ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงในไม่ช้าจะมีการแจ้งให้หน่วยงานต่างๆ เปลี่ยนวิธีการรับรองและรับรองระบบคอมพิวเตอร์ของตนสำนักงานการจัดการและงบประมาณกำลังร่างบันทึกเพื่อย้ายหน่วยงานออกจากกระบวนการทุกๆ 3 ปีทุกๆ 3 ปีภายใต้กฎหมายการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลางเป้าหมายของบันทึกคือการนำแนวคิดของการอนุญาตอย่างต่อเนื่องตามที่ระบุไว้ในคำแนะนำ FISMA ประจำปีงบประมาณ 2012ที่ส่งไปยังหน่วยงานต่างๆ ในเดือนกันยายน
ในเอกสาร OMB กล่าวว่าหน่วยงานต่าง ๆ คาดว่าจะดำเนินการอนุญาตระบบข้อมูล
อย่างต่อเนื่องผ่านการดำเนินการตามโปรแกรมการตรวจสอบอย่างต่อเนื่องเจฟฟ์ ไอเซนสมิธ หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล DHSOMB กล่าวว่าโปรแกรมการตรวจสอบอย่างต่อเนื่องเป็นไปตามข้อกำหนดการอนุญาตใหม่ด้านความปลอดภัยสามปี ดังนั้นจึงไม่จำเป็นต้องมีขั้นตอนการอนุญาตซ้ำแยกต่างหาก ในความพยายามที่จะปรับใช้กระบวนการอนุญาตด้านความปลอดภัยตามความเสี่ยงที่มีไดนามิกมากขึ้น หน่วยงานควรปฏิบัติตามคำแนะนำใน NIST Special Publication 800-37
Insight by Rancher Government Solutions: รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบัน
แผนกความมั่นคงแห่งมาตุภูมิเป็นหน่วยงานแรกที่ออกใบอนุญาตอย่างต่อเนื่อง“เรามีหลายองค์ประกอบที่กำลังดำเนินการนำร่องโดยได้รับอนุญาตอย่างต่อเนื่อง จะเป็นการนำร่องสามเดือน” เจฟฟ์ ไอเซนสมิธ หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ DHS กล่าวระหว่างการอภิปรายเมื่อวันอังคารที่กรุงวอชิงตันซึ่งได้รับการสนับสนุนจาก ACT-IAC “ในตอนท้าย ฉันหวังว่าจะมีสิ่งประดิษฐ์ที่ฉันจะแบ่งปันกับพี่น้อง แผนกอื่นๆ ทั้งหมดที่กำลังคิดจะทำสิ่งนี้ ในระหว่างนี้ OMB ได้จัดทำแบบร่างที่เปลี่ยนแปลงสนามแข่งขันและสนับสนุนและยอมรับการอนุญาตอย่างต่อเนื่อง มีการเปลี่ยนแปลงที่แท้จริงเกิดขึ้นที่นี่”
OMB ไม่ตอบสนองต่อคำร้องขอความคิดเห็นเกี่ยวกับร่างบันทึก
แหล่งข่าวของรัฐบาลกล่าวว่า CIO และ CISO กำลังตรวจสอบ และไม่มีตารางเวลาว่าจะเผยแพร่เมื่อใด
ข้อมูลสุขภาพไซเบอร์แบบเรียลไทม์
ในขณะเดียวกัน DHS กำลังดำเนินการนำร่อง 3 ลำที่สำนักงานใหญ่ ที่แผนกตรวจคนเข้าเมืองและตรวจคนเข้าเมือง และที่แผนกตรวจคนเข้าเมืองและกรมศุลกากร
Eisensmith กล่าวว่าเป้าหมายสุดท้ายคือการให้ทั้งเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (ISO) เจ้าหน้าที่บริหารความเสี่ยง และผู้นำระดับสูงมีข้อมูลเพียงพอในการตัดสินใจเกี่ยวกับสุขภาพของเครือข่าย
“สิ่งที่ดูเหมือนว่าการอนุญาตอย่างต่อเนื่องคือตอนนี้ ISO ก้มหน้าลง โดยดูที่บันทึกการตรวจสอบแทนการสร้างเอกสาร พวกเขากำลังดำเนินคดีกับสิ่งผิดปกติที่เกิดขึ้นกับพวกเขา” เขากล่าว “ด้วยการตรวจสอบอย่างต่อเนื่อง เป้าหมายคือการมีแดชบอร์ดที่ ISO จะตรวจสอบ เขาหรือเธอสามารถดูแบดบอย 10 อันดับแรกทุกวันและพูดว่า ‘นี่คือสิ่งที่ฉันต้องดำเนินคดีในวันนี้’ ผู้บริหารความเสี่ยงจะมีความคิดในลักษณะที่ใกล้เคียงเวลาจริงมากขึ้นโดยพูดว่า ‘วันนี้ฉันจะทำอย่างนั้นได้ไหม? ฉันควรจะผลักแพทช์นั้นออกเป็นเวลาสองสัปดาห์หรือว่าวันนี้ผมของฉันถูกไฟไหม้?’ นั่นคือวิสัยทัศน์ของอนาคตและมันอยู่ไม่ไกล”Eisensmith กล่าวว่าการอนุญาตอย่างต่อเนื่องจะสร้างปฏิสัมพันธ์ที่สอดคล้องกันมากขึ้นระหว่างเจ้าหน้าที่อนุญาตซึ่งเป็นบุคคลในหน่วยงานที่ลงนามในระบบโดยระบุว่าเป็นไปตามข้อกำหนดของ FISMA และเจ้าของระบบซึ่งมีหน้าที่รับผิดชอบในการรักษาความปลอดภัยของระบบตั้งแต่แรก
ไอเซนสมิธกล่าวว่าเจ้าหน้าที่ผู้มีอำนาจบางคนกำลังตรวจสอบระบบทุก ๆ สองสัปดาห์ ซึ่งปกติแล้วเป็นเพราะเหตุการณ์ที่กระตุ้น ซึ่งหมายความว่ามีบางอย่างเกี่ยวกับระบบที่เปลี่ยนไป
IG อยู่บนกระดาน
เขากล่าวว่า DHS ได้รับการสนับสนุนที่สำคัญจาก OMB, สำนักงานความรับผิดชอบของรัฐบาล, สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ และแม้แต่ผู้ตรวจการทั่วไปของหน่วยงานในการย้ายไปสู่การอนุญาตอย่างต่อเนื่อง ซึ่งเป็นเหตุผลสำคัญที่พวกเขาสามารถทดสอบแนวคิดนี้ได้
“เราร่วมมือกับ IG และอธิบายกระบวนการของเรา” Eisensmith กล่าว “เราขอความช่วยเหลือจาก IG ให้ทำสิ่งที่พวกเขาพอใจและสามารถรายงานได้ IG บอกว่าเราพูดถูก กระบวนทัศน์เก่าไม่ได้ทำให้งานสำเร็จ”
การย้ายไปยังการอนุญาตอย่างต่อเนื่องเป็นส่วนหนึ่งของการดำเนินการในวงกว้างของการตรวจสอบอย่างต่อเนื่องและการหลีกหนีจากแนวทางในอดีตสู่ FISMA ของการอนุญาตระบบใหม่ทุกๆ สามปี
