根据国外媒体的最新报道,美国国防部将就网络安全方面展开新一轮的大动作。据了解,美国国防部所采用的最新网络安全成熟度模型认证所授权的前十五个合同的截至日期即将到来,而五角大楼也明确表示,他们可能需要认证超过1500个网络安全承包商和分包商,这绝对是一项网络安全领域的大动作。
美国国防部负责采购和管理的首席信息安全官凯蒂·阿林顿(Katie Arrington)表示:“虽然很多网络安全承包商和分包商我们是信任的,但是信任归信任,按照规定进行网络安全成熟度模型认证也是必须的。这对于美国国防部在网络安全领域来说,是一个全新的开始。如我们多年来一直在说的那样,网络安全是并购的基础,是时候要兑现这个“承诺”了,我们要把资金用到刀刃上,这一次我们是认真的。我们这项计划将在2020年12月01日开始生效,主要针对的是新的工作合同。主要的目的是为了防止那些针对美国境内存在安全漏洞的薄弱基础设施的攻击者,他们会不遗余力地攻击美国境内存在安全漏洞的薄弱基础设施,并尝试窃取机密数据。我们这么挫,是为了更好地保护这些基础设置,这对于我们的商业领域和国家安全方面都至关重要。”
凯蒂·阿林顿(Katie Arrington)还说到,她们的团队目前正在着手努力推进这一项新举措的实施。网络安全成熟度模型认证仍将继续推行,美国国防部以及五角大楼的步伐从未停止,他们的工作也从未松懈。他们将在未来几天内迅速推进该计划的实施,直到临时规则的正式生效。
关于新推则的推行,INSA此前也曾报道过相关的内容。最重要的是即将实施新的合同规则,这些规则所要求的网络安全条例旨在保证员工的能力基线和遵守NIST和DoD标准。
凯蒂·阿林顿(Katie Arrington)表示:“一旦临时条例最终通过决议,那么我们就准备公布我们将在2021年计划启动的试点项目名称,总共是15个项目,也就是到时候我们将对外先提供至少15份网络安全承包商和分包商合同。这前15份合同将意味着,网络安全承包商和分包商之间将发生新的、可核查核验的网络安全态势转变。到时候,预计大约会有1500个网络安全承包商和分包商将围绕着这第一批试点项目展开工作,而且每一个网络安全承包商和分包商都需要通过网络安全成熟度模型认证才能够开始加入工作。”
这些合同将分散至各个部门和领域,比如说Transcom和Cyber Command之类的司令部,以及所谓的第四产业,比如说导弹防御局等等。所有的合同规模和复杂程度都各不相同,而且网络安全成熟度模型认证将在2021财年进行。
根据之前的规定条例,只要一家公司声称他们正在努力实现与其他标准的合规性,那么对于这一家公司来说,只需要达到110项NIST基准标准就足够了,这也就意味着这家公司可以在不需要证明网络安全合规性的情况下去参与合同的竞标。
按照网络安全成熟度模型认证的规定,当一家公司参与评估审计时,只有通过和不通过这两个结果,也就是这家公司要么是Level 1,要么啥也不是。凯蒂·阿林顿(Katie Arrington)说到:“这是一个需要时间去消化的过程,我们的目的是为了让所有声称自己符合网络安全成熟度模型认证规定的公司都能平等地参与到合同竞标的过程中。通过这种方式,五角大楼可以自动地在合同中进行安全性定价,这也就意味着,五角大楼将无法去选择那些价格更便宜但又不符合安全合规性要求的方案了。”
对于规定中定义的高水平规范性合同,网络安全成熟度模型认证规则意味着合同将概述分包商是否需要满足相同的合规性水平,或者是否可以委托他们承担较低的合规性工作,因为如果承担的是较低的合规性工作,也就意味着他们不会处理任何的敏感信息。
建立在核查基础上的网络安全机制将意味着,五角大楼将可以选择停止与那些多年未修复漏洞的公司合作了,而这些公司所部署的基础设施将会威胁到整个供应链的安全。
凯蒂·阿林顿(Katie Arrington)表示:“有的公司员工很多年没有修改过自己的密码,而且相关的服务也没有部署双因素身份验证机制,也没有对相关的文档和日志进行正规的管理和标注。种种的这些行为都将威胁到我们整个供应链的安全。而这一项合规性举措的推行,也就意味着任何继续以这种方式行事的公司未来都不太可能获得五角大楼的合同。”
文章原文链接:https://www.anquanke.com/post/id/223285