بنیانگذار چارلز IT، فاستر چارلز، گفتگوهای CMMC 2.0 در میان قوانین وزارت دفاع

از 13 شرکت بیمه که ما ردیابی می کنیم، 2.0 شرکت بیمه نامه ای نمی نویسند مگر اینکه MFA داشته باشید. مشابه با CMMC XNUMX - و اگر اصول اولیه مانند MFA، آنتی ویروس و آموزش آگاهی از امنیت را نداشته باشید، برنامه اقدام و نقاط عطف (POA&M) پذیرفته نخواهد شد. – فاستر چارلز، بنیانگذار و مدیر عامل، چارلز آی تی

Middletown, Conn. (PRWEB) مارس 27، 2023

وزارت دفاع (DoD) گواهینامه جدید مدل بلوغ امنیت سایبری را اعلام کرد. CMMC 2.0، در نوامبر 2021. این تغییر پس از آن رخ داد که مشخص شد مدل اصلی CMMC 1.0 برای پیمانکاران بسیار دست و پا گیر و گیج کننده است. با این حال، هدف یکسان است: اطمینان از اینکه پیمانکاران پایگاه صنعتی دفاعی (DIB) از اقدامات و رویه‌های مناسب برای محافظت از اطلاعات حساس، از جمله اطلاعات طبقه‌بندی نشده کنترل‌شده (CUI) و اطلاعات قرارداد فدرال (FCI) برخوردار هستند.

آنچه که درک آن مهم است این است که CMMC 2.0 در واقع چیز جدیدی نیست. الزامات بر اساس مؤسسه ملی استانداردها و فناوری (NIST) SP 800-171 است و مستقیماً با مکمل تنظیم مقررات اکتساب فدرال دفاع (DFARS) که مدتی است مورد نیاز بوده است، مطابقت دارد.

آنچه مهم است این است که شما چقدر این بهترین شیوه‌ها را برای امنیت فناوری اطلاعات اجرا می‌کنید، زیرا مقررات جدید در سال 2023 به طور محکم اجرا می‌شوند. برای موفقیت، پیمانکاران باید رویکرد خود را نسبت به انطباق تغییر دهند یا خطر از دست دادن قراردادهای پرسود یا جریمه‌های سنگین را متحمل شوند.

تغییرات سطح بالا در CMMC 2.0

هدف CMMC 1.0 تجمیع الزامات امنیتی مختلف در یک استاندارد انطباق واحد برای دولت فدرال بود. در حالی که نیت خوب بود، قوانین بسیار پیچیده بودند. CMMC 2.0 ساده‌سازی CMMC 1.0 است که دستیابی به انطباق را برای پیمانکاران DIB برای بهبود امنیت دفاعی فدرال بسیار آسان‌تر می‌کند.

سطح یک نیاز به ارزیابی خود از 17 روش برتر مشابه چارچوب امنیت سایبری NIST (CSF) دارد. سطح دو با NIST SP 800-171 مطابقت دارد و نیاز به گواهینامه از سازمان ارزیابی شخص ثالث CMMC (C3PAO) دارد. در نهایت، پیمانکاران DIB که اطلاعات فوق محرمانه را مدیریت می کنند باید مطابق با سطح سه بر اساس NIST 800-172 دست یابند.

CMMC 2.0 الزاماتی را که در NIST SP 800-171 گنجانده نشده است حذف می کند تا دستیابی و اجرای انطباق را عملی تر کند. همچنین پیمانکاران فرعی DIB را پوشش می‌دهد تا از امنیت در کل زنجیره تامین اطمینان حاصل کند، زیرا بازیگران مخرب‌تر شرکت‌های کوچک‌تری را هدف قرار می‌دهند که با غول‌های صنعت (مانند لاکهید مارتین) قرارداد دارند. هکرها ممکن است فقط یک قطعه CUI را از یک تامین کننده دریافت کنند. اما اگر دسته‌ای از آنها را روی هم بچینند، می‌توانند تصویر نسبتاً کاملی به دست آورند - اسرار اینگونه فاش می‌شوند. چارلز می‌گوید CMMC 2.0 در مورد حفظ اسرار دولتی است.

جنگ سایبری آخرین نگرانی است و دلایل خوبی دارد. برای مثال، عوامل تهدید می‌توانند یک حمله سایبری به زیرساخت‌ها (مثلاً حمله خط لوله استعماری) انجام دهند، سپس از زمان توقف طولانی‌تر برای راه‌اندازی یک حمله فیزیکی مخرب‌تر استفاده کنند - که می‌تواند کل کشور را متوقف کند.

نکته کلیدی این تغییرات چیست و هنگام به روز رسانی فرآیندهای خود چه چیزهایی باید بدانید؟

هدف اصلی CMMC 2.0 شفاف سازی و حذف پیچیدگی است. به عنوان مثال، هر سه سال یکبار (به جای ارزیابی سالانه) برای انطباق سطوح دو و سه نیاز به گواهی شخص ثالث دارد.

علاوه بر این، درک روش‌ها آسان‌تر است، بنابراین تمرکز شما می‌تواند روی به‌روزرسانی وضعیت امنیتی شما باشد.

چگونه CMMC 2.0 به پیمانکاران DIB سود می رساند

CMMC 2.0 حفاظت بهتر از CUI را برای جلوگیری از نشت داده ها و جاسوسی امکان پذیر می کند. امنیت ملی را تقویت می کند و به محافظت در برابر زنجیره تامین یا حملات تحت حمایت دولت کمک می کند. با این حال، درک کنید که این امر همچنین به نفع پیمانکاران DIB در عملیاتشان است: «صنعت تولید در فناوری اطلاعات و امنیت بسیار عقب است. شرکت ها هنوز بسیاری از فرآیندها را به صورت دستی اجرا می کنند که بسیار ناامن است. بهداشت ضعیف امنیت فناوری اطلاعات آنها اغلب منجر به باج افزارهای پرهزینه و سایر حملات می شود. چارلز می‌گوید CMMC 2.0 این پیمانکاران را مجبور می‌کند تا عادت‌های تجاری خوبی ایجاد کنند که در نهایت برای سازمان‌هایشان خوب است.

