กระทรวงกลาโหมเปิดตัวหนึ่งในชิ้นส่วนสำคัญชิ้นสุดท้ายเพื่อไขปริศนาโปรแกรม Cybersecurity Maturity Model Certification (CMMC)เพนตากอนได้ออกกฎชั่วคราว ภายใต้ระเบียบการจัดหาของรัฐบาลกลางด้านกลาโหมเมื่อวันที่ 29 กันยายน เพื่อเพิ่มความชัดเจนเกี่ยวกับไท ม์ไลน์การดำเนินการและข้อกำหนดที่ผู้รับเหมาจะต้องปฏิบัติตามในอีกห้าปีข้างหน้าสิ่งหนึ่งที่น่าประหลาดใจในหมู่ผู้สังเกตการณ์คือข้อกำหนดใหม่สำหรับผู้ขายที่ทำงานในระดับความปลอดภัยปานกลางหรือสูงเพื่อรับการประเมินจากรัฐบาลว่าปฏิบัติตามมาตรฐานที่ระบุไว้ในเอกสารเผยแพร่พิเศษ 800-171 จากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติอย่างไร
“การประเมินใช้วิธีการให้คะแนนมาตรฐาน ซึ่งสะท้อนถึง
ผลกระทบสุทธิของข้อกำหนดด้านความปลอดภัย NIST SP 800-171 ที่ยังไม่ได้ดำเนินการโดยผู้รับเหมา และระดับการประเมินสามระดับ (พื้นฐาน ปานกลาง และสูง) ซึ่งสะท้อนถึงความลึกของการประเมินที่ดำเนินการและ ระดับความเชื่อมั่นที่เกี่ยวข้องในคะแนนที่เกิดจากการประเมิน” กฎชั่วคราวระบุ “การประเมินขั้นพื้นฐานคือการประเมินตนเองโดยผู้รับเหมา ในขณะที่การประเมินระดับกลางหรือสูงจะทำโดยรัฐบาล การประเมินเสร็จสมบูรณ์สำหรับแต่ละระบบข้อมูลผู้รับเหมาที่ครอบคลุมซึ่งเกี่ยวข้องกับข้อเสนอ สัญญา ใบสั่งงาน หรือใบสั่งส่งมอบ”
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
ผู้ขายต้องอัปโหลดผลการประเมินเหล่านี้ไปยังเว็บไซต์ ระบบความเสี่ยงด้านประสิทธิภาพของซัพพลายเออร์ (SPRS) ซึ่งเจ้าหน้าที่ผู้ทำสัญญาและคนอื่นๆ สามารถตรวจสอบได้ว่าการประเมิน 800-171 ของผู้รับเหมามีอายุไม่เกินสามปี
DoD จะเปิดตัวโปรแกรม CMMC ในอีก 5 ปีข้างหน้า
แต่กฎชั่วคราวจะมีผลบังคับใช้ในวันที่ 30 พฤศจิกายน และ DoD จะยอมรับความคิดเห็นจนถึงวันที่ 22 พฤศจิกายน
การเปลี่ยนแปลงที่ไม่คาดคิดกับการประเมิน NIST 800-171ผู้เชี่ยวชาญกล่าวว่า ข้อกำหนดสำหรับ 800-171 อาจเป็นสิ่งที่น่าประหลาดใจที่สุดหรือเป็นส่วนที่คาดไม่ถึงของกฎที่รอคอยมานานนี้
Eric Crusius ทนายความด้านสัญญาของรัฐบาลและเป็นหุ้นส่วนกับ Holland & Knight กล่าวว่าการประเมินดูเหมือนซ้ำซ้อนกับ CMMCและอาจเป็นเพียงแค่ช่องว่างหยุดจนกว่า DoD จะสามารถใช้มาตรฐานนี้ในอีกห้าปีข้างหน้า
“ดูเหมือนว่ามีขั้นตอนเพิ่มเติมที่ผู้รับเหมาต้องทำ เนื่องจากพวกเขาต้องให้คะแนนการปฏิบัติตามข้อกำหนด 800-171 ผ่านการควบคุม 110 รายการ และกำหนดว่าพวกเขาปฏิบัติตามกี่ขั้นตอน” เขากล่าว “ฉันคิดว่าค่าใช้จ่ายโดยประมาณของการปฏิบัติตามข้อกำหนด 800-171 และจำนวนบริษัทดูเหมือนจะประเมินต่ำเกินไป ภาระของผู้รับเหมาเพื่อให้ได้บทวิจารณ์ 800-171 ที่ถูกต้องจะมากกว่าที่ DoD คิด”
กระทรวงกลาโหมประเมินว่าสำหรับการประเมินขั้นพื้นฐาน ผู้รับเหมาโดยเฉลี่ยจะใช้จ่ายน้อยกว่า $50 และอีก $25 เพื่อใส่ข้อมูลบนพอร์ทัล SPRS รวมเป็นเงินประมาณ $75
Crusius กล่าวว่า DoD ดูเหมือนจะพลาดจุดที่การประเมินใด ๆ ที่ส่งไปยังรัฐบาลจะต้องใช้เวลามากขึ้นจากผู้นำระดับสูง ดังนั้นจึงเป็นการเพิ่มต้นทุนให้กับบริษัท
John Weiler กรรมการบริหารและผู้ร่วมก่อตั้ง IT Acquisition Advisory Council และอดีตสมาชิกคณะกรรมการที่ปรึกษา CMMC กล่าวว่ารู้สึกผิดหวังที่ DoD กำหนดให้ประกาศ DFAR เป็นกฎขั้นสุดท้ายชั่วคราว โดยเฉพาะอย่างยิ่งเมื่อผลกระทบต่อบริษัทขนาดเล็กเป็นเรื่องจริง“แม้ว่าจะใช้เวลา 89 หน้าในการอธิบายกฎใหม่ แต่ก็มีการเปลี่ยนแปลงเพียงเล็กน้อย โดยยังคงรักษาบทบาทของหน่วยงานจัดการสัญญากลาโหม (DCMA) ในการตรวจสอบการปฏิบัติตามข้อกำหนด 800-171 และอนุญาตให้ผู้รับเหมารับรองด้วยตนเองต่อไป” เขากล่าว . “แม้ว่าจะมีการอ้างอิงถึงธุรกิจขนาดเล็กหลายครั้ง แต่เราไม่พบรายละเอียดว่า DoD จะอธิบายผลกระทบที่สำคัญต่อการปฏิบัติตามกฎระเบียบที่จะมีต่อชุมชนที่ต่อสู้กับ COVID ได้อย่างไร”
credit : ฝากถอนไม่มีขั้นต่ำ / สล็อตแตกง่าย / สล็อตเว็บตรง แตกหนัก
