National Institute of Standards and Technology กำลังร่วมมือกับ Federal Risk Authorization Management Program หรือ FedRAMP เพื่อลบส่วนที่ยุ่งยากของกระบวนการรับรองความปลอดภัยของระบบคลาวด์ออกด้วยการพัฒนาภาษาทั่วไปที่เครื่องอ่านได้ซึ่งเรียกว่า Open Security Controls Assessment Language (OSCAL) NIST จึงนำระบบอัตโนมัติมาสู่โปรแกรมDavid Waltermire เป็นหัวหน้าฝ่ายเทคนิคของ OSCAL ที่ NIST
David Waltermire หัวหน้าฝ่ายเทคนิคของ OSCAL ที่ NIST กล่าวว่า
การใช้ภาษาในแพ็คเกจการรับรองช่วยลดเวลาและความพยายามในการทำให้บริษัทต่างๆ ได้รับการรับรองจาก FedRAMP
“โดยปกติแล้ว การทบทวนนั้นเกี่ยวข้องกับผู้ประเมินที่ตรวจสอบข้อมูลที่ได้รับ และก่อนที่จะมี OSCAL การทบทวนจำนวนมากนั้นบางครั้งต้องใช้เวลาหนึ่งสัปดาห์หรือมากกว่านั้นของผู้ประเมินในการเจาะลึกและดูข้อมูลที่ให้ไว้ในการประเมิน ข้อมูลจำนวนมากที่พวกเขากำลังวิเคราะห์กำลังตรวจสอบเพื่อดูว่ามีการให้ข้อมูลที่จำเป็นภายในแพ็คเกจที่ผู้ให้บริการระบบคลาวด์ส่งมาหรือไม่ สิ่งนี้ต้องการการทำบัญชีจำนวนมาก ซึ่งเป็นสิ่งที่คอมพิวเตอร์ทำได้ดี” วอลเทอร์ไมร์กล่าวในAsk the CIO. “แนวทางของ OSCAL นำเสนอข้อมูลนี้ในลักษณะที่โปรแกรมคอมพิวเตอร์สามารถวิเคราะห์บรรจุภัณฑ์ได้ และพวกเขาสามารถทำการนับจำนวนมากและตรวจสอบคุณภาพในนามของผู้ประเมินซึ่งช่วยประหยัดเวลาได้มาก สิ่งที่โดยปกติแล้วผู้ประเมินจะใช้เวลาหลายสัปดาห์ในการทำ เครื่องมือ OSCAL สามารถทำได้ในไม่กี่วินาที”
เขากล่าวว่า OSCAL ช่วยให้เครื่องจักรสามารถทำงานที่คู่ควรกับเครื่องจักร และทำให้พนักงานมีอิสระในการมุ่งเน้นไปที่การปรับปรุงความปลอดภัยของระบบ
Ashley Mahan ผู้อำนวยการ FedRAMP กล่าวในงานล่าสุดที่สนับสนุนโดย FCW ว่าหากสามารถใส่เอกสารด้านความปลอดภัยลงในภาษาที่เครื่องอ่านได้ จะเป็นการสร้างขั้นตอนสำหรับความพยายามในการทำงานอัตโนมัติในอนาคต เพื่อลดเวลาและความพยายามในการขออนุมัติ
Ashley Mahan เป็นผู้อำนวยการของ FedRAMP ซึ่ง
เป็นโปรแกรมรักษาความปลอดภัยบนคลาวด์เธอกล่าวเมื่อกลางเดือนสิงหาคม FedRAMP ได้โพสต์ภาษาและสคีมาไปยังที่เก็บข้อมูลสาธารณะเพื่อรวบรวมข้อเสนอแนะ“เราออกหนังสือนำเที่ยวบางเล่ม มีคำถามมากมายเกี่ยวกับ ‘ถ้าฉันเป็นผู้ใช้ปลายทางและฉันต้องการพัฒนาสื่อเหล่านี้และใช้ OSCAL ฉันจะทำอย่างไร’ ดังนั้นเราจึงพัฒนาหนังสือคู่มือเพื่อช่วยฝึกอบรมผู้ใช้ปลายทางเกี่ยวกับวิธีใช้ OSCAL” เธอกล่าว “เรากำลังทำงานกับเครื่องมือแปลง เรากำลังมองหาผู้มีส่วนได้ส่วนเสียในที่ที่พวกเขาอยู่และจัดหาเครื่องมือโอเพ่นซอร์สที่จะช่วยให้ผู้ให้บริการคลาวด์และเอเจนซี่สามารถใช้ OSCAL ได้เช่นกัน เราจะโพสต์สิ่งเหล่านี้และเปิดแหล่งที่มา [สำหรับ] เพื่อให้ชุมชนใช้และทำให้ดีขึ้น”
OSCAL ใช้แบบจำลองเจ็ดแบบเพื่อแสดงข้อมูลการควบคุมความปลอดภัย วิธีดำเนินการและประเมินการควบคุม และผลลัพธ์ของการประเมินนั้น โดยจะจัดรูปแบบข้อมูลในหลายภาษา ได้แก่ XML, JSON และ YAML และจัดเตรียมวิธีการทั่วไปในการระบุและกำหนดเวอร์ชันของทรัพยากรที่ใช้ร่วมกัน และทำให้ข้อมูลการประเมินเป็นมาตรฐาน
รุ่น 1.0 เร็ว ๆ นี้วอลเทอร์ไมร์กล่าวว่า NIST ทำงานกับ OSCAL มาประมาณสี่ปีแล้วและกำลังจะออกเวอร์ชัน 1.0
“เรากำลังมองหาการนำร่องของร่าง” เขากล่าว “FedRAMP เป็นพันธมิตรด้านการทำงานร่วมกันที่ยอดเยี่ยม พวกเขาได้จัดหาทรัพยากรการพัฒนาจำนวนมากให้กับ OSCAL และชุดกรณีการใช้งานที่หลากหลาย ตัวอย่างการใช้งานระบบ และสิ่งประดิษฐ์กระบวนการต่างๆ ที่เราทำงานเพื่อสนับสนุน เรากำลังทำงานร่วมกับ FedRAMP และผู้ให้บริการคลาวด์อีกจำนวนหนึ่งที่สนใจส่งแพ็คเกจ FedRAMP โดยตรงในรูปแบบ OSCAL”
Milica Green ผู้เชี่ยวชาญด้านการปฏิบัติตามกฎระเบียบของ Telos Corporation กล่าวว่า OSCAL จะช่วยลดความซับซ้อนของสภาพแวดล้อมคลาวด์ที่สามารถมีผู้เช่าหลายรายและเจ้าของหลายรายภายในกลุ่มคลาวด์
credit : ฝากถอนไม่มีขั้นต่ำ / สล็อตแตกง่าย / สล็อตเว็บตรง แตกหนัก
