Счетная палата правительства хочет видеть больше отчетов от Административно-бюджетного управления, заявил представитель агентства группе Комитета по надзору Палаты представителей по государственным операциям во время проводимых раз в два года слушаний по оценке эффективности агентств, управляющих своими активами в области информационных технологий.
«Мне неясно, сидит ли [OMB] на этой информации или у них просто нет этой информации», — сказал директор GAO по информационным технологиям и кибербезопасности Кэррол Харрис. «Главная проблема заключается в том, что в настоящее время нет конкретных целей [межведомственной эффективности информационных технологий], и что в законе четко и четко указано, что они должны иметь определенные цели ИТ CAP … и в настоящее время , мы не видим, что выходит ».
Харрис свидетельствовал перед подкомитетом в четверг. Ее комментарии были ответом на возражения члена палаты представителей Джоди Хайс, штат Джорджия, высокопоставленного члена подкомитета, выдвинутые против методологии OMB по оценке агентств, которая, по его словам, больше соответствует распоряжению о кибербезопасности от мая 2021 года, чем закону. .
Цели CAP требуются в соответствии с Законом о модернизации GPRA от 2010 года. GPRA относится к Закону о деятельности и результатах правительства 1993 года. Согласно закону, цели должны публиковаться — наряду с регулярными отчетами о деятельности агентств по их достижению на общедоступном веб-сайте — каждые четыре года.
Ссылаясь на письменные показания федерального директора по информационной безопасности Криса ДеРуши, который работает в OMB, Хайс сказал: «Вы упоминаете 20 ссылок на указ президента о кибербезопасности, но не упоминаете межведомственные приоритетные цели».
«Для меня это наоборот», — продолжил он, обращаясь к ДеРуше во время слушания. «То, что есть указ, не дает ни вам, ни кому-либо другому права игнорировать федеральный закон, в том числе и администрации, и с этим делом пора разобраться. Закон есть закон, и он что-то значит. И это не значит, что мы можем его игнорировать. И я думаю, что председатель разделяет мое разочарование по этому поводу. Закон имеет большое значение. Это закон кричать вслух».
ДеРуша сказал, что позиция OMB заключается в том, что агентство соблюдает закон, потому что они интегрировали указ президента об информационных технологиях и кибербезопасности в цели, которые должны быть приоритетными для всех агентств.
«Мы приняли решение включить ИТ и кибербезопасность в повестку дня президентского руководства и несколько целей CAP, — сказал он. «И у нас был очень агрессивный указ, в котором нам нужно было измерять наш прогресс. Поэтому мы изменили наши показатели [Федерального закона о модернизации информационной безопасности], чтобы они действительно соответствовали всем целям и задачам, которые мы там изложили».
В интервью Nextgov в октябре 2021 года ДеРуша указал, что предпринимаются усилия по сокращению обязательств агентств по отчетности, чтобы у них была возможность сосредоточиться на действиях, которые, по его словам, наиболее важны для защиты агентств от компрометации кибербезопасности, таких как кампания вторжения с участием федеральных ИТ. подрядчик по управлению SolarWinds.
ДеРуша указал на новую запись на Performance.gov — веб-сайте, созданном для отслеживания целей CAP, — в котором изложены новые показатели для оценки кибербезопасности. Предлагаемые показатели будут присуждать агентствам больше баллов за реализацию мер по «защите» критически важных сервисов по сравнению с четырьмя другими функциями, изложенными в структуре кибербезопасности Национального института стандартов и технологий 2014 года: идентификация, обнаружение, реагирование и восстановление.
Но Харрис из GAO сказал, что OMB необходимо отдельно учитывать более широкие цели CAP, которые были установлены в 2018 году при предыдущей администрации.
«В законе четко указано, что эти цели IT CAP должны быть автономными, чтобы решить эти давние проблемы управления ИТ, с которыми мы сталкиваемся», — сказала она. «Отлично, что OMB внедрила и вплела технологии в эти другие цели CAP, например, обслуживание клиентов … все для этого, но это не решает эти давние проблемы, которые у нас были с ИТ в отношении кибербезопасности и ИТ. управление.”
ДеРуша сказал, что OMB готово к дальнейшей корректировке предложенных показателей для оценки кибербезопасности агентств.
«Мы открыты для продолжения переговоров с комитетом по другим приоритетным направлениям», — сказал он. «На наш взгляд, важно, чтобы метрики были общедоступными, и мы собираемся продолжать развиваться по мере продвижения».
0
0
