สถาบันมาตรฐานและเทคโนโลยีแห่งชาติกำลังจัดเตรียมขั้นตอนที่จำเป็นให้กับหน่วยงานต่างๆ เพื่อเปลี่ยนไปใช้สภาพแวดล้อมการรักษาความปลอดภัยทางไซเบอร์แบบไดนามิกมากขึ้นในขณะที่หน่วยงานต่างๆ เดินหน้าไปสู่การจัดการความเสี่ยงแบบเรียลไทม์ NIST ได้ออกคำแนะนำเพิ่มเติมสำหรับการปรับปรุงกระบวนการอนุญาตระบบข้อมูลคำแนะนำเพิ่มเติมของ NIST สร้างขึ้นจากกระบวนการตรวจสอบอย่างต่อเนื่องของระบบสารสนเทศ (ISCM) ของ Office of Management and Budget ซึ่งมีรายละเอียดอยู่ในบันทึกช่วยจำเดือนพฤศจิกายน 2013
ในแนวทางดังกล่าว OMB ได้ให้หน่วยงานจนถึงปี 2560
ดำเนินการตามแนวทางใหม่นี้เพื่อรักษาความปลอดภัยระบบและข้อมูลของตน
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ จัสติน ดับเบิลเดย์ และแขกรับเชิญจะสำรวจความคิดริเริ่มทางไซเบอร์และการปรับปรุงให้ทันสมัยที่ DIU ด้วยมุมมองของอุตสาหกรรม
OMB กำหนดให้ NIST “เผยแพร่แนวทางที่กำหนดกระบวนการและเกณฑ์สำหรับหน่วยงานของรัฐบาลกลางในการดำเนินการประเมินอย่างต่อเนื่องและการอนุญาตอย่างต่อเนื่อง” NIST ระบุว่า “คำแนะนำเพิ่มเติมจะขยายคำแนะนำของ NIST ในปัจจุบันเกี่ยวกับการอนุญาตด้านความปลอดภัยและการอนุญาตอย่างต่อเนื่อง (OA)”
ภายใต้แนวทางใหม่นี้ หน่วยงานสามารถเปลี่ยนไปใช้การอนุญาตอย่างต่อเนื่องได้ เมื่อพวกเขาใช้กระบวนการตรวจสอบอย่างต่อเนื่องของระบบข้อมูล (ISCM) และเจ้าหน้าที่อนุญาต (AO) อนุมัติ
NIST นิยาม ISCM ว่าเป็น “การรักษาความตระหนักอย่างต่อเนื่อง
เกี่ยวกับความปลอดภัยของข้อมูล ความเปราะบาง และภัยคุกคาม เพื่อสนับสนุนการตัดสินใจในการจัดการความเสี่ยงขององค์กร”
ภายใต้กระบวนการ ISCM หน่วยงานควรจัดทำตัวชี้วัดที่ติดตามและประเมินประสิทธิผลของการควบคุมความปลอดภัย หน่วยงานควรวิเคราะห์ข้อมูลที่รวบรวมไว้ ตอบสนองต่อการวิเคราะห์ และรายงานภัยคุกคามด้านความปลอดภัยหรือช่องโหว่
หน่วยงานต้องสร้างกระบวนการ ISCM ด้วย “ความเข้มงวดและความถี่การประเมินที่เหมาะสมเพื่อสนับสนุนภารกิจ/ข้อกำหนดทางธุรกิจขององค์กร การยอมรับความเสี่ยง และการจัดหมวดหมู่ความปลอดภัย” เพื่อก้าวไปสู่ OA ที่มีประสิทธิภาพ ตามข้อมูลของ NIST
นอกจากนี้ หน่วยงานต้องมีกระบวนการที่ขับเคลื่อนด้วยเวลาหรือขับเคลื่อนด้วยเหตุการณ์ ในรูปแบบที่ขับเคลื่อนด้วยเวลา กระบวนการ ISCM รวมถึงระบบสำหรับแจ้ง AO เมื่อถึงเวลาที่กำหนดไว้ล่วงหน้าสำหรับการตรวจสอบและการอนุญาตโปรแกรม ความถี่ของการตรวจสอบกำหนดโดยองค์กรเพื่อให้เหมาะกับระดับความเสี่ยงของโปรแกรมนั้นๆ มากที่สุด
สำหรับความถี่การให้สิทธิ์ตามเหตุการณ์ NIST จะกำหนดทริกเกอร์ที่เป็นไปได้ รวมถึง “ข้อมูลภัยคุกคาม/ช่องโหว่/ผลกระทบใหม่ จำนวนข้อค้นพบ/จุดอ่อน/ข้อบกพร่องที่เพิ่มขึ้นจากโปรแกรม ISCM; ภารกิจใหม่/ข้อกำหนดทางธุรกิจ การเปลี่ยนแปลงในผู้มีอำนาจ; การเปลี่ยนแปลงที่สำคัญในผลการประเมินความเสี่ยง การเปลี่ยนแปลงที่สำคัญต่อระบบข้อมูล การควบคุมทั่วไป หรือสภาพแวดล้อมของการดำเนินงาน หรือเกินเกณฑ์ขององค์กร”
ในสถานการณ์เหล่านี้ AO จะได้รับแจ้งเพื่อตรวจสอบข้อมูลความปลอดภัย“การอนุญาตอีกครั้งอย่างเต็มรูปแบบอาจจำเป็นเมื่อมีเหตุการณ์ที่ก่อให้เกิดความเสี่ยงเหนือระดับการยอมรับความเสี่ยงขององค์กรที่ยอมรับได้ (เช่น การละเมิด/เหตุการณ์ร้ายแรง ความล้มเหลวหรือปัญหาที่สำคัญกับโปรแกรม ISCM)” NIST กล่าว ในสถานการณ์นี้ อาจจำเป็นต้องแก้ไขส่วนต่างๆ ของกระบวนการ ISCM
NIST ยังชี้แจงข้อเท็จจริงที่ว่าการใช้การอนุญาตอย่างต่อเนื่องไม่ได้เปลี่ยนกระบวนการอนุญาตจริง แต่เพียง “ทำให้กระบวนการมีประสิทธิภาพมากขึ้นและให้ข้อมูลที่ทันเวลามากขึ้นสำหรับ AOs เพื่อสนับสนุนการตัดสินใจตามความเสี่ยงเกี่ยวกับระบบข้อมูลและการควบคุมทั่วไปที่สนับสนุน ภารกิจขององค์กร/หน้าที่ทางธุรกิจ”
สถาบันแนะนำให้องค์กรต่างๆ ดำเนินการเปลี่ยนแปลงอย่างช้าๆ แนะนำให้เริ่มต้นด้วยแต่ละกลุ่มหรือระบบที่มีผลกระทบต่ำและขยายจากที่นั่น
