Saturday, April 24, 2010

Thoughts on New OMB FISMA Memo

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new OMB memorandum M-10-15, "FY 2010 Reporting Instructions for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act and Agency Privacy Management." This InformationWeek article pretty well summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memo, but I'd like to share a few thoughts.

Long-time blog readers should know I've been writing about FISMA for five years, calling it a "joke," a "a jobs program for so-called security companies without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical skills to operationally defend systems," and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r kind words. Any departure from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous implementation is a welcome change.

However, it's critical to remember that control monitoring is not threat monitoring. Let's take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OMB letter to see if we can see what is really changing for FISMA implementation.

For FY 2010, FISMA reporting for agencies through CyberScope, due November 15, 2010, will follow a three-tiered approach:

1. Data feeds directly from security management tools
2. Government-wide benchmarking on security posture
3. Agency-specific interviews


I wonder how long before CyberScope is compromised?

Turning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three points, what does #1 really mean?

Beginning January 1, 2011, agencies will be required to report on this new information monthly. The new data feeds will include summary information, not detailed information, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following areas for CIOs:

• Inventory
• Systems and Services
• Hardware
• Software
• External Connections
• Security Training
• Identity Management and Access

So it looks like OMB is requiring agencies to basically report asset inventory information, training status for employees, and some IDM information? And monthly? I guess if you're moving from a three-year cycle to a monthly cycle, that sounds "continuous," but monthly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern enterprise is recognized as a snapshot.

How about #2?

A set of questions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security posture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agencies will also be asked in CyberScope. All agencies, except microagencies, will be required to respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data feeds described above.

Now I see OMB will be asking agencies questions, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will have to answer?

And #3:

As a follow-up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions described above, a team of government security specialists will interview all agencies individually on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir respective security postures.

This looks like anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r question-and-answer session, except I expect OMB to spend time with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem cases identified in steps 1 and 2.

Let's be clear: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no "continuous monitoring" happening here. This is basic housekeeping, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scale of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and bureaucratic inertia make this a difficult problem. I hope this is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first round of change.

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequently asked questions to be more interesting than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main memo.

30. Why should agencies conduct continuous monitoring of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security controls?

Continuous monitoring of security controls is a cost-effective and important part of managing enterprise risk and maintaining an accurate understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security risks confronting your agency’s information systems. Continuous monitoring of security controls is required as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security authorization process to ensure controls remain effective over time (e.g., after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial security authorization or reauthorization of an information system) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of changing threats, missions, environments of operation, and technologies.


Ah ha, finally we see it in print: "continuous monitoring of security controls." There's no continuous monitoring of threats here. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, I'm wondering why OMB considers asset inventory, training, and IDM to be so crucial to security risks. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are important, but where's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real "security" in those controls? In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could still observe controls, but those controls could be implementation of filtering Web proxies, firewalls, anti-malware, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r traditional security measures.

36. Must Government contractors abide by FISMA requirements?

Yes... Because FISMA applies to both information and information systems used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency, contractors, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations and sources, it has somewhat broader applicability than prior security law. That is, agency information security programs apply to all organizations (sources) which possess or use Federal information – or which operate, use, or have access to Federal information systems (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r automated or manual) – on behalf of a Federal agency. Such ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations may include contractors, grantees, State and local Governments, industry partners, providers of software subscription services, etc. FISMA, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore, underscores longstanding OMB policy concerning sharing Government information and interconnecting systems.


This concerns me. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pushing on contractors to adopt FISMA in private business?

FISMA is unambiguous regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent to which security authorizations and annual IT security assessments apply. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent that contractor, state, or grantee systems process, store, or house Federal Government information (for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency continues to be responsible for maintaining control), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security controls must be assessed against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same NIST criteria and standards as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were a Government-owned or -operated system. The security authorization boundary for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems must be carefully mapped to ensure that Federal information:

(a) is adequately protected,

(b) is segregated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contractor, state or grantee corporate infrastructure, and

(c) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an interconnection security agreement in place to address connections from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contractor, state or grantee system containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency information to systems external to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security authorization boundary.


It's probably going to take .gov-savvy lawyer to really explain what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se points mean, but private enterprise working with government data should probably take a close look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se new FISMA developments.

4 comments:

Omar Fink said...

The point of continuous monitoring is to make defenders more aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic posture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defenses instead of just putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 required controls in place and assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are working or testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m infrequently. SI-3 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control for anti-virus. SI-4 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control for network monitoring and intrusion detection. RA-5 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control for vulnerability assessment. SI-2 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control for patch management. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r real time or frequent monitoring of network threats is called for in each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls. Continuous monitoring, done right, should offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command chain good situational analysis that shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status of each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls in near real time. Since in most cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and units that actually perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se defensive tasks also produce a variety of status reports, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status information to fulfill compliance requirements is also more efficient and can save a great amount of time, effort and expense in that area. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST security controls have always offered a good outline for network defense strategy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual understanding of how it works or how it ends up getting implemented inside federal agencies is often lacking. NIST and OMB are trying to force a dynamic or near real time understanding of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense is functioning by pushing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir methodology called "continuous monitoring".

DanPhilpott said...

The FAQ numbers 30, 36 and 41 are essentially unchanged from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous year OMB memo on FISMA and Privacy reporting (M-09-29). Changes were primarily to use new terminology (e.g., changing C&A to authorization, accreditation to security authorization). These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same rules we've been working with for a while now, no new requirements.

Anonymous said...

This OMB memo headlines and press coverage claim many things, but deliver something quite different.

As you have pointed out, "continuous monitoring of security controls" is not continuous, targets controls instead of results, and in reality, monitors inventories instead of controls.

Also:

- The requirements for $1000+/page C&A reports have not been removed.

- The overly prescriptive NIST 800-53 control list has not been revised or new flexibilities given.

- The overall "risk-based" approach (which is never implemented that way) has not been revised.

This memo is a giant step backward for feds and (now) contractors.

- They are required to waste even more resources on "continuous monitoring of security controls" that will not help anything.

- They must continue to waste resources on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old reports.

- The overall security approach, which has been shown to fail badly, hasn't been changed, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y must continue doing what's been shown to fail.

Lies, damn lies, and government press releases.

Dave Funk said...

Looks to me like NASA is fighting back: http://www.nextgov.com/nextgov/ng_20100519_6677.php?oref=topstory and sure enough cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big guns are comming in to say 'this is what we meant from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning": http://techinsider.nextgov.com/2010/05/right_along_with_security_experts.php?oref=latest_posts
All that is missing now is for Ron Ross to put 10 more controls into SP 800-53 with 125 new tests into SP 800-53A to ensure that federal agencies have implemented this great step forward without any negative impact to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBBIA (Federal Beltway Bandit Income Act) of 2009. Meanwhile Federal CIOs and CISOs (none of whome have ever been paid to be a system administrator on a moderate sized network) tell us what a great job cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA (Federal Information Security Mismanagment Act) has done at making security on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks transparent. Meanwhile practitioners are struggling to decide if FISMA scores have a positive or negative corelation with network security. From my seat, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negative corelation side seems to be winning.