Start Empfohlen OMB veröffentlicht seinen jährlichen FISMA-Sicherheitsbericht an den Kongress

OMB veröffentlicht seinen jährlichen FISMA-Sicherheitsbericht an den Kongress

18
0


Es ist wieder Zeit für das Zeugnis der Regierungsbehörden, da das Office of Management and Budget am Mittwoch dem Kongress seinen Bericht über das Geschäftsjahr 2008 gemäß den Bundesgesetz über das Informationssicherheitsmanagement (FISMA).

Der Bericht (PDF hier verfügbar) umfasst 25 große und Dutzende kleiner und unabhängiger Agenturen und umfasst wie üblich qualitative und quantitative Tests. Der gemessene Bereich umfasst Zertifizierung und Akkreditierung, Kontrolltests und Notfallplantests sowie den Datenschutz.

Insgesamt, so die Autoren des Berichts, geht es wie seit Beginn der Evaluierungen im Jahr 2002 weiter Pläne ist um sechs Prozentpunkte auf (jeweils) 93 % bzw. 92 % gestiegen, und der Anteil der Systeme mit einer bestehenden Datenschutzfolgenabschätzung stieg um acht Prozentpunkte auf 92 %. Es ist nicht alles gut: Einige Bereiche der Bemühungen zeigten einen Rückgang, einschließlich eines leichten Rückgangs (2%) bei den Tests der Sicherheitskontrollen.

Und in Zukunft, so OMB, könnte es an der Zeit sein, von der regelmäßigen Berichterstattung über die Compliance zu einer kontinuierlicheren Überwachung zu wechseln, da die meisten Agenturen jetzt ihre Stiefel anziehen. Ein solches System würde dazu beitragen, die Bedenken von Kritikern auszuräumen, die argumentieren, dass die regelmäßigen Kontrollen im Wesentlichen nur Übungen für den Papierkram sind und nicht die Sicherheit.

Der Bericht geht auf einzelne Agenturen ein, und die OMB-Autoren haben sich bemüht, auf bemerkenswerte und zweifelhafte Errungenschaften hinzuweisen. Die Nuclear Regulatory Commission hat in diesem Jahr ihr Spiel aufgegriffen und ihren Anteil an Systemen mit einem C&A von 17 % im Jahr 2007 auf 59 % im letzten Jahr und 83 % bei den Notfallplantests verbessert. DHS verbesserte seinen C&A-Prozentsatz um 10 Punkte, und das Verteidigungsministerium durchbrach die 90 %-Marke, obwohl es in den letzten 12 Monaten 158 C&A-erfordernde Systeme in die Abteilung aufgenommen hatte. Das Department of Veterans Affairs meldete einen Anstieg der Notfallplantests um 57 %.

Andere konnten nicht beeindrucken. Die Tests von Notfallplänen scheinen das Bildungsministerium und das ständig leistungsschwache Landwirtschaftsministerium zunichte gemacht zu haben, das einen Rückgang der Tests von 23% bzw. 13% meldete. Seltsamerweise ist die Landwirtschaft eine von nur drei Abteilungen, die mehr als 72 Millionen US-Dollar für Schulungen zum Sicherheitsbewusstsein der Mitarbeiter ausgeben; die anderen beiden sind Verteidigung, eine Abteilung, die so groß und komplex ist, dass sich der Bewertungsprozess des OMB in der Nähe seines Schwerefelds verzieht, und das Finanzministerium, die Heimat des IRS. Und drei Agenturen warnen ihre Mitarbeiter nicht vor den Gefahren des Peer-to-Peer-Filesharings: Landwirtschaft, Arbeit und Verkehr.

Die Verteidigung könnte übrigens einem zufälligen Beobachter auf Seite 9 des Berichts einen Koronarwert geben, wo die sagenumwobenen „Zeugnis“-Ranglisten sind — fehlgeschlagene Noten für C&A und Datenschutz, eine Punktzahl von Null (auf einer Skala von 1-100). ) für die Vollständigkeit des Systeminventars und einen Daumen nach unten für einen agenturweiten Aktionsplan und Meilensteine ​​(POA&M) zur Behebung von Problemen. DoD-Beobachter werden ermutigt, sich die Berichte des CIO und der IG (Generalinspekteur) des DoD anzusehen; Nach dem Lesen werden sie ermutigt, ein Aspirin an die IG zu schicken, der das Gesehene offensichtlich nicht gefallen hat.

Abgesehen von Verteidigung hatte das Zeugnis in diesem Jahr nur eine „Schlecht“-Bewertung, die der Landwirtschaft für ihren C&A-Prozess zuerkannt wurde, und fünf „Befriedigend-minus“-Bewertungen, die unterschiedlich an die Departments of Health and Human Services (C&A-Prozess) und Housing vergeben wurden und Stadtentwicklung (Datenschutz), Office of Personnel Management (C&A), Smithsonian (Datenschutz) und Transport (Datenschutz). Der Gesundheits- und Sozialdienst schnitt auch bei der Vollständigkeit seiner Systeminventare relativ niedrig ab, und die Landwirtschaft, das Innenministerium und das Transportwesen müssen ihre POA&Ms in Ordnung bringen.

Ansonsten war 2008 bei der FISMA alles „befriedigend“ und „gut“ und „ausgezeichnet“. Und eine Abteilung, die Agentur für internationale Entwicklung, glänzte mit einfach hervorragenden Ergebnissen – 100 % C&A, 100 % für Sicherheit Kontrollen, 100 % für getestete Notfallpläne, 100 % für Mitarbeiter, die Sicherheitsbewusstseinsschulungen erhalten, 100 % der Systeme, die von einer bestehenden PIA abgedeckt werden, und die Liste geht weiter. Die humanitäre Hilfsorganisation hat es offensichtlich in Angriff genommen; Glaubst du, seine Leute würden erwägen, ein Rettungsteam in die Landwirtschaft zu schicken?



Vorheriger ArtikelFISMA, CAG und die Abteilung für Entlassungen
Nächster ArtikelMarine One-Dokumente fliegen nach Teheran, aber nicht von Lockheed

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein