หนทางข้างหน้ายังอีกยาวไกล แต่หน่วยงานของรัฐบาลกลางและผู้รับเหมากำลังวางรากฐานเพื่อดำเนินการตามกรอบล่าสุดของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติที่มุ่งปกป้องข้อมูลของรัฐบาลกลางที่แบ่งปันในระบบที่รัฐบาลกลางไม่ได้เป็นเจ้าของเอกสารเผยแพร่พิเศษ 800-171 ของ NIST ซึ่งมีผลบังคับใช้เมื่อปลายปี 2017 ได้กำหนดมาตรฐานที่หน่วยงานที่ไม่ใช่หน่วยงานของรัฐบาลกลาง เช่น ผู้รับเหมา รัฐบาลของรัฐ และผู้รับทุนของรัฐบาลกลาง ควรปฏิบัติตามเมื่อจัดการกับข้อมูลที่ไม่เป็นความลับที่มีการควบคุม ซึ่งรวมถึงหมายเลขประกันสังคม
ชื่อ ที่อยู่ และข้อมูลทางการเงินที่ละเอียดอ่อน
ขณะนี้นาฬิกากำลังฟ้องผู้รับเหมาของรัฐบาลกลางเพื่อให้ตรงตามมาตรฐาน SP 800-171 แต่ผู้รับเหมาฝ่ายกลาโหมและฝ่ายพลเรือนอยู่ในสองไทม์ไลน์ที่แยกจากกันเดิมกระทรวงกลาโหมกำหนดวันที่ 1 มกราคมเป็นเส้นตายสำหรับผู้รับเหมาเพื่อให้เป็นไปตามมาตรฐานของ SP 800-171 แต่ขยายเส้นตายการปฏิบัติตามแล้ว กระทรวงได้รับคำสั่งให้ผู้รับเหมามีแผนที่จะปฏิบัติตามกำหนดเส้นตายเดิมวันที่ 1 มกราคม ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคมเพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
ในขณะเดียวกัน General Services Administration ได้เสนอกฎเพื่อกำหนดให้ผู้รับเหมาพลเรือนต้องปฏิบัติตามกรอบ NIST ระยะเวลาแสดงความ
คิดเห็นสาธารณะสำหรับกฎที่เสนอเริ่มตั้งแต่เดือนเมษายนถึงมิถุนายน 2018
“เราต้องการปกป้องข้อมูลนั้นเมื่อย้ายจากพื้นที่ของรัฐบาลกลางไปยังพื้นที่ที่ไม่ใช่ของรัฐบาลกลาง มันยังคงควรได้รับการปกป้องในลักษณะเดียวกับที่เราพยายามปกป้องเมื่อเราควบคุมมันได้ในพื้นที่ของรัฐบาลกลาง” Kelley Dempsey ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลของ NIST ผู้ร่วมเขียน SP 800-171 กล่าว
Dempsey กล่าวในการอภิปรายใน Tysons รัฐเวอร์จิเนียซึ่งสนับสนุนโดย StackArmor โดยกล่าวว่ากรอบ CUI ใหม่มีบทบาทสำคัญเมื่อ IRS ส่งข้อมูลภาษีของรัฐบาลกลางให้กับบริการรายได้ภายในของรัฐ หรือเมื่อวิทยาลัยและมหาวิทยาลัยจำเป็นต้องปกป้องข้อมูลที่เกี่ยวข้องกับรัฐบาลกลาง เงินช่วยเหลือ
แต่เมื่อต้องทำความเข้าใจว่าเมื่อใดควรติดป้ายชุดข้อมูลเป็น CUI Devin Casey นักวิเคราะห์โปรแกรมจาก National Archives and Records Administration กล่าวว่าเขาเห็นความไม่แน่นอนอยู่พอสมควร
เขากล่าวเสริมว่าความไม่แน่นอนในระบบรักษาความปลอดภัยข้อมูลสามารถป้องกันผู้ใช้ที่ได้รับอนุญาตจากการเข้าถึงข้อมูลที่พวกเขาต้องการ
“เราทุกคนทราบดีว่าผู้คนได้รับการเข้าถึงข้อมูลควบคุมที่ไม่เป็นความลับของรัฐบาล ดังนั้นเราจึงล้มเหลวในด้านความปลอดภัย แต่สิ่งสำคัญคือต้องทราบว่ามีปัญหาสำคัญทั้งภายในและภายนอกรัฐบาลเกี่ยวกับการให้บุคคลที่เหมาะสมเข้าถึงข้อมูลที่เราปกป้องอยู่แล้ว” เคซีย์กล่าว หน่วยงานต่างๆ ประสบปัญหาในการแบ่งปันข้อมูลที่ไม่เป็นความลับที่มีการควบคุมจากหน่วยงานหนึ่งไปยังอีกหน่วยงานหนึ่ง เนื่องจากไม่มีโครงการมาตรฐานของรัฐบาลที่พวกเขาสามารถพึ่งพาได้ พวกเขาต้องทำการประเมินความเสี่ยงและข้อตกลงการแบ่งปันข้อมูลเชิงลึกเพียงเพื่อแบ่งปันจาก DHS ไปยัง DoD และย้อนกลับสำหรับข้อมูลแต่ละประเภทที่ถูกแบ่งปัน”
เขากล่าวว่ากระบวนการข้อตกลงการแบ่งปันข้อมูลเหล่านี้มักถูกสร้างขึ้นโดยหน่วยงานต่างๆ และมักจะอยู่ใน “ค่อนข้างสุญญากาศ” ซึ่งหมายความว่าพวกเขากล่าวถึงวิธีการปกป้องข้อมูลในระบบ แต่มักทิ้งองค์ประกอบหลักอื่นๆ ของโปรแกรมรักษาความปลอดภัยข้อมูล เช่น การทำเครื่องหมาย และการฝึกอบรม
“รัฐบาลล้มเหลวทั้งสองฝ่าย เราไม่ได้รับข้อมูลไปยังผู้ที่ต้องการในเวลาที่เหมาะสมและคุ้มค่า และคนที่ไม่ควรได้รับข้อมูลนั้นกลับได้รับข้อมูลนั้น นั่นเป็นเหตุผลที่เรามีส่วนร่วมในสิ่งที่อาจเป็นการปฏิรูปความปลอดภัยของข้อมูลครั้งใหญ่ที่สุดนับตั้งแต่เราสร้างโปรแกรมลับหรือพระราชบัญญัติความเป็นส่วนตัว
credit : ยูฟ่าสล็อต / สล็อตเว็บตรง