หลังจากแปดเดือน สถาบันมาตรฐานและเทคโนโลยีแห่งชาติได้เผยแพร่กรอบความปลอดภัยทางไซเบอร์สำหรับผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญแต่ตอนนี้งานจริงเริ่มขึ้นแล้ว NIST ต้องเปลี่ยนจากบทบาทในการนำ ผู้เชี่ยวชาญในอุตสาหกรรม นักวิชาการ และรัฐบาลกว่า 3,000 คน มารวมกันเป็นหนึ่ง ในผู้โน้มน้าวใจ โดยมีเป้าหมายเพื่อให้แน่ใจว่าบริษัทต่างๆ เข้าใจถึงประโยชน์ของการนำกรอบไปใช้ส่วนหนึ่งของวิธีที่ NIST และรัฐบาลโดยรวมจะทำเช่นนั้นคือการให้สิ่งจูงใจ
ในเดือนสิงหาคม ทำเนียบขาวได้เสนอรายละเอียดบางประการเกี่ยว
กับคำแนะนำจากหน่วยงานความมั่นคงแห่งมาตุภูมิ การพาณิชย์ และการคลัง เกี่ยวกับประเด็นที่สิ่งจูงใจสามารถช่วยให้เกิดการยอมรับกรอบการทำงาน
Insight by Rancher Government Solutions: รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบัน
เจ้าหน้าที่ทำเนียบขาวกล่าวเมื่อวันอังคารว่าแรงจูงใจที่เป็นไปได้บางส่วนจากแปดด้าน ที่กำหนดโดยหน่วยงานทั้งสาม ได้แก่ การประกัน เงินช่วยเหลือ การตั้งค่ากระบวนการ การจำกัดความรับผิด กฎระเบียบที่คล่องตัว การรับรู้ของสาธารณะ การเรียกคืนอัตรา และการวิจัยความปลอดภัยในโลกไซเบอร์ .
ส่วนอื่นๆ สามารถนำไปใช้ได้เมื่อเฟรมเวิร์กความปลอดภัยทางไซเบอร์เสร็จสิ้น ดังนั้นฝ่ายบริหารจะประเมินทั้งหมดเมื่อเฟรมเวิร์กเสร็จสมบูรณ์ เจ้าหน้าที่ระบุในอีเมล
“หน่วยงานต่าง ๆ ได้เริ่มทำงานร่วมกับอุตสาหกรรมประกันภัยเพื่อพัฒนาพื้นฐานเพื่อให้สามารถใช้กรอบงานได้อย่างเหมาะสมในตลาดปัจจุบัน และพัฒนาวิธีการใช้กรอบงานเป็นเกณฑ์สำหรับเงินช่วยเหลือด้านความปลอดภัยทางไซเบอร์” เจ้าหน้าที่กล่าว “การหารือเกี่ยวกับรายงานของหน่วยงานเหล่านี้ต่อสาธารณะเป็นขั้นตอนชั่วคราวและไม่ได้ระบุถึงจุดยืนด้านนโยบายขั้นสุดท้ายของฝ่ายบริหารเกี่ยวกับการดำเนินการที่แนะนำ เราจะให้ข้อมูลเพิ่มเติมเกี่ยวกับความพยายามเหล่านี้เมื่อกรอบการทำงานและโปรแกรมเสร็จสมบูรณ์”
กระบวนการหลายขั้นตอนนอกจากนี้ หน่วยงานต่างๆ
จะทบทวนกรอบการทำงานในอีกสามเดือนข้างหน้า ผู้ที่ควบคุมภาคอุตสาหกรรมอยู่แล้ว เช่น ไฟฟ้าหรือธนาคาร จะพิจารณาว่ามีอำนาจกำกับดูแลเพียงพอหรือไม่
เจ้าหน้าที่ทำเนียบขาวกล่าวว่าหน่วยงานเฉพาะภาคส่วนและหน่วยงานที่เกี่ยวข้องอื่น ๆ ซึ่งส่วนใหญ่ไม่ใช่หน่วยงานกำกับดูแล กำลังทำงานอย่างแข็งขันกับแผนกความมั่นคงแห่งมาตุภูมิเพื่อให้ข้อมูลที่จำเป็นในการดำเนินการตามความรับผิดชอบภายใต้คำสั่งฝ่ายบริหาร
การเปิดตัวกรอบเวอร์ชันร่างสุดท้ายของ NIST เป็นขั้นตอนหนึ่งของกระบวนการหลายขั้นตอน โดยจะเปิดรับความคิดเห็นในอีกไม่กี่เดือนข้างหน้า จากนั้นจึงปล่อยเวอร์ชัน 1.0 เวอร์ชันสุดท้ายในเดือนกุมภาพันธ์
Patrick Gallagher ผู้อำนวยการ NIST กล่าวว่าหน่วยงานดังกล่าวจะเป็นเจ้าภาพการประชุมเชิงปฏิบัติการครั้งที่ 5 ระหว่างวันที่ 14-15 พ.ย. ที่เมืองราลี รัฐนอร์ทแคโรไลนา
รายังคงทำงานในเฟรมเวิร์กต่อไปหลังจาก [เปิดตัวในเดือนกุมภาพันธ์]”
Gallagher กล่าวว่าเขาคาดว่าส่วนความเป็นส่วนตัวและเสรีภาพของกรอบงานจะดึงดูดความคิดเห็นจำนวนมากในเดือนพฤศจิกายน และอาจมีการเปลี่ยนแปลงมากที่สุดเมื่อ NIST เผยแพร่เวอร์ชัน 1.0 ในเดือนกุมภาพันธ์
Gallagher กล่าวว่ากรอบการทำงานมีการเปลี่ยนแปลงเล็กน้อยตั้งแต่เวอร์ชันเดือนสิงหาคม เขาพูดติดตลกว่าฉบับร่างสุดท้ายเป็นหนึ่งในความลับที่เลวร้ายที่สุดในวอชิงตัน
กรอบงานจัดเตรียมภาษากลางสำหรับองค์กรเพื่อ:
อธิบายท่าทางการรักษาความปลอดภัยในโลกไซเบอร์ในปัจจุบัน
อธิบายสถานะเป้าหมายสำหรับความปลอดภัยทางไซเบอร์
ระบุและจัดลำดับความสำคัญของโอกาสในการปรับปรุงภายในบริบทของการบริหารความเสี่ยง
ประเมินความคืบหน้าสู่สถานะเป้าหมาย
ส่งเสริมการสื่อสารระหว่างผู้มีส่วนได้ส่วนเสียภายในและภายนอก
เอกสารดังกล่าวมีศูนย์กลางอยู่ที่ห้าฟังก์ชันหลัก ได้แก่ ระบุ ป้องกัน ตรวจจับ ตอบสนอง และกู้คืน ซึ่งสามารถให้มุมมองเชิงกลยุทธ์ในระดับสูงเกี่ยวกับการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ขององค์กร
