ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงCAMBRIDGE, MD — วันนี้ General Services Administration จะเปิดไฟอย่างเป็นทางการสำหรับโปรแกรมการอนุมัติความปลอดภัยบนระบบคลาวด์ของรัฐบาลที่รู้จักกันในชื่อ FedRAMPแต่หน่วยงานไม่ควรคาดหวังที่จะซื้อบริการใด ๆ ที่ตรงตามมาตรฐานไซเบอร์เป็นเวลาอย่างน้อยอีกหกเดือนโครงการ Federal Risk Authorization and Management (FedRAMP) ถึงความสามารถในการปฏิบัติการเบื้องต้น (IOC)
หมายความว่า GSA, Office of Management and Budget
และแผนก Defense and Homeland Security ได้ทำงานเบื้องต้นทั้งหมดเพื่อให้โปรแกรมพร้อมที่จะตรวจสอบและอนุมัติ บริการคลาวด์ GSA, DHS และ DoD รวมกันเป็นคณะกรรมการอนุญาตร่วม (JAB) ซึ่งให้อำนาจชั่วคราวในการดำเนินการสำหรับบริการคลาวด์
ในช่วง 19 เดือนที่ผ่านมา GSA ซึ่งบริหารสำนักงานการจัดการโปรแกรม FedRAMP ได้เผยแพร่ชุดมาตรฐานความปลอดภัยขั้นสุดท้ายแนวคิดของการดำเนินการสำหรับวิธีการทำงานของกระบวนการอนุมัติ FedRAMP กฎบัตรสำหรับ JAB และตั้งชื่อองค์กรประเมินบุคคลที่สาม ( 3PAOs) ซึ่งจะทำการตรวจสอบครั้งแรกจากทั้งหมดสามครั้งเพื่อให้แน่ใจว่าบริการคลาวด์เป็นไปตามมาตรฐานไซเบอร์ของรัฐบาลKatie Lewin ผู้จัดการโปรแกรมสำหรับคลาวด์คอมพิวติ้ง GSA
Katie Lewin ผู้จัดการโปรแกรมของ GSA สำหรับการประมวลผลแบบคลาวด์กล่าวว่าการเปลี่ยนแปลงครั้งใหญ่ที่สุดในการย้ายไปยัง IOC คือ FedRAMP จะเริ่มรับใบสมัครทางออนไลน์จากผู้ขายเพื่อเริ่มกระบวนการเพื่อรับอำนาจชั่วคราวในการดำเนินการ (ATO) หรือผ่านประตูแรกจากสามประตู ไปสู่การอนุมัติขั้นสุดท้าย
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ
CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
Lewin กล่าวว่าเอกสารอีกสองฉบับควรได้รับการเผยแพร่ในไม่ช้า
“แนวทางหนึ่งคือแนวทางการใช้ FedRAMP และอีกแนวทางหนึ่งคือแอพพลิเคชั่น” Lewin กล่าวเมื่อวันจันทร์ที่การประชุม Management of Change ซึ่งสนับสนุนโดย IAC และ ACT “ในคู่มือการใช้ FedRAMP มีหน้าหนึ่งที่พูดถึงสิ่งที่ฉันเรียกว่าการควบคุมเกณฑ์ จากประสบการณ์ของเราเกี่ยวกับโครงสร้างพื้นฐานในฐานะบริการ มีบางสิ่งที่บริษัทต้องสามารถบรรลุได้ หากทำไม่ได้ พวกเขาควรชะลอการสมัครใช้งาน FedRAMP จนกว่าจะทำได้”
สิ่งที่ควรรู้ก่อนไปLewin กล่าวว่าตัวอย่างหนึ่งคือการรับรองความถูกต้องด้วยสองปัจจัย
“หากคุณยังไม่ได้ดำเนินการดังกล่าว คุณอาจไม่ควรสมัคร FedRAMP ทันที” เธอกล่าว “คุณน่าจะคิดออกว่าคุณจะทำอย่างไร”
อีกตัวอย่างหนึ่งคือวิธีที่ผู้ขายอธิบายขอบเขตของตนในลักษณะที่สมบูรณ์ แต่ไม่ครอบคลุมทั้งบริษัท
“เรามีการพูดคุยหลายครั้งกับบริษัทต่างๆ สำหรับ IaaS ซึ่งมีการอภิปรายเกี่ยวกับความถูกต้องของขอบเขตที่อธิบายไว้ เพื่อให้คุณรู้ว่าคุณให้สิทธิ์ ATO ของคุณเพื่ออะไร” Lewin กล่าว
เช่นเดียวกับเอกสาร FedRAMP ทั้งหมด Lewin กล่าวว่าสำนักงานการจัดการโปรแกรมจะอัปเดตและปรับแต่งอย่างต่อเนื่องเพื่อให้ตรงกับความต้องการของตัวแทนและผู้ขาย เนื่องจากทั้งคู่มีประสบการณ์มากขึ้นในการใช้งาน
Credit : สล็อตเว็บตรง
