ในพระราชบัญญัตินวัตกรรมและความสามารถในการแข่งขันของอเมริกา ซึ่งประธานาธิบดีบารัค โอบามา ลงนามในกฎหมายเมื่อวันที่ 4 มกราคม ท่ามกลางข้อกำหนดที่สภาคองเกรสกำหนดให้สถาบันมาตรฐานและเทคโนโลยีแห่งชาติเป็นสิ่งที่ดูเหมือนง่าย แต่อาจเป็นส่วนที่ขาดหายไปเป็นเวลานาน – ความท้าทายด้านความปลอดภัยในโลกไซเบอร์ฝ่ายนิติบัญญัติสั่งให้ NIST “ประเมินประสิทธิผลและความเพียงพอของมาตรฐานและแนวทางปฏิบัติของหน่วยงานรัฐบาลกลางที่พัฒนาขึ้นภายใต้มาตรานี้ ตลอดจน
นโยบายและมาตรฐานที่ประกาศใช้ภายใต้มาตรา 11331 หัวข้อ 40 ประมวลกฎหมายสหรัฐอเมริกา”
โดยพื้นฐานแล้ว สภาคองเกรสกำลังบอกให้ NIST เจาะลึกว่าหน่วยงานต่างๆ เข้าใจและใช้สิ่งพิมพ์พิเศษและมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลางสำหรับความปลอดภัยทางไซเบอร์ที่จัดทำขึ้นอย่างไร
Charles Romineผู้อำนวยการห้องปฏิบัติการด้านไอทีของ NIST กล่าวในการประชุม Information Security and Privacy Advisory Board (ISPAB) ในกรุงวอชิงตันเมื่อเร็วๆ นี้ว่า NIST จะมองหาช่องว่างในเทคนิคในการรักษาความปลอดภัยและระบุข้อบกพร่องที่ NIST หรือหน่วยงานอื่นๆ พบในมาตรฐาน .
ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคม
เพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
“แนวทางของเราคือการทำงานร่วมกับหน่วยงานต่าง ๆ เพื่อระบุด้านที่การดำเนินการอาจมีการปรับปรุง” Romine กล่าว “เราไม่ได้มองว่านี่เป็นการเข้าสู่บทบาทดั้งเดิมของผู้ตรวจการทั่วไปหรือสำนักงานความรับผิดชอบของรัฐบาล เป็นสิ่งที่เราไม่พร้อมที่จะทำและไม่ใช่ความเชี่ยวชาญของเรา คำถามที่ว่าแนวทางปฏิบัติของเรามีประสิทธิภาพหรือไม่นั้นคือการหารือกับหน่วยงานอื่นๆ เกี่ยวกับความเพียงพอของแนวทางปฏิบัติของเราและสอดคล้องกับความต้องการมากน้อยเพียงใด เราจะใช้มันเป็นวงตอบรับ”
Romine กล่าวหลังจากที่เขาพูดในการประชุม ISPAB ว่า NIST ยังไม่ได้เริ่มวางกลยุทธ์สำหรับการประชุมตามอาณัติของรัฐสภา แต่จะดำเนินการในอีกไม่กี่เดือนข้างหน้า
Romine บอกกับคณะกรรมการว่า NIST จำเป็นต้องได้รับความชัดเจนจากสภาคองเกรสเกี่ยวกับความคาดหวังของพวกเขา
“สิ่งที่เรากำลังมองหาคือข้อเสนอแนะจากหน่วยงานต่าง ๆ เกี่ยวกับประโยชน์ของแนวทางที่เราให้ไว้ และพื้นที่ที่เราสามารถทำงานร่วมกับหน่วยงานต่าง ๆ เพื่อปรับปรุงคำแนะนำนั้นเพื่อให้สามารถนำไปปฏิบัติได้มากขึ้น และดังนั้นพวกเขาจึงปรับปรุงการจัดการความเสี่ยงโดยรวม” เขากล่าว
ที่สำคัญกว่านั้น สิ่งที่การตรวจสอบนี้จะช่วยได้คือช่วยให้ NIST และหวังว่าฝ่ายนิติบัญญัติจะเข้าใจมากขึ้นถึงความท้าทายที่หน่วยงานและผู้ตรวจสอบมีต่อแนวทางกว้างๆ ของสถาบัน
ดูเหมือนว่าในช่วง 15 ปีที่ผ่านมา เจ้าหน้าที่สารสนเทศระดับสูงของหน่วยงานกฎหมายและหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลต้องเผชิญกับการตัดสินใจตามความเสี่ยง ในขณะเดียวกันก็เผชิญกับสิ่งที่บางคนอาจกล่าวว่าเป็นการตรวจสอบที่ไม่เป็นธรรมจากผู้ตรวจสอบ
Alan Pallerผู้อำนวยการฝ่ายวิจัยของ SANS Institute เป็นผู้วิพากษ์วิจารณ์อย่างหนักเกี่ยวกับวิธีการตีความกฎหมาย Federal Information Security Management Act (FISMA) โดยหน่วยงานและผู้ตรวจสอบ จากนั้นจึงแปลเป็นคำแนะนำของ NIST
อ่านเพิ่มเติม: สมุดบันทึกของนักข่าว
“ในมือของบุคคลที่สนใจในโลกไซเบอร์มาก คำแนะนำของ NIST เป็นเครื่องมือที่ยอดเยี่ยม และตราบใดที่คุณมีความสัมพันธ์ที่ดีกับ IG ของคุณ คุณก็สามารถทำทุกอย่างได้” เขากล่าว “แต่หากความสัมพันธ์ระหว่างกลุ่มความปลอดภัยด้านไอทีและ IG นั้นเป็นปฏิปักษ์กัน แนวทางจะกลายเป็นสมรภูมิ NIST อนุญาตให้มีการตีความจำนวนมากและนั่นอาจทำให้ปัญหาระหว่าง IG และหน่วยงานรุนแรงขึ้น นี่คือเหตุผลที่สิ่งสำคัญที่สุดคือให้พวกเขาอยู่ในหน้าเดียวกัน”
มีตัวอย่างมากมายเกี่ยวกับเรื่องนี้ในรัฐบาล รวมถึงความไม่ลงรอยกัน เมื่อเร็วๆ นี้ เกี่ยวกับโปรแกรมการวินิจฉัยและบรรเทาผลกระทบอย่างต่อเนื่อง (CDM) ที่กระทรวงมหาดไทย
รายงาน ปี 2014 โดย IG ของกระทรวงการต่างประเทศยังแสดงให้เห็นว่าช่องว่างระหว่างผู้ตรวจสอบและหน่วยงานบางครั้งพัฒนาขึ้นอย่างไร
Paller กล่าวว่าจนกว่า CISO และพนักงานไซเบอร์อื่น ๆ จะถูกมองว่าเป็นผู้เปิดใช้งานภารกิจแทนที่จะเป็นบางสิ่งที่ต้องหลีกเลี่ยงหรือผ่านไป คำแนะนำใด ๆ ไม่ว่าจะจาก NIST หรือจากทำเนียบขาวจะปฏิบัติได้ยากขึ้น
