Liên bang có thể thay đổi các yêu cầu an ninh thông tin

Fedsmay weigh changes to information security requirements

ByAliya Sternstein 01/05/2011

Theo:http://www.nextgov.com/nextgov/ng_20110105_6716.php

Bàiđược đưa lên Internet ngày: 05/01/2011

Lờingười dịch: An ninh không gian mạng ngày một nóng, vàtại Mỹ, “Bắt đầu từ tháng này, các CIO phải cậpnhật từ Bộ Anh ninh Quốc nội hàng tháng, thay vì hàngquý, về toàn bộ tình hình an ninh bằng việc nuôi dưỡngcác tổng kết về những đánh giá này cho một hộp thưtrung tâm, toàn chính phủ được gọi là CyberScope”, vàhọ phải tuân theo 20 kiểm soát an ninh mà “20 kiểm soátsống còn làm cho sự phòng thủ chống lại dạng tấncông đó trở thành một ưu tiên cực kỳ cao”. Hy vọngchúng ta cũng có những biện pháp để đảm bảo an ninhcho các dữ liệu và các hệ thống mạng của mình.

Trướckhi một nhân viên quân sự được cho là đã làm rò rỉmột núi các tài liệu không phổ biến cho WikiLeaks, đượccho ra bằng việc tải về các dữ liệu tới một đĩa CDâm nhạc, thì Nhà Trắng đang trên đường cập nhật cácqui định về việc báo cáo những yếu kém về mạng củacác cơ quan. Các quan chức của Obama đã không nói liệuhọ sẽ xem xét lại những chỉ dẫn báo cáo xa hơn saukhi các cơ quan hoàn tất việc tự đánh giá về nhữngbảo vệ thông tin không phổ biến của họ.

Theocác qui định của Văn phòng Quản lý Ngân sách đượcđưa ra vào tháng 04/2010, các giám đốc thông tin đã vàđang làm việc trong giới hạn của Luật Quản lý An ninhThông tin Liên bang năm 2002 để chuyển sang một quá trìnhđược tự động hóa cho việc tuân thủ với các yêu cầucông việc giấy tờ của luật. Thay vì yêu cầu các lãnhđạo kiểm tra các hộp trong các báo cáo để chỉ ra sựtuân thủ với các thủ tục an ninh, thì phần mềm đặcthù sẽ tiếp tục thu thập những đánh giá về tìnhtrạng các kiểm tra kiểm soát sao cho các CIO có một cáinhìn về tính có thể bị tổn thương toàn diện và chínhxác cụ thể hơn. Bắt đầu từ thángnày, các CIO phải cập nhật từ Bộ Anh ninh Quốc nộihàng tháng, thay vì hàng quý, về toàn bộ tình hình anninh bằng việc nuôi dưỡng các tổng kết về những đánhgiá này cho một hộp thư trung tâm, toàn chính phủ đượcgọi là CyberScope.

AllanPaller, giám đốc về nghiên cứu tại Viện SANS, một cơquan tư vấn về an ninh máy tính, đã gợi ý OMB chỉnh lạichỉ dẫn tháng tư là FISMA bằng việc chỉ cho các CIOtrước hết hãy tự động hóa và giám sát những gì mộtnhóm các chuyên gia phi lợi nhuận và các cơ quan đã xácđịnh như lf 20 kiểm soát FISMA sống còn nhất.

Top20 bao gồm các cấu hình phần cứng và phần mềm, kiểmsoát thiết bị không dây, và bảo vệ rò rỉ dữ liệu.Dự định động chạm tới gần 150 kiểm soát tiêu chuẩncùng một lúc có thể làm loãng thời gian, tiền bạc vàcuối cùng là an ninh của các cơ quan, Paller nói. “20kiểm soát sống còn làm cho sự phòng thủ chống lạidạng tấn công đó trở thành một ưu tiên cực kỳ cao”,ông bổ sung.

Beforea military employee allegedly leaked a mountain of classifieddocuments to WikiLeaks, reportedly by downloading data to a music CD,the White House had been in the middle of updating rules on reportingagency network weaknesses. Obama officials have not said whether theywill revise the reporting guidelines further after agencies completeself-evaluations of their classified information protections.

UnderOffice of Management and Budget rules issued in April 2010, chiefinformation officers have been working within the confines of the2002 Federal Information Security Management Act to shift to anautomated process for complying with the law's paperworkrequirements. Instead of requiring managers to check boxes in reportsto indicate compliance with security protocols, special software willcontinuously collect metrics on the status of controls so that CIOshave a more accurate and comprehensive view of vulnerabilities.Starting this month, CIOs must up-date the Homeland SecurityDepartment monthly, rather than quarterly, on their overall securitypostures by feeding summaries of these assessments to a central,governmentwide inbox called CyberScope.

