Cơ quan vũ trụ Mỹ hướng vào những yêu cầu mới về an ninh thông tin

Space agency is headed for new information security requirements

By Aliya Sternstein 09/30/2010

Theo: http://www.nextgov.com/nextgov/ng_20100930_1177.php

Bài được đưa lên Internet ngày: 30/09/2010

Hạ viện tối thứ tư đã phê chuẩn một dự luật chính sách với nội dung bắt buộc rằng Cơ quan Hàng không Vũ trụ Mỹ NASA giữ cho các nhà làm luật được cập nhật về nỗ lực giám sát những mối đe dọa an ninh không gian mạng theo thời gian thực xuyên khắp các mạng máy tính của cơ quan này.

Hành động ủy quyền lại của NASA (S.3729) mà Hạ viện đã thông qua 304-118, yêu càu cơ quan vũ trụ này cung cấp cho Quốc hội các chi tiết về sự tiến bộ trong triển khai hệ thống giám sát mạng máy tính thời gian thực. Luật cũng yêu cầu NASA nghiên cứu liệu khung công việc về giám sát thường xuyên có hiệu quả hơn so với các phương pháp đo đếm an ninh khác hay không.

Dự luật ủy quyền này đã làm rõ cho Thượng viện hồi tháng 8, và nó bây giờ hướng tới bàn làm việc của Tổng thống Obama chờ chữ ký của ông.

Việc chuyển đề xuất của NASA tới trong một nỗ lực để cập nhật các chính sách về an ninh thông tin trong khắp chính phủ. Nhà Trắng đã thiết lập một yêu cầu rằng các cơ quan thường xuyên rà quét và báo cáo về những chỗ bị tổn thương của máy tính, nhưng các nhà làm luật vẫn phải tăng cường biến chỉ thị thành luật.

Các nhà phê bình nói luật hiện hành - Luật Quản lý An ninh Thông tin Liên bang năm 2002 đã xác định những yếu kém trong các mạng của NASA mà có thể đe dọa các nhiệm vụ về vũ trụ. “Những mạng này đi qua khắp trái đất và hơn thế, cung cấp các liên kết giao tiếp 2 chiều mang tính sống còn giữa trái đất và các phi thuyền; các giao tiếp giữa các trung tâm của NASA và các đối tác, các nhà khoa học và người dân; và các ứng dụng và các chức năng hành chính”, các quan chức của GAO đã viết trong một báo cáo hồi tháng 2 về những thách thức mà các chương trình chủ chốt của cơ quan này phải đối mặt.

The House on Wednesday night approved a policy bill with language mandating that NASA keep lawmakers updated on an effort to monitor cybersecurity threats in real-time across agency computer networks.

The NASA reauthorization act (S. 3729), which the House passed 304-118, requires the space agency to provide Congress with details on its progress deploying a live computer network monitoring system. The legislation also asks NASA to study whether the constant-surveillance framework is more effective than other methods of measuring security.

The authorization bill cleared the Senate in August, and it now heads to President Obama's desk for his signature.

Passage of the NASA provision comes amid an effort to update information security policies governmentwide. The White House has established a requirement that agencies continuously screen and report computer vulnerabilities, but legislators have yet to cement the directive into law.

Critics say existing law -- the 2002 Federal Information Security Management Act specifically -- focuses too much on costly paperwork documenting agencies have followed protocols, and not enough on actual execution of those procedures. House and Senate lawmakers are working on updates to FISMA.

During the past several years, Government Accountability Office auditors have identified weaknesses in NASA networks that could threaten space missions. "These networks traverse the Earth and beyond, providing critical two-way communication links between Earth and spacecraft; connections between NASA centers and partners, scientists and the public; and administrative applications and functions," GAO officials wrote in a February report on challenges key agency programs face.

Dự luật ủy quyền chỉ thị cho giám đốc thông tin CIO của NASA phải tạo ra một chương trình nhận thức và giáo dục về an ninh thông tin cho tất cả các nhân viên và các nhà thầu mà sử dụng các máy tính của cơ quan này.

