรักษาความปลอดภัยของระบบทั้งหมดอีกครั้งอย่างน้อยปีละครั้ง หากไม่ได้ทำอย่างต่อเนื่องแผนกความมั่นคงแห่งมาตุภูมิได้ให้รายละเอียดเกี่ยวกับข้อกำหนดสำหรับการตรวจสอบอย่างต่อเนื่องในเดือนมิถุนายน และตอนนี้ OMB กำลังทำให้แน่ใจว่าหน่วยงานต่าง ๆ เลิกตรวจสอบระบบของตนทุก ๆ สามปีดังที่เคยเกิดขึ้นในช่วงทศวรรษที่ผ่านมา
รักษาการผู้อำนวยการ OMB Jeff Zients ได้ออก คำแนะนำ
ประจำปีของ Federal Information Security Management Act (FISMA) ให้กับหน่วยงานต่างๆ เมื่อวันที่ 2 ต.ค. โดยมีรายละเอียดเกี่ยวกับข้อกำหนดที่ปรับปรุงใหม่ดูเหมือนว่า OMB จะมีการเปลี่ยนแปลงเล็กน้อยในแนวทางการรายงานปี 2012 ซึ่งอิงตามเมตริก FISMA เดือนกุมภาพันธ์ 2012 จาก DHS
Cloud Exchange 2023 ของ Federal News Network: ค้นพบวิธีที่หน่วยงานต่างๆ ทั่วทั้งรัฐบาลใช้ระบบคลาวด์เพื่อพลิกโฉมบริการภาครัฐ ตั้งแต่องค์กรไปจนถึงปลายทางในงาน 3 วันนี้ ลงทะเบียนวันนี้!
“ลำดับความสำคัญเหล่านี้มุ่งเน้นไปที่ความพยายามของหน่วยงานรัฐบาลกลางในการระบุว่าใครอยู่ในเครือข่ายของพวกเขา สิ่งที่อยู่ในเครือข่ายของพวกเขา และเมื่อท่าทางการรักษาความปลอดภัยเครือข่ายเปลี่ยนไป และสิ่งที่กำลังเข้ามาและมีอยู่ในเครือข่ายของพวกเขา” Zients เขียนถึงเลขานุการของหน่วยงาน “เมตริก FISMA ประจำปีงบประมาณ 2012 ที่ออกโดย Department of Homeland Security ได้กำหนดระดับประสิทธิภาพขั้นต่ำและเป้าหมายสำหรับลำดับความสำคัญเหล่านี้ เช่นเดียวกับเมตริกสำหรับประสิทธิภาพหลักอื่นๆ”
คำแนะนำประกอบด้วยคำถามและคำตอบ 57 ข้อที่กล่าวถึงทุกอย่าง
ตั้งแต่การทดสอบและการฝึกอบรมไปจนถึงการตรวจสอบและควบคุมผู้รับเหมา
OMB ยังคงต้องการให้หน่วยงานรายงานข้อมูล FISMA ประจำปีผ่านเครื่องมือ Cyberscopeภายในวันที่ 15 พฤศจิกายน และส่งตัวชี้วัดสำหรับสามไตรมาสแรกของปี 2013 ภายในวันที่ 15 มกราคม เมษายน และกรกฎาคม
นอกเหนือจากรายงานความคืบหน้าของ FISMA ทั่วไปแล้ว OMB ยังต้องการให้หน่วยงานต่างๆ จัดเตรียม:
นโยบายการแจ้งเตือนการละเมิดหากมีการเปลี่ยนแปลงตั้งแต่ปีที่แล้ว
อัปเดตความคืบหน้าเกี่ยวกับการเลิกใช้หมายเลขประกันสังคมโดยไม่จำเป็น
อัปเดตความคืบหน้าเกี่ยวกับการตรวจสอบและการลดการเก็บรักษาข้อมูลระบุตัวตนที่ไม่จำเป็น
การเน้นย้ำเรื่องการติดตามอย่างต่อเนื่องในคำแนะนำของ FISMA เป็นไปตาม National Institute of Standards and Technology’s Special Publication 800-37 ซึ่งมุ่งเน้นที่การช่วยให้หน่วยงานต่างๆ ใช้แนวทางตามความเสี่ยงในการรักษาความปลอดภัยทางไซเบอร์
“โปรแกรมการตรวจสอบอย่างต่อเนื่องจึงเป็นไปตามข้อกำหนดการอนุญาตการรักษาความปลอดภัยอีกครั้งสามปี ดังนั้นจึงไม่จำเป็นต้องมีกระบวนการการอนุญาตอีกครั้งแยกต่างหาก” คำแนะนำระบุ “หน่วยงานควรพัฒนาและใช้กลยุทธ์การตรวจสอบอย่างต่อเนื่องสำหรับระบบข้อมูลทั้งหมด ซึ่งระบุถึงการควบคุมความปลอดภัยทั้งหมดที่นำมาใช้ รวมถึงความถี่และระดับความเข้มงวดที่เกี่ยวข้องกับกระบวนการตรวจสอบ กลยุทธ์การตรวจสอบอย่างต่อเนื่องควรรวมถึงการควบคุมทั่วไปทั้งหมดที่สืบทอดมาจากระบบข้อมูลขององค์กร”
นอกเหนือจากการไม่ต้องอนุญาตระบบทุกๆ สามปีแล้ว OMB ยังบอกกับหน่วยงานต่างๆ ว่าพวกเขาไม่จำเป็นต้องรายงานทุกข้อบกพร่องที่มีนัยสำคัญในรายงาน FISMA ของตน
“[A] หน่วยงานต้องรักษาเอกสารทั้งหมดที่สนับสนุนการค้นพบข้อบกพร่องที่สำคัญและจัดเตรียมให้ทันเวลาเมื่อมีการร้องขอโดย OMB หรือหน่วยงานกำกับดูแลอื่น ๆ” แนวทางดังกล่าวระบุ “FISMA กำหนดให้หน่วยงานรายงานข้อบกพร่องที่มีนัยสำคัญซึ่งเป็นจุดอ่อนที่สำคัญภายใต้กฎหมายความซื่อตรงทางการเงินของผู้จัดการรัฐบาลกลาง และเป็นตัวอย่างของการขาดการปฏิบัติตามข้อกำหนดที่สำคัญภายใต้ FFMIA หากเกี่ยวข้องกับระบบการจัดการทางการเงิน”