AllanPaller, director of research at the SANS Institute, a computersecurity think tank, suggested OMB refine the April FISMA guidance bydirecting CIOs to first automate and monitor what a consortium ofnonprofit and agency specialists have defined as the 20most critical FISMA controls.

Thetop 20 include hardware and software configurations, wireless devicecontrol, and data leakage protection. Attempting to tackle the nearly150 standard controls all at once could dilute agencies' time, moneyand ultimately security, Paller said. "The 20 critical controlsmake the defense against that type of attack extremely highpriority," he added.

OMBhôm thứ hai đã đưa ra những chỉ dẫn riêng rẽ chonhững người đứng đầu cơ quan về đảm bảo an toàncho các thông tin không phổ biến mà đòi hỏi một báocáo một lần về sự tuân thủ với các kiểm soát đảmbảo thông tin, cũng như gắn kết tới những chính sáchkhác, như các bước đánh giá độ tin cậy của nhânviên. Các cơ quan đã được nói phải tiến hành nhữngthanh tra tương tự thường xuyên mà, như bây giờ, khôngđược yêu cầu để tiếp tục báo cáo về những bảntự đánh giá. Các quan chức Nhà Trắng hôm thứ tư đãnói họ còn chưa công bố liệu họ sẽ yêu cầu các báocáo bổ sung về những bản tự đánh giá đang đượctiến hành hay không.

Nhữngchuyên gia an ninh khác đã không khuyến khích chính phủvội vã thay đổi những yêu cầu OMB hiện hành đối vớiviệc báo cáo về an ninh máy tính để phản ứng lại vớirò rỉ của WikiLeaks.

“Nhữngmẩu trong FISMA mà nếu tuân theo một cách phù hợp bằngnội dung của luật đó, và những qui định, thì sẽ giảmthiểu được rất lớn rủi ro của những thứ như vậyxảy ra”, Hord Tipton, giám đốc điều hành của (ISC)2,một nhóm phi lợi nhuận mà cấp chứng chỉ và huấnluyện cho các chuyên gia an ninh thông tin, nói. “Tôi nghĩchúng tôi có phần cứng và công nghệ hoàn toàn phù hợpđể làm việc với nó”.

Nhưngchính phủ phải đánh giá chặt chẽ hơn những người màchính phủ giao nhiệm vụ đi theo các luật lệ đó,Tipton, người đã phục vụ 5 năm như là CIO của Bộ Nộivụ, nói.

“Tấtcả điều này phụ thuộc vào mọi người và những ngườimà chúng ta tin tưởng. Chúng ta phải tự soi xét chúng tanên tin tưởng mọi người được bao nhiêu”, ông nói.Cũng vậy, “chúng ta có thể có đủ những người cókhả năng để thiết lập cấu hình cho công nghệ... Bạnsẽ nhận thức được rằng tất cả các dữ liệu làkhông như nhau và chúng ta đang dìm chết nó. Nếu chúng tasẽ sống trên một biển dữ liệu như thế này, thìchúng ta phải thuê được những người mà họ biết cáchlàm việc với nó”.

OMBon Monday issued separate guidelinesto agency heads on safeguarding classified information that require aone-time report on compliance with information assurance controls, aswell as adherence to other existing policies, such as steps toevaluate the trustworthiness of personnel. Agencies were told toconduct similar inspections regularly but, as of now, are notrequired to continue reporting on these self-assessments. White Houseofficials on Wednesday said they have not yet announced if they willcall for additional reports on the ongoing self-evaluations.

Othersecurity specialists discouraged the government f-rom rushing tochange the current OMB requirements for reporting on computersecurity in response to the WikiLeaks breach.

"Thereare pieces in [FISMA] that if properly followed by the letter of thelaw, and the regulations, greatly minimize the risk of things likethis happening," said Hord Tipton, executive director of (ISC)2,a nonprofit group that certifies and trains information securityprofessionals. "I think we have quite adequate hardware andtechnology to deal with it."

Butthe government must evaluate more closely the people it tasks tofollow the rules, cautioned Tipton, who served for five years as theInterior Department's chief information officer.

"Allof this depends upon people and people that we trust. We have to takean introspective look at how much we should trust people," hesaid. Also, "We might not have enough capable people toconfigure the technology. . . . You've got to recognize that all datais not the same and we're drowning in it. If we're going to live in asea of data like this, we have to hire people who know how to dealwith it."

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com