Một đề xuất của ủy ban thuộc Hạ viện hướng tới việc làm giảm các rủi ro của điện toán đám mây đã không làm cho nó trở thành dự luật, mà các thượng nghị sỹ cả 2 đảng đã nói họ muốn thông qua đề xuất trong một dự luật chi phí riêng rẽ của NASA. Điện toán đám mây, một thực tiễn của khu vực tư nhân mà đang giành được sự phổ biến trong chính phủ, cho phép các cơ quan truy cập tới các ứng dụng và phần cứng theo yêu cầu và trực tuyến thông qua một nhà cung cấp là bên thứ 3, thay vì việc duy trì các cụm máy chủ và trả tiền cho các giấy phép phần mềm.

Ủy ban Khoa học và Công nghệ của Hạ viện đã đồng ý với một dự luật (H.R.5781) mà đã kêu gọi NASA thông báo tin tức cho các nhà làm luật về bất kỳ sự việc nào khi ccs thông tin nhạy cảm hoặc không phổ biến được trao đổi trong đám mây, cũng như bất kỳ biện pháp nào được thực hiện để đảm bảo các dữ liệu được bảo vệ.

Nhưng nội dung này đã không có trong phiên bản dự luật của Thượng viện, và Hạ viện đã chấm dứt biểu quyết theo phiên bản của Thượng viện thay vì một dư luật sự thỏa hiệp của 2 đảng mà Ủy ban Khoa học và Kỹ thuật đã đề xuất cuối tuần qua. Dự luật thỏa hiệp bao gồm khái niệm đám mây, cũng như sự giám sát và các yêu cầu huấn luyện tương tự như những gì trong phiên bản của Thượng viện.

Chủ tịch Ủy ban Khoa học Công nghệ của Hạ viện, người của đảng Cộng hòa Bart Gordon D-Tenn, đã nói trong một tuyên bố sáng sớm hôm thứ năm mà ông lên kế hoạch “để tiếp tục bảo vệ cho những người chiếm hữu đối với những đề xuất trong nội dung thỏa hiệp mà chúng ta đã đưa ra vào tuần trước”.

Một nhân viên của GOP của Thượng viện nói các đảng viên cộng hòa ủng hộ đề xuất về điện toán đám mây của ủy ban Hạ viện, nhưng đã lưu ý nó đã không nổi lên cho tới sau khi Thượng viện đã hành động. Các nghị sỹ đảng Cộng hòa có thể mở để làm việc với những người chiếm hữu để ban hành nội dung một cách riêng rẽ, nhân viên này nói. Một trợ lý nói các nghị sỹ đảng Dân chủ ở Thượng viện mong muốn làm việc với những người chiếm hữu về vấn đề này.

The authorization bill orders the NASA chief information officer to create an information security awareness and education program for all employees and contractors who use agency computers.

A House committee proposal aimed at decreasing the risks of cloud computing did not make it into the bill, but senators on both sides of the aisle said they would be willing to pass the provision in a separate NASA spending bill. Cloud computing, a private sector practice that is gaining popularity in the government, allows agencies to access hardware and applications on-demand and online through a third-party provider, instead of maintaining server farms and paying for software licenses.

The House Science and Technology Committee agreed to a bill (H.R. 5781) that called for NASA to inform lawmakers of any instances when classified or sensitive information is exchanged in the cloud, as well as any measures taken to ensure the data was protected.

But the language was not in the Senate's version of the bill, and the House ended up voting on the Senate version instead of a bipartisan compromise bill the Science and Technology Committee proposed last week. The compromise bill included the cloud item, as well as surveillance and training requirements similar to those in the Senate's version.

House Science and Technology Chairman Rep. Bart Gordon, D-Tenn., said in a statement early Thursday morning that he plans "to continue to advocate to the appropriators for the provisions in the compromise language we released last week."

A Senate GOP staffer said Republicans support the House committee's cloud computing provision, but noted it didn't come up until after the Senate already had acted. Republican senators would be open to working with appropriators to enact the language separately, the staffer added. An aide said Senate Democrats look forward to working with appropriators on the issue.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com