CMMC selitti: Yhdysvaltain puolustusyhteisön uusien kyberturvallisuustavoitteiden purkaminen
Sisällysluettelo:
Kyberturvallisuudesta on tullut kriittinen huolenaihe puolustusteollisuudessa, ja arkaluontoiseen tietoon ja kriittiseen infrastruktuuriin kohdistuvat uhat ovat lisääntyneet. Tässä tulee käyttöön Cybersecurity Maturity Model Certification (CMMC). Se on kehys, jonka avulla puolustusalan urakoitsijat voivat toteuttaa kyberturvallisuustoimenpiteitä ja suojella itseään ja Yhdysvaltain puolustusministeriön toimitusketjua. Mutta miten se toimii ja miten noudatat sitä?
Ensimmäisen kerran kesäkuussa 2019 julkistettu CMMC-kehys on kunnianhimoinen. Vuonna 2020 DoD julkaisi viitekehyksen version 1, ja presidentin väliaikainen sääntö asetti viiden vuoden vaiheittaisen vaiheen, jotta puolustusalan urakoitsijat voivat saavuttaa vaatimustenmukaisuuden.
Vaatimustenmukaisuus edellyttää navigointia matriisityylisessä kehyksessä, joka on rakentunut 17 kyberturvallisuusalueen ympärille, jotka alun perin kattoivat viisi ikätasoa. Kukin toimialue kattaa laajan valikoiman tietoturvakäytäntöjä, jotka vaihtelevat kulunvalvonnasta ja omaisuuden hallinnasta tunnistamiseen ja todentamiseen sekä tapauksiin reagoimiseen järjestelmän ja tiedon eheyteen. Viitekehyksessä kuvataan erityisiä käytäntöjä kullakin alalla, joka vastaa kunkin kypsyystason sertifiointia.
Kukin viitekehyksen kypsyysaste perustuu sen alla olevaan tasoon, mikä luo polun puolustusalan alihankkijoille kyberturvallisuuskäytäntöjensä kehittymiseen.
Revisions to Framework
Kuten arvata saattaa, koska ne molemmat tulevat liittovaltion hallitukselta, CMMC liittyy läheisesti toiseen tietoturvastandardiin: NIST SP 800-171 -standardiin valvotun luokittelemattoman tiedon (CUI) suojaamiseksi muissa kuin liittovaltion järjestelmissä ja organisaatioissa. Federal Acquisition Regulation (FAR) ja Defense Federal Acquisition Regulation Supplement (DFARS) -säännöt (jotka määräävät, mitä liittovaltion ja puolustusalan urakoitsijoiden on tehtävä ennen kuin he voivat työskennellä liittovaltion hallituksen kanssa) määräävät NIST SP 800-171:n noudattamisen.
Yksi alkuperäisen CMMC:n tärkeimmistä eduista NIST SP 800-171:een verrattuna oli, että kun jälkimmäinen luottaa vaatimustenmukaisuuden itsevarmistukseen, CMMC 1.0 valtuutti kolmannen osapuolen arvioinnit toteutuksen tarkistamiseksi. Maaliskuussa 2021 DoD ilmoitti kuitenkin CMMC:n sisäisestä katsauksesta, joka johti päivitettyyn versioon, CMMC 2.0, marraskuussa. Tämä tarkistus oli vastaus alan palautteeseen, jossa vaadittiin alentavia noudattamiskustannuksia (etenkin pienyrityksille) sekä parempaa yhdenmukaistamista muiden standardien kanssa.
CMMC 2.0 pienensi maturiteettitasojen lukumäärän kolmeen (Foundational, Advanced ja Expert). Se myös alensi kustannuksia ottamalla käyttöön perustason itsearvioinnit ja joitain Advanced-vaatimuksia. Muita muutoksia, joilla pyrittiin lieventämään vaikutuksia yrityksiin, sisältyivät säännökset luopumisesta sekä toimintasuunnitelmat ja virstanpylväät (POA&Ms). Poikkeukset antavat yrityksille mahdollisuuden pyytää väliaikaisia poikkeuksia CMMC:stä tietyissä olosuhteissa, kun taas POA&M:t antavat niille mahdollisuuden asettaa tavoitteita ja aikatauluja vaatimustenmukaisuuden puutteiden korjaamiseksi.
