Charles IT asutaja, Foster Charles, räägib CMMC 2.0-st DoD reeglite tegemisel

Taasavaldanud Platon

järgijaid: 0

Üheksa 13-st jälgitavast kindlustusandjast ei kirjuta poliisi välja, kui teil pole MFA-d. Sama CMMC 2.0 puhul – tegevuskava ja vahe-eesmärke (POA&M) ei aktsepteerita, kui teil pole põhitõdesid, nagu MFA, viirusetõrje ja turvateadlikkuse koolitus. – Foster Charles, Charles IT asutaja ja tegevjuht

MIDDLETOWN, Ühendkuningriik (PRWEB) Märtsil 27, 2023

Kaitseministeerium (DoD) teatas uuest küberturvalisuse küpsuse mudeli sertifikaadist, CMMC 2.0, novembris 2021. Muudatus tuli pärast seda, kui leiti, et algne CMMC 1.0 mudel oli töövõtjate jaoks liiga tülikas ja segadust tekitav. Eesmärk jääb aga samaks: tagada, et kaitsetööstusbaasi (DIB) töövõtjatel on asjakohased meetmed ja protseduurid tundliku teabe, sealhulgas kontrollitud salastamata teabe (CUI) ja föderaallepinguteabe (FCI) kaitsmiseks.

Oluline on mõista, et CMMC 2.0 pole tegelikult midagi uut. Nõuded põhinevad riiklikul standardi- ja tehnoloogiainstituudil (NIST) SP 800-171 ja on otseselt kooskõlas kaitseministeeriumi föderaalse omandamise määruse lisaga (DFARS), mida on juba mõnda aega nõutud.

Oluline on see, kui rangelt te neid parimaid IT-turvalisuse tavasid rakendate, kuna uued eeskirjad jõustatakse kindlalt 2023. aastal. Edu saavutamiseks peavad töövõtjad muutma oma lähenemist nõuetele vastavusele või riskima tulusate lepingute kaotamisega või kopsakate trahvidega.

Kõrgetasemelised muudatused CMMC 2.0-s

CMMC 1.0 eesmärk oli koondada erinevad turvanõuded ühtseks föderaalvalitsuse vastavusstandardiks. Kuigi kavatsus oli hea, olid reeglid väga keerulised. CMMC 2.0 on CMMC 1.0 lihtsus, mis muudab DIB töövõtjate jaoks föderaalse kaitse turvalisuse parandamiseks nõuete täitmise palju lihtsamaks.

Esimene tase nõuab 17 parima tava enesehinnangut, mis on sarnased NISTi küberturvalisuse raamistikuga (CSF). Teine tase ühtib NIST SP 800-171-ga ja nõuab CMMC kolmanda osapoole hindamisorganisatsiooni (C3PAO) sertifikaati. Lõpuks peavad ülisalajast teavet töötlevad DIB-i töövõtjad saavutama kolmanda taseme vastavuse NIST 800-172 alusel.

CMMC 2.0 eemaldab nõuded, mida NIST SP 800-171 ei sisalda, et muuta nõuetele vastavuse saavutamine ja jõustamine praktilisemaks. See hõlmab ka DIB alltöövõtjaid, et tagada turvalisus kogu tarneahelas, kuna pahatahtlikumad osalejad sihivad väiksemaid ettevõtteid, kes sõlmivad lepinguid tööstushiiglastega (nt Lockheed Martin). "Häkkerid võivad ühelt tarnijalt saada ainult ühe CUI-i. Aga kui nad hunniku neid kokku laduda, saavad nad üsna tervikliku pildi — nii lekib saladusi. CMMC 2.0 eesmärk on riigisaladuse kaitsmine, ”ütleb Charles.

Kübersõda on viimane probleem ja seda mõjuvatel põhjustel. Näiteks võivad ohus osalejad käivitada küberrünnaku infrastruktuuri vastu (nt koloniaaljuhtme rünnak), seejärel kasutada pikemat seisakuaega hävitavama füüsilise rünnaku käivitamiseks, mis võib kogu rahva peatada.

Mis on nende muudatuste peamiseks tagajärjeks ja mida peate protsesside värskendamisel teadma?

CMMC 2.0 põhieesmärk on tuua selgust ja eemaldada keerukus. Näiteks nõuab see kolmanda osapoole sertifikaati iga kolme aasta järel (iga-aastase hindamise asemel) teise ja kolmanda taseme vastavuse jaoks.

Lisaks on protseduuridest lihtsam aru saada, nii et saate keskenduda oma turvahoiaku ajakohastamisele.

Kuidas CMMC 2.0 DIB-i töövõtjatele kasulik on?

CMMC 2.0 võimaldab CUI-d paremini kaitsta, et vältida andmelekete ja spionaaži. See tugevdab riiklikku julgeolekut ja aitab kaitsta tarneahela või riigi toetatud rünnakute eest. Kuid mõistke, et sellest on kasu ka DIB töövõtjatele nende tegevuses: „Tootmistööstus on IT ja turvalisuse vallas väga kaugel. Ettevõtted käitavad endiselt paljusid protsesse käsitsi, mis on väga ebaturvaline. Nende halb IT-turvahügieen põhjustab sageli kulukaid lunavara ja muid rünnakuid. CMMC 2.0 sunnib neid töövõtjaid looma häid äriharjumusi, mis on lõppkokkuvõttes nende organisatsioonidele kasulikud, ”ütleb Charles.

