Showing posts with label fisma. Show all posts
Showing posts with label fisma. Show all posts

Saturday, February 19, 2005

2004 US Government Security Report Card

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US House Committee on Government Reform 2004 report card for US Federal government security. I wrote about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report for CY 2003 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2003. The big news for this year's report card are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 huge swings made by some agencies. Justice and Interior improved from F's to B- and C+, respectively, while State marginally moved out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failing category by progressing from F to D+. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs regressed, some substantially; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSF dropped from an A- to C+, Commerce from C- to F, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VA from C to F. Overall, 7 out of 24 agencies received F's, balanced by 7 with B's or better.

The "Report Grading Elements" (.pdf) used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following major categories to grade agencies:

1. The percentage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency's programs and systems reviewed, including contractor operations or facilities in FY04 by CIOs and IGs.
2. The degree to which agency program officials and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency CIO have used appropriate methods to ensure that contractor provided services or services provided by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency are adequately secure and meet policy requirements.
3. The degree to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST self-assessment guide or equivalent methodology to conduct its reviews.
4. The agency developed (Plan of Action and Milestones) POA&Ms for each significant deficiency identified in FY04.
5. The agency developed, implemented, and managing an agency-wide plan of action and milestone process.
6. Certification and accreditation topics.
7. The CIO implemented agencywide policies that require detailed specific security configurations and what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree by which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configurations are implemented.
8. Incident detection, response, and reporting topics.
9. The CIO has ensured security training and awareness of all employees, including contractors and those with significant IT Security responsibilities.
10. The progress cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency has made to develop an inventory of major IT systems.

How were grades asigned? The Grading Methodology (.pdf) says:

"The Committee's computer security grades are based on information contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act (FISMA) reports from agencies and Inspectors General (IG) for fiscal year 2004. On December 17, 2002, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President signed into law cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Electronic Government Act. Title III of that Act is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA. FISMA lays out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework for annual IT security reviews, reporting and remediation planning at federal agencies. FISMA requires that agency heads and IGs evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir agencies computer security programs and report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of those evaluations to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OMB in September of each year along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir budget submissions. FISMA also requires that agency heads report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of those evaluations annually to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Congress and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Accountability Office."

Notice that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se grades do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se security measurements. An agency could be completely 0wn3d (compromised in manager-speak) and it could still receive high scores. I imagine it is difficult to grade effectiveness until a common set of security metrics is developed, including ways to count and assess incidents.

Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grades from previous years, courtesy of Homeland Security IntelWatch: