این یادداشت، دستور اجرایی رئیس جمهور جو بایدن در ماه می را دنبال می کند.

بر اساس یادداشتی که ۱۰ اوت توسط دفتر مدیریت و بودجه منتشر شده است ، آژانس های فدرال ۶۰ روز فرصت دارند تا نرم افزارهای حیاتی را در سیستم های خود شناسایی کنند و یک سال نیز برای ایمن سازی آن وقت دارند.

این یادداشت ، که توسط سرپرست OMB ، Shalanda Young تألیف شده است ، از فرمان اجرایی رئیس جمهور جو بایدن در ۱۲ مه در مورد بهبود امنیت سایبری کشور ، که زمینه ساز چندین دستورالعمل است ، ناشی شده است. یکی از این دستورالعمل ها به موسسه ملی استاندارد و فناوری دستور داد تا “نرم افزار حیاتی” را برای سازمان ها تعریف کند و این یادداشت بر اساس تعریف NIST در ماه ژوئن منتشر شده است. طبق این یادداشت ، این تعریف در مورد “نرم افزارهای همه جانبه” اعمال می شود ، از جمله “نرم افزار مستقل ، نرم افزاری که در دستگاه ها یا قطعات سخت افزاری خاص وجود دارد” و نرم افزارهای مبتنی بر ابر که برای اهداف عملیاتی خریداری شده یا به کار گرفته می شوند. NIST نرم افزار حیاتی را نرم افزاری تعریف می کند که بر روی نرم افزاری اجرا می شود یا به آن وابسته است:

  • طوری طراحی شده است که با امتیازات مدیریتی اجرا شود.
  • دسترسی مستقیم یا ممتاز به منابع شبکه یا محاسبات دارد.
  • برای کنترل دسترسی به داده یا فناوری عملیاتی طراحی شده است.
  • عملکرد مهمی را برای اعتماد انجام می دهد ؛ و
  • خارج از مرزهای معمول اعتماد با دسترسی ممتاز عمل می کند

در این یادداشت آمده است: “ایالات متحده به طور فزاینده ای با کمپین های مخرب سایبری مواجه است که بخش عمومی ، بخش خصوصی و در نهایت امنیت و حریم خصوصی مردم آمریکا را تهدید می کند.” دولت فدرال باید تلاش های خود را برای ردیابی ، شناسایی ، بازداری ، محافظت در برابر آنها و واکنش به این کمپین ها و عاملان آنها را بهبود بخشد.”

در این مرحله اولیه از راهنمای نرم افزاری حیاتی ، آژانس ها مأموریت دارند که ابتدا بر شناسایی ، اعتبارنامه و مدیریت دسترسی ، سیستم عامل ها ، مرورگرهای وب ، امنیت نقطه پایانی ، کنترل شبکه ، حفاظت از شبکه ، نظارت و پیکربندی شبکه ، نظارت و تجزیه و تحلیل عملیاتی ، اسکن از راه دور ، دسترسی از راه دور و پشتیبان گیری یا ذخیره سازی از راه دور تمرکز کنند.

این یادداشت همچنین برنامه ای را ارائه می دهد که آژانس ها باید از دستورالعمل های مهم نرم افزاری پیروی کنند. ظرف ۶۰ روز از زمان انتشار این یادداشت ، آژانس ها باید “تمام نرم افزارهای حیاتی ، در حال استفاده یا در مرحله خرید” را شناسایی کنند. علاوه بر این ، آژانس ها یک سال فرصت دارند تا اقدامات امنیتی تعیین شده توسط NIST را برای همه دسته های راهنمای اولیه نرم افزار ، و یک سال نیز شامل اقدامات امنیتی بعدی برای هر به روزرسانی راهنمایی از NIST دارند.

nextgov