চার্লস আইটি প্রতিষ্ঠাতা, ফস্টার চার্লস, CMMC 2.0 তে DoD নিয়ম তৈরির মধ্যে কথা বলে

প্লেটো দ্বারা প্রকাশিত

অনুসরণকারী: 0

আমরা ট্র্যাক করা 13 টির মধ্যে নয়টি বীমা ক্যারিয়ার আপনার MFA না থাকলে একটি নীতি লিখবে না। CMMC 2.0-এর সাথে একই - এবং আপনার কাছে MFA, অ্যান্টিভাইরাস এবং নিরাপত্তা সচেতনতা প্রশিক্ষণের মতো মৌলিক বিষয়গুলি না থাকলে অ্যাকশন এবং মাইলস্টোনস (POA&M) একটি পরিকল্পনা গ্রহণ করা হবে না। - ফস্টার চার্লস, প্রতিষ্ঠাতা ও সিইও, চার্লস আইটি

মিডলটাউন, কন. (PRWEB) মার্চ 27, 2023

ডিপার্টমেন্ট অফ ডিফেন্স (DoD) নতুন সাইবার সিকিউরিটি ম্যাচিউরিটি মডেল সার্টিফিকেশন ঘোষণা করেছে, CMMC 2.0, 2021 সালের নভেম্বরে। মূল CMMC 1.0 মডেলটি ঠিকাদারদের জন্য খুব কষ্টকর এবং বিভ্রান্তিকর ছিল তা নির্ধারণ করার পরে পরিবর্তনটি এসেছে। অভিপ্রায়, যাইহোক, একই রয়ে গেছে: প্রতিরক্ষা শিল্প ঘাঁটি (DIB) ঠিকাদারদের সংবেদনশীল তথ্য, নিয়ন্ত্রিত অশ্রেণীবদ্ধ তথ্য (CUI) এবং ফেডারেল চুক্তি তথ্য (FCI) সহ সংবেদনশীল তথ্য রক্ষা করার জন্য উপযুক্ত ব্যবস্থা এবং পদ্ধতি রয়েছে তা নিশ্চিত করা।

যা বোঝা গুরুত্বপূর্ণ তা হল CMMC 2.0 আসলে নতুন কিছু নয়। প্রয়োজনীয়তাগুলি ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (NIST) SP 800-171-এর উপর ভিত্তি করে এবং ডিফেন্স ফেডারেল অ্যাকুইজিশন রেগুলেশন সাপ্লিমেন্ট (DFARS) এর সাথে সরাসরি সংযুক্ত, যা কিছু সময়ের জন্য প্রয়োজন।

আইটি সুরক্ষার জন্য আপনি কতটা কঠোরভাবে এই সেরা অনুশীলনগুলি বাস্তবায়ন করছেন তা গুরুত্বপূর্ণ, কারণ নতুন প্রবিধানগুলি 2023 সালে দৃঢ়ভাবে প্রয়োগ করা হবে৷ সফল হতে, ঠিকাদারদের অবশ্যই তাদের সম্মতির পদ্ধতি পরিবর্তন করতে হবে বা লাভজনক চুক্তিতে হারানোর ঝুঁকি বা মোটা জরিমানা গুনতে হবে৷

CMMC 2.0-এ উচ্চ-স্তরের পরিবর্তন

CMMC 1.0 ফেডারেল সরকারের জন্য একটি একক কমপ্লায়েন্স স্ট্যান্ডার্ডে বিভিন্ন নিরাপত্তা প্রয়োজনীয়তা একত্রিত করার লক্ষ্যে। যদিও উদ্দেশ্য ভাল ছিল, নিয়মগুলি খুব জটিল ছিল। CMMC 2.0 হল CMMC 1.0-এর একটি সরলীকরণ — যা DIB ঠিকাদারদের জন্য ফেডারেল প্রতিরক্ষা নিরাপত্তা উন্নত করার জন্য সম্মতি অর্জন করা আরও সহজ করে তোলে।

প্রথম স্তরের জন্য NIST-এর সাইবারসিকিউরিটি ফ্রেমওয়ার্ক (CSF)-এর মতো 17টি সেরা অনুশীলনের একটি স্ব-মূল্যায়ন প্রয়োজন৷ NIST SP 800-171-এর সাথে লেভেল দুই সারিবদ্ধ করে এবং একটি CMMC থার্ড পার্টি অ্যাসেসমেন্ট অর্গানাইজেশন (C3PAO) থেকে সার্টিফিকেশন প্রয়োজন। সবশেষে, DIB ঠিকাদার যারা টপ-সিক্রেট তথ্য পরিচালনা করে তাদের অবশ্যই NIST 800-172 এর উপর ভিত্তি করে লেভেল থ্রি সম্মতি অর্জন করতে হবে।