Mõte järjekordsest määrusest võib olla hirmutav. Hea uudis on see, et pool CMMC 2.0-st on juba NIST SP 800-171-s – kirjeldatakse üksikasjalikult küberturvalisuse tavasid, mida DIB-i töövõtjad peaksid juba järgima, nt viirusetõrjetarkvara kasutamine, mitmefaktorilise autentimise (MFA) rakendamine ning kõigi CUI-de kaardistamine ja märgistamine. .

Kriitiline on see, et ettevõtted ei saa isegi küberturvalisuse kindlustuskaitset ilma paljusid CMMC 2.0-s kirjeldatud meetmeid rakendamata. „Üheksa 13-st meie jälgitavast kindlustusandjast ei kirjuta poliisi välja, kui teil pole MFA-d. Sama CMMC 2.0 puhul – tegevuskava ja vahe-eesmärke (POA&M) ei aktsepteerita, kui teil pole selliseid põhitõdesid nagu MFA, viirusetõrje ja turvateadlikkuse koolitus,” ütleb Charles.

CMMC 2.0 on vajalik samm edasi, et kogu kaitsetööstus saaks tehnoloogia vaatenurgast hoo sisse.

Miks on oma lähenemisviisi muutmine võtmetähtsusega

Nagu mainitud, on kõige levinum väärarusaam CMMC 2.0 kohta, et see on uus vastavusstandard, kuigi tegelikult see nii pole.

Teine oluline eksiarvamus on see, et paljud töövõtjad eeldavad, et võivad enne meetmete võtmist oodata, kuni CMMC 2.0 otsus kinnitatakse. Paljud töövõtjad alahindavad, kui palju aega kulub nende turvalisuse hindamiseks, parandusmeetmete rakendamiseks ja kolmanda osapoole hinnangu saamiseks. Mõned hindavad valesti ka seda, kui tehniliselt nende süsteemid ja protsessid taga on ning nõuetele vastavuse saavutamiseks vajalikud investeeringud. Samuti on oluline meeles pidada, et nende standardite täitmine nõuab müüjatega kooskõlastamist, mis võib võtta aega. „Paljud töövõtjad jätavad tähelepanuta oma tarneahela keerukuse ja nende kasutatavate kolmandatest osapooltest tarnijate arvu. Näiteks võite avastada, et mõned tarnijad kasutavad endiselt Windows 7 ja keelduvad uuendamast. Seega võite sattuda hapukurgi alla, kui teie müüjad ei järgi nõudeid, ja peate ootama, kuni nad oma tehnoloogiat uuendavad, ”ütleb Charles.

Samuti on probleeme pilve vastavusega, juhib Charles tähelepanu. Paljud töövõtjad ei saa ka aru, et nad ei saa CUI-d üheski pilves töödelda – teie platvorm peab asuma Fedrampi keskmisel või Fedrampi kõrgel pilvel. Näiteks peate Office 365 asemel kasutama Microsoft 365 Government Community Cloud High (GCC High).

Kuidas valmistuda CMMC 2.0 jaoks

Alustage ettevalmistusi niipea kui võimalik, kui te pole seda juba teinud, ja eeldage, et protsess võtab aasta või kaks. CMMC 2.0 jõustub tõenäoliselt 2023. aastal ja niipea, kui see jõustub, ilmub see 60 päeva jooksul kõikidele lepingutele. Te ei saa endale lubada viimase hetkeni oodata.

Teisisõnu, töövõtjad saavad kiireloomulisusest kasu. „Ühekordne nõuetele vastavuse saavutamine võib olla organisatsioonile ja selle igapäevastele äriprotsessidele suur šokk. Soovitan läbi viia hindamine ja koostada mitmeaastane tegevuskava, ”ütleb Charles. See plaan peaks vastama järgmistele küsimustele: Milliseid masinaid/riistvara peate välja vahetama? Millised kolmandatest osapooltest müüjad vajavad versiooniuuendusi? Kas nad kavatsevad seda järgmise kolme aasta jooksul teha?

Süsteemi turvaplaani (SSP) esitamine on CMMC 2.0 vastavuse tagamiseks hädavajalik. SSP on ka oluline dokument, mida a hallatud teenusepakkuja (MSP) saab kasutada teie ettevõtte abistamiseks nõuete täitmisel. Tulemustabel kirjeldab CMMC turvanõudeid ja aitab teil saada ülevaate vajalikest uuendustest. "Esimene asi, mida ma tavaliselt küsin, on "kas sa tead oma SSP skoori?"," ütleb Charles. Teised ettevõtted ei pruugi nii kaugel olla. Sel juhul saab Charles IT oma klientide jaoks läbi viia lünkade või riskide hindamise esimese sammuna SSP ning tegevusplaani ja vahe-eesmärkide (POA&M) kirjutamisel. "Me kutsume seda lünkade hindamine. Peame teadma, kui sügav vesi on, ja siis teeme selle täpselt kindlaks ja aitame neil SSP-d koostada,“ annab Charles nõu.

Kui teil on suhteliselt küps turbeasend ja järgite uusimaid küberturvalisuse parimaid tavasid, peaks CMMC 2.0 nõuetele vastavuse saavutamine võtma umbes kuus kuni üheksa kuud. Kui ei, siis võiksite vaadata 18-kuulist ajakava. Jällegi, ärge oodake, kuni leping on käes – alustage kohe, et vältida ettevõtete kaotamist.