前情回顾·美国国家网络防御动态
安全内参4月26日消息,美国政府问责办公室日前发布报告,表示负责实施2021年《改善国家网络安全行政令》的机构,仅剩下六项领导和监督任务尚未完成。
这项由美国总统拜登签发的行政令旨在保护联邦IT系统免受网络攻击,总共提出了55项工作任务。网络安全和基础设施安全局(CISA)、国家标准与技术研究院(NIST)和管理与预算办公室(OMB)已经完成49项任务,部分完成5项,而1项因“与其他任务的时间有冲突”被判定为“不适用”。
政府问责办公室表示:“完成这些任务,将进一步保证联邦政府系统和数据得到充分保护。”
OMB未完成任务
根据行政命令中“消除共享威胁信息的障碍”章节要求,OMB没有将所需的成本分析部分完全纳入年度预算程序。
政府问责办公室指出,“OMB未能证明,其已按照CISA有关分享网络威胁信息的建议,在与相关联邦机构的沟通中纳入成本分析。记录联邦机构与OMB之间的沟通结果,将帮助机构制定足以实施上述建议的预算。”
OMB还未能向政府问责办公室证明,其已经“与机构合作,确保它们有足够资源实施”部署端点检测和响应产品的方法,这是一项主动检测联邦基础设施内部网络事件的举措。
政府问责办公室表示:“OMB的一名工作人员表示,由于涉及的对话数量众多且分散,无法记录所有与机构有关的端点检测与响应相关的沟通结果。”
在日志记录方面OMB也有欠缺。该机构与其他机构分享了指南,帮助更好地改进日志保留、日志管理和日志功能,但没有向政府问责办公室证明,这些机构有适当的资源实施这些指南。
CISA未完成任务
在识别并向机构提供正在使用或正在采购的“关键软件”列表方面,CISA稍显不足。OMB和NIST已完全完成了这项任务。但一名CISA官员告诉政府问责办公室,他们“对机构和私营行业将如何理解列表存在疑虑,并计划审查验证软件分类所需的现有标准。”该官员补充说,即将推出新版类别列表,并配上有清晰解释的文档。”
CISA在网络安全审查委员会方面也有一些工作要做。由于缺乏权威性和独立性,这个由公共和私营部门代表组成的跨机构委员会,面临来自国会和行业领导者的压力。根据政府问责办公室的说法,CISA没有完全采取措施来实施如何改进该委员会运营的建议。
政府问责办公室写道:“CISA官员表示,该机构在实施委员会的建议方面已经取得了进展,并计划进一步改进委员会的运营政策和程序。然而,CISA没有提供证据表明它正在实施这些建议。如果CISA没有实施委员会的建议,该委员会未来可能无法有效地进行事件审查。”
总体而言,联邦机构已经完成了行政令列出的绝大多数任务。政府问责办公室写道:“例如,他们已经制定了改进网络威胁信息分享的程序、关键软件的安全措施指南和进行事件响应的操作手册。”此外,国家网络总监办公室 “作为命令的总体协调者,与机构合作具体实施行政令,并跟踪实施情况。”
政府问责办公室向CISA的上级机构国土安全部发出了两项建议,并向OMB发出了三项关于全面实施行政令任务的建议。OMB没有回应评论,而国土安全部同意了政府问责办公室关于定义关键软件和改进网络安全审查委员会运营的建议。
参考资料:https://fedscoop.com/cybersecurity-executive-order-requirements-gao-omb-cisa/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。