CMMC 2.0 এনআইএসটি এসপি 800-171-এ অন্তর্ভুক্ত নয় এমন প্রয়োজনীয়তাগুলি সরিয়ে দেয় যাতে সম্মতি অর্জন এবং প্রয়োগ করা আরও বাস্তবসম্মত হয়। এটি DIB সাব-কন্ট্রাক্টরকেও কভার করে যাতে পুরো সাপ্লাই চেইন জুড়ে নিরাপত্তা নিশ্চিত করা যায় কারণ আরও দূষিত অভিনেতারা ছোট কোম্পানিগুলোকে টার্গেট করে যারা ইন্ডাস্ট্রির জায়ান্টদের সাথে চুক্তি করে (যেমন, লকহিড মার্টিন)। “হ্যাকাররা একজন সরবরাহকারীর কাছ থেকে মাত্র এক টুকরো CUI পেতে পারে। কিন্তু যদি তারা তাদের একগুচ্ছ একত্রে স্তূপাকার করে, তবে তারা একটি সম্পূর্ণ ছবি পেতে পারে — এভাবেই গোপনীয়তা ফাঁস হয়। CMMC 2.0 রাষ্ট্রীয় গোপনীয়তা সুরক্ষিত করার বিষয়ে," চার্লস বলেছেন।

সাইবার যুদ্ধ সর্বশেষ উদ্বেগ, এবং ভাল কারণে. উদাহরণস্বরূপ, হুমকি অভিনেতারা অবকাঠামোর উপর সাইবার আক্রমণ চালাতে পারে (যেমন, ঔপনিবেশিক পাইপলাইন আক্রমণ), তারপর বর্ধিত ডাউনটাইমের সুযোগ নিয়ে আরও বিধ্বংসী শারীরিক আক্রমণ শুরু করতে পারে — যা পুরো জাতিকে থামিয়ে দিতে পারে।

এই পরিবর্তনগুলির মূল টেকঅ্যাওয়ে কী এবং আপনার প্রক্রিয়াগুলি আপডেট করার সময় আপনার কী জানা দরকার?

CMMC 2.0 এর একটি মূল উদ্দেশ্য হল স্বচ্ছতা আনা এবং জটিলতা দূর করা। উদাহরণস্বরূপ, স্তর দুই এবং তিন সম্মতির জন্য প্রতি তিন বছর পর পর তৃতীয় পক্ষের সার্টিফিকেশন প্রয়োজন (বার্ষিক মূল্যায়নের পরিবর্তে)।

অধিকন্তু, পদ্ধতিগুলি বোঝা সহজ, তাই আপনার ফোকাস আপনার নিরাপত্তা ভঙ্গি আপ টু ডেট পেতে হতে পারে।

কিভাবে CMMC 2.0 DIB ঠিকাদারদের উপকার করে

CMMC 2.0 ডেটা ফাঁস এবং গুপ্তচরবৃত্তি রোধ করতে CUI এর আরও ভাল সুরক্ষা সক্ষম করে। এটি জাতীয় নিরাপত্তাকে শক্তিশালী করে এবং সাপ্লাই চেইন বা রাষ্ট্র-স্পন্সর আক্রমণ থেকে রক্ষা করতে সাহায্য করে। যাইহোক, বুঝুন যে এটি ডিআইবি ঠিকাদারদের তাদের ক্রিয়াকলাপেও উপকৃত করে: “উৎপাদন শিল্প আইটি এবং নিরাপত্তার দিক থেকে অনেক পিছিয়ে। কোম্পানিগুলো এখনো অনেক প্রক্রিয়া ম্যানুয়ালি চালায়, যা খুবই অনিরাপদ। তাদের দুর্বল আইটি সুরক্ষা স্বাস্থ্যবিধি প্রায়শই ব্যয়বহুল র্যানসমওয়্যার এবং অন্যান্য আক্রমণের দিকে পরিচালিত করে। CMMC 2.0 এই ঠিকাদারদের ভাল ব্যবসার অভ্যাস স্থাপন করতে বাধ্য করে যা শেষ পর্যন্ত তাদের প্রতিষ্ঠানের জন্য ভাল," চার্লস বলেছেন।

