ตกระทรวงกลาโหมกำลังทำการเปลี่ยนแปลงที่สำคัญบางอย่างในกระบวนการที่ใช้เพื่อให้แน่ใจว่าเทคโนโลยีมือถือเชิงพาณิชย์มีความปลอดภัยเพียงพอสำหรับเครือข่ายทางทหาร โดยย้ายจากกระบวนการที่ได้รับการจัดการส่วนใหญ่โดยหน่วยงานระบบสารสนเทศกลาโหมไปสู่กระบวนการที่ต้องพึ่งพาห้องปฏิบัติการส่วนตัวมากกว่า ประสานงานโดยสำนักงานความมั่นคงแห่งชาติในวันพฤหัสบดี DISA ได้เผยแพร่คำแนะนำสำหรับการอนุมัติแอปพลิเคชันบนอุปกรณ์เคลื่อนที่
ซึ่งจะย้ายกระบวนการตรวจสอบความปลอดภัยไปสู่กรอบที่เรียกว่า
National Information Assurance Partnership (NIAP) แทนที่คู่มือข้อกำหนดด้านความปลอดภัยสำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ของ DISA ในเดือนกันยายน หน่วยงานได้ออกคำแนะนำที่คล้ายกันมากสำหรับการจัดการอุปกรณ์เคลื่อนที่และ “พื้นฐานอุปกรณ์เคลื่อนที่”
เจ้าหน้าที่เชื่อว่าเป็นอีกขั้นตอนหนึ่งในการเพิ่มประสิทธิภาพกระบวนการตรวจสอบความปลอดภัยซึ่งเป็นปัญหาคอขวดในการใช้เทคโนโลยีมือถือของ DoD
ในท้ายที่สุด เทคโนโลยีเชิงพาณิชย์ใดๆ ก็ยังต้องการ Security Technical Implementation Guide (STIG) ของตัวเองก่อนที่จะได้รับอนุญาตให้ใช้งานบนเครือข่าย DoD แต่ STIG เหล่านั้น ซึ่งเคยอิงตามการรื้อค้นและการตรวจสอบโดยละเอียดของผลิตภัณฑ์เทคโนโลยีแต่ละรายการโดยวิศวกรของรัฐบาล ควรจะเขียนได้เร็วกว่าและง่ายกว่ามาก เนื่องจากข้อมูลพื้นฐานส่วนใหญ่ที่จำเป็นในการสร้างผลิตภัณฑ์เหล่านั้นจะถูกสร้างขึ้นโดยอัตโนมัติเมื่อผู้ขาย นำเทคโนโลยีของพวกเขาผ่านกระบวนการ NIAP ซึ่งอาศัยห้องปฏิบัติการอิสระที่ได้รับการรับรองจาก NSA
ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคมเพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
NIAP เองก็ไม่ใช่เรื่องใหม่เสียทีเดียว เป็นเวลา 14 ปีแล้ว ผู้ขายไม่ได้ติดใจ
กับการทำซ้ำครั้งก่อนๆ ที่มักจะต้องเสียเงินหลายล้านดอลลาร์ และบ่อยครั้งหลายปีก่อนที่พวกเขาจะได้ผลิตภัณฑ์ชิ้นเดียวผ่านถุงมือ แต่กระบวนการนี้ได้รับการปรับปรุงใหม่เมื่อไม่นานมานี้ แทนที่จะขอให้ห้องปฏิบัติการทดสอบผลิตภัณฑ์ทีละรายการและกำหนด “ระดับการรับประกัน” ตามความคิดเห็นของตนเอง ขณะนี้โปรแกรม NIAP จัดทำเอกสารชุด “โปรไฟล์การป้องกัน” ตามวัตถุประสงค์มากขึ้น ซึ่งเทคโนโลยีประเภทต่างๆ จำเป็นต้องได้รับก่อนที่จะถือว่า ปลอดภัยทางไซเบอร์
ดูเหมือนว่าจะใช้งานได้ – ตราบใดที่ผู้ขายเต็มใจที่จะนำผลิตภัณฑ์ของตนเข้าสู่กระบวนการซึ่งพวกเขาต้องจ่าย
ความพยายามครั้งแรกของ DoD ในการใช้ STIG กับอุปกรณ์ Android หมายความว่าผลิตภัณฑ์ไม่ได้อยู่ในตลาดเมื่อได้รับการอนุมัติ ในทางตรงกันข้าม เมื่อต้นปีนี้ Samsung สามารถรับ Galaxy S5 และอุปกรณ์อื่น ๆ อีกหลายเครื่องผ่าน NIAP ก่อนที่จะวางจำหน่ายในร้านค้า
NIAP เป็นการดำเนินการของรัฐบาลสหรัฐฯ ตามแนวทาง 26 ประเทศในการทดสอบความปลอดภัยทางไซเบอร์: โครงการประเมินและตรวจสอบเกณฑ์ทั่วไป (CCEVS) มีไว้เพื่อใช้เป็นเกณฑ์มาตรฐานทั่วไปสำหรับความปลอดภัยทางไซเบอร์ที่หน่วยงานทั้งหมดและบริษัทเชิงพาณิชย์สามารถใช้ได้
ไม่น่าแปลกใจที่คำแนะนำของ DoD ที่เผยแพร่ในสัปดาห์นี้สำหรับแอปพลิเคชันมือถือได้เพิ่มข้อกำหนดเฉพาะของ DoD บางอย่างให้กับโปรไฟล์การป้องกันที่โปรแกรม NIAP สร้างขึ้นแล้ว แต่ผู้เขียนโค้ดแอปควรคำนึงถึงข้อเท็จจริงที่ว่าการเปลี่ยนแปลงนั้นค่อนข้างเล็กน้อย
ภาคผนวกของ DoD เพิ่มเพียงสามหน้าในเอกสาร 74 หน้าของ NIAP และหนึ่งในหน้าเหล่านั้นถูกครอบครองโดยข้อความสำเร็จรูปของคำเตือนป๊อปอัปสากลที่เตือนผู้ใช้ DoD ว่าพวกเขากำลังเข้าถึงระบบ DoD และพวกเขาไม่ควรทำสิ่งที่ผิดกฎหมาย
โพสต์นี้เป็นส่วนหนึ่งของฟีเจอร์ Inside the DoD Reporter’s Notebook ของ Jared Serbu อ่านเพิ่มเติมจากJared’s Notebook ฉบับนี้
Credit : สล็อตเว็บตรง / สล็อตแตกง่าย
