ทีม Mobile Technology Tiger ของสภาประธานเจ้าหน้าที่สารสนเทศของรัฐบาลกลางกำลังแนะนำให้ใช้มาตรฐานของกระทรวงกลาโหมในการตรวจสอบความปลอดภัยของแอปพลิเคชันมือถือเป้าหมายสูงสุดคือการทำให้หน่วยงานต่างๆ พัฒนาและใช้แอปพลิเคชันที่มีความสำคัญต่อภารกิจบนสมาร์ทโฟนหรือแท็บเล็ตได้ง่ายและปลอดภัยยิ่งขึ้น Rob Palmer หัวหน้าทีม Mobility Technology Tiger และผู้อำนวยการประกันข้อมูลของ Homeland Security Department กล่าวว่า CIO Council
จะเลือกโปรไฟล์การป้องกันของ National Information Assurance Partnership (NIAP)
สำหรับแอพมือถือเป็นมาตรฐานสำหรับรัฐบาล“โครงการ NIAP จะเป็นที่ที่เราจะรวบรวมงานทั้งหมดที่ทำเสร็จแล้วไว้ในที่ที่เราสามารถตรวจสอบแก้ไขได้อย่างต่อเนื่อง และนั่นเป็นสิ่งที่ภาคอุตสาหกรรมเข้ามาเกี่ยวข้องด้วย” พาล์มเมอร์กล่าวเมื่อวันพุธที่งาน Federal Mobile Computing Summit สนับสนุนโดย MobileGov ในวอชิงตัน “อุตสาหกรรมสามารถมีส่วนร่วมได้ ไม่ใช่แค่แนวทางของรัฐบาลกลางที่ถูกผลักดัน แต่เป็นกระบวนการแบบโต้ตอบและซ้ำแล้วซ้ำอีก”
การตัดสินใจนี้ไม่ได้หมายความว่า NIAP จะอนุมัติหรือตรวจสอบแอปบนอุปกรณ์เคลื่อนที่ทั้งหมด Palmer กล่าวว่าเอเจนซี่และผู้ขายแต่ละรายจะใช้โปรไฟล์การป้องกันที่ NIAP สร้างขึ้นและพัฒนาอย่างต่อเนื่องเป็นพื้นฐานสำหรับการตรวจสอบแอพมือถือของพวกเขา
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ จัสติน ดับเบิลเดย์ และแขกรับเชิญจะสำรวจความคิดริเริ่มทางไซเบอร์และการปรับปรุงให้ทันสมัยที่ DIU ด้วยมุมมองของอุตสาหกรรม
เขากล่าวว่าแนวทางของ NIAP เป็นรากฐานที่ดีที่ก่อให้เกิดการทำงานร่วมกันและการประสานงานมากกว่าแนวทางที่ต่างกันซึ่งหน่วยงานส่วนใหญ่ใช้ในปัจจุบัน
Jeanne Peterson รักษาการผู้อำนวยการของ NIAP กล่าวว่า
องค์กรจะยังคงพึ่งพาชุมชนที่เป็นตัวแทนของรัฐบาล ผู้ขาย สถาบันการศึกษา และพันธมิตรระหว่างประเทศเพื่อพัฒนามาตรฐานขององค์กร
“เราได้ร่วมกันกำหนดสิ่งที่เราพิจารณาว่าเป็นข้อกำหนดด้านความปลอดภัยพื้นฐาน และจากจุดนั้น เราใส่เป็นภาษา Common Criteria หรือเก็บไว้เป็นภาษาอังกฤษ ขึ้นอยู่กับแอปพลิเคชันที่จะใช้” เธอกล่าว “ข้อดีของสิ่งนี้คือการทำงานร่วมกัน เราได้ใช้ประโยชน์จากพลังของทุกคนร่วมกัน เรามีกลุ่มผู้เชี่ยวชาญสำหรับเทคโนโลยีนี้โดยเฉพาะ เป็นชุมชนที่กระตือรือร้นที่ยืนหยัดและทำงานต่อไปตลอดการพัฒนาข้อกำหนดและหลังจากนั้น ดังนั้น เมื่อการเปลี่ยนแปลงของอุตสาหกรรมและเทคโนโลยีเปลี่ยนไป เราจึงรักษาข้อกำหนดหรือมาตรฐานของเราให้เป็นปัจจุบัน เพราะเรากำลังโต้ตอบกับกลุ่มนี้เป็นประจำ”
Peterson กล่าวว่าโปรไฟล์การตรวจสอบแอพมือถือเป็นตัวอย่างของมาตรฐานที่เขียนเป็นภาษาอังกฤษโดยความร่วมมือกับ National Institute of Standards and Technology เธอบอกว่าเป็นการนำร่องเพื่อดูว่าการเขียนสิ่งที่ผู้คนสามารถเข้าใจได้จะได้ผลหรือไม่ และได้ผล
NIAP ทำงานอย่างใกล้ชิดกับ NIST ในช่วงไม่กี่ปีที่ผ่านมา โดยรวมสิ่งพิมพ์พิเศษ 800-163 ไว้ในโปรไฟล์การป้องกัน
ไม่มีมาตรฐานการตรวจสอบแอปการย้ายสภาซีไอโอไปยัง NIAP เกิดขึ้นหลังจากการเปลี่ยนแปลงครั้งสำคัญโดยกระทรวงกลาโหม ในเดือนพฤศจิกายน หน่วยงานระบบข้อมูลกลาโหมกล่าวว่าจะไม่สนับสนุน Security Requirements Guide อีกต่อไป และจะขึ้นอยู่กับ NIAP สำหรับผลิตภัณฑ์และแอพมือถือเพียงอย่างเดียว
นี่เป็นครั้งที่สองที่ทีม Mobile Technology Tiger เข้าร่วมในหัวข้อความปลอดภัยทางไซเบอร์