Целевые показатели эффективности в области кибербезопасности (CPG) CISA для различных отраслей Отражает усилия федерального правительства по повышению базового уровня эффективности в области кибербезопасности. CPG 2.0 отходит от идеи строгих рамок, вместо этого устанавливая стратегический, ориентированный на результат базовый уровень эффективности в области кибербезопасности, который охватывает различные отрасли, операционные среды и уровни зрелости организаций.

Для руководителей служб информационной безопасности, директоров по информационным технологиям и специалистов по соблюдению нормативных требований ценность CPG 2.0 заключается в переосмыслении кибербезопасности как набора измеримых показателей эффективности, основанных на управлении и управлении рисками.

Читать

Программное обеспечение с открытым исходным кодом является краеугольным камнем большинства ИТ-платформ и инфраструктуры. Эта зависимость распространяется не только на основные приложения; большая часть программного обеспечения во всем мире частично опирается даже на самые небольшие библиотеки с открытым исходным кодом, которые решают критически важную задачу. 

Для предприятий, подпадающих под действие FedRAMP, CMMC и других федеральных нормативных актов, это надежный способ планирования соответствия требованиям. Однако, как мы видим, программное обеспечение с открытым исходным кодом так же уязвимо, как и другие программы (если не больше), из-за особенностей децентрализованной разработки. Эта проблема стала настолько актуальной, что даже члены Конгресса начинают обращать на нее внимание.

Читать

Федеральные органы по кибербезопасности давно перестали ориентироваться исключительно на соблюдение требований. Тем не менее, одна из самых распространенных и опасных ошибок, которые организации продолжают совершать, — это приравнивание соблюдения требований к безопасности.

В этой статье повторяется общеизвестный тезис, который мы постоянно повторяем уже много лет: организующим принципом современных программ кибербезопасности должно быть снижение рисков, а не формальное выполнение требований, особенно для организаций, работающих в регулируемой или смежной с государственным сектором среде.

Читать