আরেকটি প্রবিধানের চিন্তা ভীতিজনক হতে পারে। ভাল খবর হল যে CMMC 2.0-এর অর্ধেক ইতিমধ্যেই NIST SP 800-171-এ রয়েছে — সাইবার নিরাপত্তা অনুশীলনের বিশদ বিবরণ যা DIB ঠিকাদারদের ইতিমধ্যে অনুসরণ করা উচিত, যেমন, অ্যান্টিভাইরাস সফ্টওয়্যার ব্যবহার করা, মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) প্রয়োগ করা এবং সমস্ত CUI ম্যাপিং এবং লেবেল করা .

সমালোচনামূলকভাবে, কোম্পানিগুলি CMMC 2.0-তে বর্ণিত অনেকগুলি ব্যবস্থা বাস্তবায়ন না করে সাইবার নিরাপত্তা বীমা কভারেজও পেতে পারে না। “আমরা ট্র্যাক করা 13 টির মধ্যে নয়টি বীমা ক্যারিয়ার আপনার এমএফএ না থাকলে নীতি লিখবে না। CMMC 2.0-এর সাথে একই - এবং আপনার কাছে MFA, অ্যান্টিভাইরাস এবং নিরাপত্তা সচেতনতা প্রশিক্ষণের মতো মৌলিক বিষয় না থাকলে অ্যাকশন অ্যান্ড মাইলস্টোনস (POA&M) গৃহীত হবে না,” চার্লস বলেছেন।

CMMC 2.0 সমগ্র প্রতিরক্ষা শিল্পের জন্য প্রযুক্তির দৃষ্টিকোণ থেকে গতি পেতে একটি প্রয়োজনীয় পদক্ষেপ।

কেন আপনার দৃষ্টিভঙ্গি পরিবর্তন চাবিকাঠি

উল্লিখিত হিসাবে, CMMC 2.0 সম্পর্কে সবচেয়ে সাধারণ ভুল ধারণা হল যে এটি একটি নতুন কমপ্লায়েন্স স্ট্যান্ডার্ড যখন বাস্তবে তা নয়।

অন্যান্য গুরুত্বপূর্ণ ভুল ধারণা হল যে অনেক ঠিকাদাররা ধরে নেয় যে তারা পদক্ষেপ নেওয়ার আগে CMMC 2.0 রুল অনুমোদন না হওয়া পর্যন্ত অপেক্ষা করতে পারে। অনেক ঠিকাদার তাদের নিরাপত্তা ভঙ্গি মূল্যায়ন করতে, প্রতিকারমূলক পদক্ষেপগুলি বাস্তবায়ন করতে এবং তাদের তৃতীয় পক্ষের মূল্যায়ন পেতে কতটা সময় লাগবে তা অবমূল্যায়ন করে। কেউ কেউ ভুল ধারণা করে যে তাদের সিস্টেম এবং প্রক্রিয়াগুলি কতটা প্রযুক্তিগতভাবে পিছনে রয়েছে এবং সম্মতি অর্জনের জন্য প্রয়োজনীয় বিনিয়োগ। এটি মনে রাখাও অপরিহার্য যে এই মানগুলি পূরণ করার জন্য বিক্রেতাদের সাথে সমন্বয় প্রয়োজন, যা সম্পূর্ণ হতে সময় লাগতে পারে। “অনেক ঠিকাদার তাদের সরবরাহ শৃঙ্খলের জটিলতা এবং তারা যে তৃতীয় পক্ষের বিক্রেতারা ব্যবহার করে তাদের সংখ্যা উপেক্ষা করে। উদাহরণস্বরূপ, আপনি আবিষ্কার করতে পারেন যে কিছু সরবরাহকারী এখনও উইন্ডোজ 7 ব্যবহার করে এবং আপগ্রেড করতে অস্বীকার করে। তাই আপনার বিক্রেতারা অনুগত না হলে আপনি নিজেকে একটি আচারের মধ্যে খুঁজে পেতে পারেন, এবং তাদের প্রযুক্তি আপগ্রেড করার জন্য আপনাকে অপেক্ষা করতে হবে,” চার্লস বলেছেন।

