עוברים לתקינה אחודה בסייבר

משרד ההגנה האמריקאי משנה את מדיניות ההגנה בסייבר. בהחלטה שהתקבלה השבוע על ידי ה-CIO של המשרד, טרי טקאי, יאמץ המשרד את מדיניות ניהול הסיכונים של NIST במקום מדיניות DIACAP. המשמעות היא האחדה של מדיניות ההגנה של המגזר האזרחי והביטחוני תחת NIST

ה-CIO של משרד ההגנה, טרי טקאי

בשינוי משמעותי במדיניות ההגנה בסייבר, משרד ההגנה (DOD) החליף ההסמכה ארוכת השנים לאבטחת מידע (DIACAP) בגישת אבטחה ממוקדת סיכונים שפותחה על ידי המכון הלאומי לתקנים והטכנולוגיה (NIST).

ההחלטה, שפורסמה השבוע על ידי ה-CIO של משרד ההגנה, טרי טקאי, בתזכיר הדרכה (8510.01), מקבילה בפעם הראשונה את תקני משרד ההגנה לאלו של הסוכנויות אזרחיות כדי להבטיח שמערכות ה-IT של המשרד עולות בקנה אחד עם הבטחת מידע מאושרת ובקרות ניהול סיכונים.

המדיניות החדשה מעבירה את משרד ההגנה ממורשתו לציית ל-DIACAP, אשר קובע קבוצה סטנדרטית של פעילויות ותהליכי ניהול לאישור והסמכת מערכות מידע, לפני יישום וכל שלוש שנים לאחר מכן. משרד ההגנה יאמץ כעת שילוב של שיטות ניהול סיכונים שפותחו במשך שנים רבות על ידי NIST, לרבות תקנים להערכה ואישור, הערכת סיכונים, ניהול סיכונים וניטור רציף .

שינוי המדיניות משקף "ריחוק של משרד ההגנה מתקנים ייחודיים, ושימוש רחב יותר בתקני NIST ותקנים ממשלתיים אחרים", אמרה טקאי לאתר InformationWeek בראיון בדצמבר האחרון לקראת שחרורו הרשמי של מכתב ההדרכה. "היינו מודאגים מכך שאנו מגדילים את העלויות שלנו בשל העובדה שחברות היו צריכות להתאים את המוצרים שלהן לתקנים שלנו, בנוסף לתקנים לאומיים אחרים", אמרה טקאי.

משרד ההגנה הקציב חצי שנה לסיום ביצוע הסמכות חדשות תחת תהליך DIACAP, ולמעבר המלא של כל ההסמכות הקיימות מבוססות DIACAP בתוך שלוש וחצי שנים ממועד תחילת המדיניות, 12 במרס 2014. המעבר למערך משותף של תקני אבטחה וניהול הסיכונים החל למעשה לפני יותר מחמש שנים, עם הקמת קבוצת העבודה הבין משרדית (JTF-TI). ד"ר רון רוס, האדריכל הראשי של NIST בתחום ניהול סיכונים (RMF) הוביל את הקבוצה. הסטנדרטים של ניהול הסיכונים הללו הם גם הבסיס להסמכת FedRAMP, הסכמה פדרלית לקבלנים המספקים שירותי ענן לממשל.

עם זאת, ספקים שעובדים על רשתות מסווגות של משרד ההגנה, עדיין צריכים לעמוד בדרישות משרד הגנה אמריקניות נוספות. "מנקודת מבט של ענן, אנו מאמינים כי הסטנדרטים של NIST הם המינימום ההכרחי של סטנדרטים לאבטחת מערכות משרד ההגנה", אמרה טקאי.

בקרות האבטחה של NIST, הנמצאות כיום בשימוש ברוב הסוכנויות אזרחיות, הן הרבה יותר רחבות ופרטניות מאלו של ה-DIACAP, ובכל זאת קל יותר להבין וליישם אותן, אומר לאתר מי שמכיר את שתי השיטות. בקרות האבטחה של NIST יכולות להיות מותאמות אישית עבור סביבת ה-IT הביטחונית, ו-DISA כבר יצרה יותר מ-1,700 מזהי מתאם בקרה (CCIS), שהופכים את הבקרות להרבה יותר קלות ליישום.

You might be interested also