CMMC forklaret: Udpakning af det amerikanske forsvarssamfunds nye mål for cybersikkerhed
Indholdsfortegnelse:
Cybersikkerhed er blevet et kritisk problem i forsvarsindustrien, med stigende trusler rettet mod følsom information og kritisk infrastruktur. Det er her, Cybersecurity Maturity Model Certification (CMMC) kommer ind i billedet. Det er en ramme for forsvarsentreprenører til at implementere cybersikkerhedsforanstaltninger, der beskytter sig selv og det amerikanske forsvarsministeriums forsyningskæde. Men hvordan fungerer det, og hvordan overholder man det?
Først annonceret i juni 2019 er CMMC-rammen ambitiøs. I 2020 frigav DoD version 1 af rammen, og en præsidentiel midlertidig regel fastsatte en femårig indfasningsperiode for forsvarsentreprenører for at opnå overholdelse.
Compliance involverer at navigere i en matrix-lignende ramme struktureret omkring 17 cybersikkerhedsdomæner, der oprindeligt spændte over fem modenhedsniveauer. Domænerne omfatter hver især en bred vifte af sikkerhedspraksis, lige fra adgangskontrol og aktivstyring via identifikation og autentificering og hændelsesrespons til system- og informationsintegritet. Rammen beskriver specifik praksis i hvert domæne svarende til certificering på hvert modenhedsniveau.
Hvert af rammeværkets modenhedsniveauer bygger på det, der er under det, og skaber en vej for forsvarsentreprenører til at modne deres cybersikkerhedspraksis.
Revisioner af rammen
Som du kunne forvente, da de begge kommer fra den føderale regering, er CMMC tæt knyttet til en anden sikkerhedsstandard: NIST SP 800-171-standarden til beskyttelse af kontrolleret uklassificeret information (CUI) i ikke-føderale systemer og organisationer. Federal Acquisition Regulation (FAR) og Defense Federal Acquisition Regulation Supplement (DFARS) regler (som dikterer, hvad føderale og forsvarsentreprenører skal gøre, før de kan arbejde med den føderale regering) dikterer overholdelse af NIST SP 800-171.
En vigtig fordel ved den originale CMMC i forhold til NIST SP 800-171 var, at mens sidstnævnte er afhængig af selvattestering for overholdelse, pålagde CMMC 1.0 tredjepartsvurderinger til at verificere implementeringen. Men i marts 2021 annoncerede DoD en intern gennemgang af CMMC, hvilket resulterede i en opdateret version, CMMC 2.0, den november. Denne revision var et svar på industriens feedback, der bad om reducerede overholdelsesomkostninger (især for små virksomheder) sammen med bedre tilpasning til andre standarder.
CMMC 2.0 reducerede antallet af modenhedsniveauer til tre (Foundational, Advanced og Expert). Det sænkede også omkostningerne ved at indføre selvevalueringer for det grundlæggende niveau og nogle krav fra Advanced. Andre ændringer designet til at mildne virkningen på virksomheder omfattede bestemmelser om dispensationer sammen med handlingsplaner og milepæle (POA&M'er). Dispensationer giver virksomheder mulighed for at anmode om midlertidige undtagelser fra CMMC under specifikke omstændigheder, mens POA&M'er lader dem sætte mål med tidsfrister for at bygge bro over overholdelseshuller.
I den strømlinede CMMC 2.0 starter NIST SP 800-171-kravene på niveau to, mens niveau tre inkluderer nogle SP 800-172-krav.
Hvordan kan du overholde CMMC?
Lige nu er overholdelse af CMMC 2.0 ikke et kontraktmæssigt krav, fordi regeludformningen for den opdatering stadig skal fuldføres. Det forventes at tage op til to år. DoD offentliggjorde sin foreslåede regel for CMMC i december 2023 med en 60-dages høringsperiode. Reglen træder i kraft den 1. oktober 2026, så det er smart at starte nu.
Begynd med at definere det CMMC-niveau, du skyder efter. Disse dækker over forskellige former for information. Det grundlæggende niveau dækker Federal Contract Information (FCI). Advanced er for organisationer, der sigter mod at håndtere CUI, kontrolleret forsvar, kontrolleret teknisk information eller eksportkontrollerede data. Ekspertcertificering giver dig mulighed for at medbringe kritiske, kontrollerede, uklassificerede oplysninger og gælder også for dem, der arbejder på følsomme projekter i rumfarts- eller militærdomæner.
Dit niveau afgør, hvilke krav du skal opfylde. Grundlæggende certificering kræver overholdelse af kravene i FAR 52.204-21 (17 CMMC Practices)-reglen. For at opnå avanceret status skal du opfylde alle 110 sikkerhedskontroller fra NIST 800-171, mens ekspertcertificering også kræver overholdelse af et undersæt af NIST 800-SP 172-krav. Denne standard indeholder forbedrede krav til beskyttelse af CUI, herunder afbødende foranstaltninger mod avancerede vedvarende trusler.
Identificer de aktiver, der er omfattet af CMMC, og udfør en hulanalyse for at se, hvor du i øjeblikket mangler den certificering, du har brug for. Vælg en administreret tjenesteudbyder til at hjælpe dig med dine sikkerhedsopgraderingskrav, hvor det er nødvendigt. Du skal også gennemføre en CMMC-vurdering, hvilket kan betyde tredjepartsevaluering afhængigt af dit valgte modenhedsniveau.
Masser at arbejde på lige nu
Mens vi venter på, at CMMC-deadline ankommer, er der mere presserende overholdelseskrav. DoD har oprettet Defence Federal Acquisition Regulation Supplement
(DFARS) klausul 252.204-7012, en nylig regel, der påbyder cybersikkerhedsforanstaltninger for føderale forsvarsentreprenører. I henhold til denne regel, som er i kraft nu, skal entreprenører overholde alle 110 sikkerhedskrav fra NIST SP 800-171.
Længere ude, forvent mere CMMC-udvikling nu, hvor NIST har offentliggjort den tredje revision af NIST SP 800-71. Dette har tilsyneladende færre krav end v2, men disse krav er langt mere betydningsfulde og kræver flere verifikationsspørgsmål og mere arbejde. Selvom CMMC 2.0 ikke inkluderer NIST SP 800-71 v3-overensstemmelse, så forvent det i fremtiden.
Du kan bruge eksisterende arbejde, som du har udført på ISO 27001, til at hjælpe med disse forberedelser. Selvom det er en separat standard fra CMMC, er der en vis overlapning. Fordi CMMC er stærkt baseret på NIST SP 800-71, kan du bruge ISO 27001-kortlægningen i NIST SP 800-71 Appendiks D for at give dig et forspring med hensyn til CMMC-overholdelse.