Virtaviivaistetussa CMMC 2.0:ssa NIST SP 800-171 -vaatimukset alkavat tasolta kaksi, kun taas taso kolme sisältää joitain SP 800-172 -vaatimuksia.
Kuinka voit noudattaa CMMC:tä?
Tällä hetkellä CMMC 2.0:n noudattaminen ei ole sopimusehto, koska päivityksen sääntöjen laatiminen on vielä saatettava päätökseen. Sen odotetaan kestävän jopa kaksi vuotta. DoD julkaisi ehdotuksensa CMMC:lle joulukuussa 2023 60 päivän neuvottelujaksolla. Sääntö tulee voimaan 1, joten kannattaa aloittaa nyt.
Aloita määrittelemällä kuvaamasi CMMC-taso. Nämä kattavat erilaisia tietoja. Perustaso kattaa liittovaltion sopimustiedot (FCI). Advanced on tarkoitettu organisaatioille, jotka pyrkivät käsittelemään CUI:ta, valvottua puolustusta, valvottua teknistä tietoa tai vientiohjattua dataa. Asiantuntijasertifioinnin avulla voit kuljettaa kriittistä, hallittua, luokittelematonta tietoa, ja se koskee myös arkaluonteisia projekteja ilmailu- tai sotilasalueilla.
Tasosi määrittää vaatimukset, jotka sinun on täytettävä. Perussertifiointi edellyttää FAR 52.204-21 (17 CMMC Practices) -säännön vaatimusten noudattamista. Edistyneen tilan saavuttamiseksi sinun on täytettävä kaikki 110 NIST 800-171 -turvallisuusvaatimusta, kun taas Expert-sertifiointi edellyttää myös NIST 800-SP 172 -vaatimusten osajoukon noudattamista. Tämä standardi sisältää parannettuja vaatimuksia CUI:n suojaamiseksi, mukaan lukien lieventävät toimenpiteet kehittyneitä pysyviä uhkia vastaan.
Tunnista CMMC:n kattamat omaisuuserät ja tee aukko-analyysi nähdäksesi, missä et tällä hetkellä täytä tarvitsemaasi sertifikaattia. Valitse hallittu palveluntarjoaja, joka auttaa sinua tietoturvapäivitysvaatimuksissasi tarvittaessa. Sinun on myös suoritettava CMMC-arviointi, mikä voi tarkoittaa kolmannen osapuolen arviointia valitsemastasi kypsyystasosta.
Paljon tehtävää juuri nyt
Odottaessamme CMMC:n määräajan saapumista, on olemassa pakottavampia noudattamisvaatimuksia. DoD on luonut Defense Federal Acquisition Regulation Supplementin
(DFARS) lauseke 252.204-7012, tuore sääntö, joka velvoittaa kyberturvallisuustoimenpiteitä liittovaltion puolustusalan alihankkijoille. Tämän nyt voimassa olevan säännön mukaan urakoitsijoiden on täytettävä kaikki 110 NIST SP 800-171 -turvavaatimusta.
Lisäksi voit odottaa lisää CMMC-kehitystä nyt, kun NIST on julkaissut NIST SP 800-71:n kolmannen version. Tällä näennäisesti on vähemmän vaatimuksia kuin v2:lla, mutta nämä vaatimukset ovat paljon tärkeämpiä ja vaativat enemmän varmistuskysymyksiä ja enemmän työtä. Vaikka CMMC 2.0 ei sisällä NIST SP 800-71 v3 -yhteensopivuutta, odota sitä tulevaisuudessa.
Voit käyttää valmiita ISO 27001 -työtä apuna näissä valmisteluissa. Vaikka se on erillinen standardi CMMC:stä, siinä on joitain päällekkäisyyksiä. Koska CMMC perustuu vahvasti NIST SP 800-71 -standardiin, voit käyttää ISO 27001 -kartoitusta NIST SP 800-71 -liitteessä D antaaksesi etumatkan CMMC-yhteensopivuuden suhteen.
