เนื่องจากหน่วยงานต่าง ๆ ต้องเผชิญกับเส้นตายที่ใกล้เข้ามาเพื่อใช้มาตรฐานความปลอดภัยบนคลาวด์ชุดปัจจุบัน เวอร์ชันถัดไปจึงอยู่ระหว่างการพัฒนาฝ่ายบริหารบริการทั่วไปและแผนกกลาโหมและความมั่นคงแห่งมาตุภูมิกำลังเริ่มโครงการ Federal Risk Authorization and Management Program (FedRAMP) 2.0 โดยรวมข้อกำหนดทางไซเบอร์ใหม่จาก National Institute of Standards and Technology Special Publication 800-53, Rev 4 NIST เปิดตัวเวอร์ชันล่าสุดของการควบคุมความเป็นส่วนตัวและความปลอดภัยของคอมพิวเตอร์สำหรับระบบข้อมูลของรัฐบาลกลางในเดือนเมษายน 2013
Matt Goodrich ผู้จัดการโปรแกรมของ FedRAMP
ของ GSA กล่าวที่งาน Intel Security Innovation Summit ในกรุงวอชิงตันว่า “เราจะมีการเปิดเผยข้อมูลดังกล่าวในอีก 2-3 เดือนข้างหน้า ซึ่งอาจจะเร็วกว่านั้น แต่ฉันต้องการทำตามสัญญาและมากกว่าที่จะส่งมอบ” วันพุธ. “คุณจะเห็นพื้นฐานใหม่ของเราออกมา และเราจะมีกลยุทธ์การเปลี่ยนแปลงของเราออกมาในอีกไม่กี่สัปดาห์ข้างหน้าว่าจะมีลักษณะอย่างไร แต่โดยพื้นฐานแล้ว เราจะใช้แนวทางเดียวกับที่เราทำเมื่อเปิดตัว FedRAMP ซึ่งก็คือการเผยแพร่ความคิดเห็นสาธารณะ เรานำความคิดเห็นสาธารณะกลับมาเสนอต่อทีม JAB และดูความคิดเห็นสาธารณะเหล่านั้นและดูว่าบรรทัดฐานควรอยู่ที่ใด และเราได้บรรทัดฐานใหม่ เรากำลังคำนึงถึงเรื่องนี้เป็นอย่างมาก
Goodrich กล่าวว่า คณะกรรมการอนุญาตร่วม (JAB) จะพิจารณาว่าสิ่งใดควรเพิ่มและสิ่งใดไม่ควรอยู่ในบรรทัดฐานอีกต่อไป รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบัน
Scott Renda นักวิเคราะห์นโยบายของ Office of Management and Budget กล่าว
ว่าหนึ่งในคุณสมบัติที่ดีที่สุดของ FedRAMP คือความยืดหยุ่น Renda ซึ่งเป็นผู้จัดการพอร์ตโฟลิโอสำหรับคลาวด์คอมพิวติ้งที่ OMB กล่าวว่าหากรัฐบาลตัดสินใจเกี่ยวกับข้อกำหนดทางไซเบอร์ใหม่หรือหากหลายหน่วยงานเพิ่มการควบคุมความปลอดภัยที่คล้ายคลึงกันให้กับ FedRAMP เวอร์ชันของตนเอง ข้อมูลพื้นฐานทั่วทั้งรัฐบาลก็ไม่ใช่เรื่องยากที่จะอัปเดต
ทหารเท่านั้นที่จะเพิ่มเป็นพื้นฐานจนถึงช่วงสองปีแรก มีเพียง DoD เท่านั้นที่ได้เพิ่มการควบคุมเพิ่มเติมให้กับพื้นฐานของ FedRAMP
Goodrich กล่าวว่าสำนักงานการจัดการโปรแกรมไม่ได้รับการติดต่อจากหน่วยงานอื่นใดที่ติดตามการนำของ DoD
Scott Toulsey รองผู้อำนวยการแผนกความปลอดภัยทางไซเบอร์ของ Science and Technology Directorate ที่ DHS กล่าวว่าหน่วยงานควรตระหนักถึงความท้าทายเล็กน้อยก่อนที่จะเพิ่มการควบคุมใหม่
“ฉันรู้ว่า DHS กำลังมองหาการควบคุมเพิ่มเติมบางอย่าง แต่มันเหมือนกับปัญหาภูเขาน้ำแข็งเล็กน้อย — คุณสามารถคิดถึงการควบคุมเพิ่มเติมเพื่อเพิ่มเหนือเส้นน้ำ แต่เราทุกคนมีงานมากมายในการดำเนินการควบคุมที่มีอยู่ที่ 99.9 ระดับเปอร์เซ็นต์ ไม่ใช่ระดับ 80 เปอร์เซ็นต์” เขากล่าว “เรายังคงถูกโจมตีบ่อยเกินไปด้วยปัญหาเก่า ๆ ที่รู้จักกันดีซึ่งไม่ได้ถูกหยิบยกขึ้นมาด้วยเหตุผลทั่ว ๆ ไป”
Goodrich กล่าวว่าสิ่งสำคัญคือต้องเตือนผู้ขายและหน่วยงานต่างๆ ว่าเป้าหมายของ FedRAMP ไม่ใช่การปรับปรุงหรือเปลี่ยนแปลง Federal Information Security Management Act (FISMA) แต่เพียงเพื่อให้กระบวนการมีความโปร่งใสและสอดคล้องกัน เขากล่าวว่าหน่วยงานไม่จำเป็นต้องเพิ่มการควบคุมใหม่ให้กับ FedRAMP เว้นแต่ว่าพวกเขาจะเพิ่มการควบคุมเพิ่มเติมให้กับ FISMA
DoD ตัดสินใจเพิ่มการควบคุมบางอย่างของ FedRAMPTeri Takai หัวหน้าเจ้าหน้าที่ข้อมูลของ DoD ได้ชี้แจงความคิดเห็นที่เธอแสดงไว้ในการประชุม NIST ล่าสุดเกี่ยวกับเส้นทางที่DoD กำลังดำเนินการเพื่อความปลอดภัยบนคลาวด์
“ตามที่เกี่ยวข้องกับการจัดประเภทข้อมูล เพราะนั่นคือวิธีที่เราพิจารณาว่าต้องการมาตรฐานใด สำหรับการจำแนกประเภทข้อมูลระดับ 1 และ 2 เรากำลังปฏิบัติตามมาตรฐาน NIST” Takai กล่าวในการให้สัมภาษณ์หลังจากการกล่าวสุนทรพจน์ในการประชุม “ดังนั้น เมื่อคุณเข้ามามีคุณสมบัติในการเป็นผู้ให้บริการระบบคลาวด์ของ DoD ผ่านนายหน้าระบบคลาวด์ของ Defense Information Systems Agency เรากำลังใช้มาตรฐาน FedRAMP อยู่ เราไม่มีชุดมาตรฐานที่พัฒนาแล้วซึ่งมีเฉพาะ DoD”
สำหรับระดับการจำแนกข้อมูลที่สูงขึ้นซึ่ง FedRAMP ยังไม่รับรองนั้น DoD มีชุดมาตรฐานเพิ่มเติมนอกเหนือจากเกณฑ์พื้นฐานของรัฐบาล เธอกล่าว
