CMMC verduidelik: die uitpak van die Amerikaanse verdedigingsgemeenskap se nuwe kuberveiligheidsdoelwitte
INHOUDSOPGAWE:
Kuberveiligheid het 'n kritieke bekommernis in die verdedigingsbedryf geword, met toenemende bedreigings wat sensitiewe inligting en kritieke infrastruktuur teiken. Dis waar die Cybersecurity Maturity Model Sertifisering (CMMC) inkom. Dit is 'n raamwerk vir verdedigingskontrakteurs om kuberveiligheidsmaatreëls te implementeer, wat hulself en die Amerikaanse departement van verdediging se voorsieningsketting beskerm. Maar hoe werk dit, en hoe voldoen jy daaraan?
Die CMMC-raamwerk is eers in Junie 2019 aangekondig en is ambisieus. In 2020 het die DoD weergawe 1 van die raamwerk vrygestel, en 'n presidensiële tussentydse reël het 'n vyfjaar-infaseringstydperk vir verdedigingskontrakteurs ingestel om nakoming te verkry.
Voldoening behels die navigasie van 'n matriksstyl-raamwerk wat rondom 17 kuberveiligheidsdomeine gestruktureer is wat oorspronklik vyf volwassenheidsvlakke gestrek het. Die domeine sluit elk 'n wye reeks sekuriteitspraktyke in, wat wissel van toegangsbeheer en batebestuur deur identifikasie en verifikasie en insidentreaksie tot stelsel- en inligtingintegriteit. Die raamwerk gee besonderhede oor spesifieke praktyke in elke domein wat ooreenstem met sertifisering op elke volwassenheidsvlak.
Elkeen van die raamwerk se volwassenheidsvlakke bou voort op die een daaronder, wat 'n pad skep vir verdedigingskontrakteurs om hul kuberveiligheidspraktyke volwasse te maak.
Hersienings aan die raamwerk
Soos u kan verwag, aangesien hulle albei van die federale regering kom, is CMMC nou verwant aan 'n ander sekuriteitstandaard: die NIST SP 800-171-standaard vir die beskerming van beheerde ongeklassifiseerde inligting (CUI) in nie-federale stelsels en organisasies. Federal Acquisition Regulation (FAR) en Defence Federal Acquisition Regulation Supplement (DFARS) reëls (wat bepaal wat federale en verdedigingskontrakteurs moet doen voordat hulle met die federale regering kan werk) dikteer voldoening aan NIST SP 800-171.
Een sleutelvoordeel van die oorspronklike CMMC bo NIST SP 800-171 was dat terwyl laasgenoemde staatmaak op self-attestering vir voldoening, CMMC 1.0 derdeparty-assesserings opdrag gegee het om implementering te verifieer. In Maart 2021 het die DoD egter 'n interne hersiening van CMMC aangekondig, wat gelei het tot 'n bygewerkte weergawe, CMMC 2.0, daardie November. Hierdie hersiening was 'n reaksie op industrie terugvoer wat gevra het vir 'n verlaagde nakomingskoste (veral vir klein besighede), tesame met beter belyning met ander standaarde.
CMMC 2.0 het die aantal volwassenheidsvlakke tot drie verminder (Foundational, Advanced en Expert). Dit het ook koste verlaag deur selfevaluerings vir die Grondslagvlak en sekere vereistes van Gevorderd in te stel. Ander veranderinge wat ontwerp is om die impak op besighede te versag, sluit in bepalings vir kwytskeldings, saam met planne van aksie en mylpale (POA&M'e). Kwytskelding laat maatskappye toe om tydelike vrystellings van CMMC in spesifieke omstandighede te vra, terwyl POA&M's hulle in staat stel om doelwitte met tydlyne te stel om voldoeningsgapings te oorbrug.
In die vaartbelynde CMMC 2.0 skop NIST SP 800-171-vereistes op vlak twee in, terwyl vlak drie sommige SP 800-172-vereistes insluit.
Hoe kan jy aan CMMC voldoen?
Op die oomblik is voldoening aan CMMC 2.0 nie 'n kontraktuele vereiste nie, want die maak van reëls vir daardie opdatering moet nog voltooi word. Dit sal na verwagting tot twee jaar duur. Die DoD het sy voorgestelde reël vir CMMC in Desember 2023 gepubliseer, met 'n konsultasietydperk van 60 dae. Die reël sal op 1 Oktober 2026 in werking tree, so dit is slim om nou te begin.
Begin deur die CMMC-vlak te definieer waarvoor jy skiet. Dit dek verskillende soorte inligting. Die Grondslagvlak dek Federale Kontrakinligting (FCI). Advanced is vir organisasies wat daarop gemik is om CUI, beheerde verdediging, beheerde tegniese inligting of uitvoerbeheerde data te hanteer. Deskundige sertifisering laat jou toe om kritieke, beheerde, ongeklassifiseerde inligting te dra en is ook van toepassing op diegene wat aan sensitiewe projekte in lugvaart- of militêre domeine werk.
Jou vlak sal die vereistes bepaal waaraan jy moet voldoen. Grondslag sertifisering vereis voldoening aan die vereistes wat in die FAR 52.204-21 (17 CMMC Practices) reël. Om gevorderde status te bereik, sal jy aan al 110 sekuriteitskontroles van NIST 800-171 moet voldoen, terwyl Expert-sertifisering ook voldoening aan 'n subset van NIST 800-SP 172 vereistes sal vereis. Hierdie standaard bevat verbeterde vereistes vir die beskerming van CUI, insluitend versagtingsmaatreëls teen gevorderde aanhoudende bedreigings.
Identifiseer die bates wat deur CMMC gedek word en voer 'n gapingsanalise uit om te sien waar jy tans tekort skiet aan die sertifisering wat jy nodig het. Kies 'n bestuurde diensverskaffer om jou te help met jou sekuriteitsopgraderingvereistes waar nodig. Jy moet ook 'n CMMC-assessering voltooi, wat derdeparty-evaluering kan beteken, afhangende van jou gekose volwassenheidsvlak.
Baie om nou aan te werk
Terwyl ons wag vir die CMMC-sperdatum om aan te kom, is daar meer dringende voldoeningsvereistes. Die DoD het Verdediging Federal Acquisition Regulation Supplement geskep
(DFARS) klousule 252.204-7012, 'n onlangse reël wat kuberveiligheidsmaatreëls vir federale verdedigingskontrakteurs vereis. Kragtens daardie reël, wat nou van krag is, moet kontrakteurs aan al 110 sekuriteitsvereistes van NIST SP 800-171 voldoen.
Verder uit, verwag meer CMMC-ontwikkelings noudat NIST die derde hersiening van NIST SP 800-71 gepubliseer het. Dit het oënskynlik minder vereistes as v2, maar hierdie vereistes is baie belangriker, wat meer verifikasievrae en meer werk vereis. Alhoewel CMMC 2.0 nie NIST SP 800-71 v3-voldoening insluit nie, verwag dit in die toekoms.
Jy kan bestaande werk wat jy op ISO 27001 gedoen het gebruik om met hierdie voorbereidings te help. Alhoewel dit 'n aparte standaard van CMMC is, is daar 'n mate van oorvleueling. Omdat CMMC sterk op NIST SP 800-71 gebaseer is, kan jy die ISO 27001-kartering in NIST SP 800-71 Bylaag D gebruik om jou 'n voorsprong te gee oor CMMC-voldoening.