ক্লাউড সম্মতির সাথেও সমস্যা রয়েছে, চার্লস উল্লেখ করেছেন। অনেক ঠিকাদাররাও বুঝতে পারে না যে তারা কোনো ক্লাউডে CUI প্রক্রিয়া করতে পারে না — আপনার প্ল্যাটফর্মটি অবশ্যই ফেড্রাম্প মাঝারি বা ফেড্রাম্প হাই ক্লাউডে বসতে হবে। উদাহরণস্বরূপ, Office 365-এর পরিবর্তে, আপনাকে অবশ্যই Microsoft 365 Government Community Cloud High (GCC High) ব্যবহার করতে হবে।

CMMC 2.0-এর জন্য কীভাবে প্রস্তুতি নেবেন

আপনি যদি ইতিমধ্যে না থাকেন তবে যত তাড়াতাড়ি সম্ভব প্রস্তুতি শুরু করুন এবং প্রক্রিয়াটি এক বা দুই বছর লাগবে বলে আশা করুন। CMMC 2.0 সম্ভবত 2023 সালে কার্যকর হবে, এবং এটি হওয়ার সাথে সাথে এটি 60 দিনের মধ্যে সমস্ত চুক্তিতে উপস্থিত হবে। শেষ মুহূর্ত পর্যন্ত অপেক্ষা করার সামর্থ্য নেই।

অন্য কথায়, ঠিকাদাররা জরুরিতার অনুভূতি থেকে উপকৃত হবে। "একবারে সম্মতি অর্জন করা একটি সংস্থা এবং এর দৈনন্দিন ব্যবসায়িক প্রক্রিয়াগুলির জন্য একটি বড় ধাক্কা হতে পারে৷ আমি একটি মূল্যায়ন পরিচালনা করার এবং বহু-বছরের রোডম্যাপ ডিজাইন করার পরামর্শ দিই,” চার্লস বলেছেন। এই পরিকল্পনার প্রশ্নের উত্তর দেওয়া উচিত যেমন: আপনার কোন মেশিন/হার্ডওয়্যার প্রতিস্থাপন করতে হবে? কোন তৃতীয় পক্ষের বিক্রেতাদের আপগ্রেড প্রয়োজন? তাদের কি আগামী তিন বছরে তা করার পরিকল্পনা আছে?

একটি সিস্টেম নিরাপত্তা পরিকল্পনা (SSP) জমা দেওয়া CMMC 2.0 সম্মতির জন্য অপরিহার্য। এসএসপিও একটি অপরিহার্য দলিল যা ক পরিচালিত পরিষেবা প্রদানকারী (MSP) সম্মতি সঙ্গে আপনার কোম্পানি সাহায্য করতে ব্যবহার করতে পারেন. স্কোরশীটটি CMMC-এর নিরাপত্তা প্রয়োজনীয়তার রূপরেখা দেয় এবং আপনার প্রয়োজনীয় আপগ্রেডগুলির একটি ওভারভিউ পেতে সাহায্য করে। "প্রথম জিনিসটি আমি সাধারণত জিজ্ঞাসা করি, 'আপনি কি আপনার এসএসপি স্কোর জানেন?'," চার্লস বলেছেন। অন্যান্য কোম্পানী যতদূর বরাবর নাও হতে পারে. সেক্ষেত্রে, চার্লস আইটি আমাদের ক্লায়েন্টদের জন্য একটি SSP এবং কর্ম পরিকল্পনা এবং মাইলফলক (POA&M) লেখার প্রথম পদক্ষেপ হিসাবে একটি ফাঁক বা ঝুঁকি মূল্যায়ন পরিচালনা করতে পারে। “আমরা এটা কল একটি ফাঁক মূল্যায়ন. আমাদের জানতে হবে জল কতটা গভীর, এবং তারপরে আমরা এটি চিহ্নিত করব এবং তাদের একটি এসএসপি লিখতে সাহায্য করব,” চার্লস পরামর্শ দেন।

আপনার যদি তুলনামূলকভাবে পরিপক্ক নিরাপত্তা ভঙ্গি থাকে এবং সর্বশেষ সাইবার নিরাপত্তার সর্বোত্তম অনুশীলনগুলি অনুসরণ করেন, তাহলে CMMC 2.0 সম্মতি অর্জন করতে প্রায় ছয় থেকে নয় মাস সময় লাগবে। যদি না হয়, আপনি একটি 18-মাসের টাইমলাইন খুঁজছেন হতে পারে. আবার, একটি চুক্তি টেবিলে না হওয়া পর্যন্ত অপেক্ষা করবেন না — ব্যবসা হারানো এড়াতে এখনই শুরু করুন।