فکر مقررات دیگری ممکن است ترسناک باشد. خبر خوب این است که نیمی از CMMC 2.0 در حال حاضر در NIST SP 800-171 وجود دارد - جزئیات اقدامات امنیت سایبری که پیمانکاران DIB باید از قبل از آنها پیروی کنند، به عنوان مثال، استفاده از نرم افزار آنتی ویروس، اجرای احراز هویت چند عاملی (MFA)، و نقشه برداری و برچسب گذاری تمام CUI .

به طور بحرانی، شرکت ها حتی نمی توانند بدون اجرای بسیاری از اقدامات ذکر شده در CMMC 2.0 پوشش بیمه امنیت سایبری را دریافت کنند. از 13 شرکت بیمه که ما ردیابی می کنیم، 2.0 شرکت بیمه نامه ای نمی نویسند مگر اینکه MFA داشته باشید. چارلز می‌گوید: در CMMC XNUMX هم همین‌طور – و اگر اصول اولیه مانند MFA، آنتی‌ویروس و آموزش‌های آگاهی امنیتی را نداشته باشید، طرح اقدام و نقاط عطف (POA&M) پذیرفته نمی‌شود.

CMMC 2.0 یک گام به جلو برای کل صنعت دفاعی است تا از منظر فناوری به سرعت بالا برود.

چرا تغییر رویکرد شما کلیدی است؟

همانطور که گفته شد، رایج ترین تصور غلط در مورد CMMC 2.0 این است که یک استاندارد انطباق جدید است در حالی که در واقع اینطور نیست.

تصور اشتباه مهم دیگر این است که بسیاری از پیمانکاران تصور می کنند قبل از اقدام می توانند صبر کنند تا حکم CMMC 2.0 تایید شود. بسیاری از پیمانکاران مدت زمان لازم برای ارزیابی وضعیت امنیتی، اجرای اقدامات اصلاحی و دریافت ارزیابی شخص ثالث خود را دست کم می گیرند. برخی نیز به اشتباه در مورد اینکه سیستم ها و فرآیندهایشان از نظر فنی عقب مانده است و سرمایه گذاری لازم برای دستیابی به انطباق با آنها انجام می شود، اشتباه می کنند. همچنین لازم به یادآوری است که رعایت این استانداردها مستلزم هماهنگی با فروشندگان است که ممکن است تکمیل آن زمان بر باشد. بسیاری از پیمانکاران پیچیدگی زنجیره تامین خود و تعداد فروشندگان شخص ثالثی را که استفاده می کنند نادیده می گیرند. به عنوان مثال، ممکن است متوجه شوید که تعدادی از تامین کنندگان هنوز از ویندوز 7 استفاده می کنند و از ارتقا دادن خودداری می کنند. بنابراین، اگر فروشندگان شما از این قانون پیروی نمی کنند، می توانید خود را در ترشی بیابید و باید منتظر بمانید تا آنها فناوری خود را ارتقا دهند.

چارلز خاطرنشان می کند که مشکلاتی در مورد انطباق ابری نیز وجود دارد. بسیاری از پیمانکاران همچنین متوجه نمی‌شوند که نمی‌توانند CUI را روی هیچ ابری پردازش کنند - پلتفرم شما باید روی یک ابر متوسط ​​فدرامپ یا ابر فدرامپ بالا قرار گیرد. به عنوان مثال، به جای Office 365، باید از Microsoft 365 Government Community Cloud High (GCC High) استفاده کنید.

چگونه برای CMMC 2.0 آماده شویم

اگر قبلاً این کار را نکرده اید، در اسرع وقت آماده سازی را شروع کنید و انتظار دارید که این روند یک یا دو سال طول بکشد. CMMC 2.0 احتمالاً در سال 2023 اجرایی خواهد شد و به محض این که اجرا شد، ظرف 60 روز در تمام قراردادها ظاهر می شود. شما نمی توانید تا آخرین لحظه صبر کنید.

به عبارت دیگر، پیمانکاران از احساس فوریت بهره مند خواهند شد. "دستیابی به انطباق در یک حرکت می تواند یک شوک بزرگ برای یک سازمان و فرآیندهای تجاری روزانه آن باشد. چارلز می گوید، من انجام یک ارزیابی و طراحی یک نقشه راه چند ساله را توصیه می کنم. این طرح باید به سوالاتی از قبیل: چه ماشین‌ها/سخت‌افزاری را باید جایگزین کرد؟ کدام فروشنده های شخص ثالث نیاز به ارتقا دارند؟ آیا آنها برنامه ای برای انجام این کار در سه سال آینده دارند؟»

ارائه یک طرح امنیتی سیستم (SSP) برای انطباق با CMMC 2.0 ضروری است. SSP نیز یک سند ضروری است که الف ارائه دهنده خدمات مدیریت شده (MSP) می توانید از آن برای کمک به شرکت خود در رعایت قوانین استفاده کنید. جدول امتیازات الزامات امنیتی CMMC را تشریح می‌کند و به شما کمک می‌کند تا یک دید کلی از ارتقاهای مورد نیاز خود داشته باشید. چارلز می گوید: "اولین چیزی که من معمولاً می پرسم این است که "آیا نمره SSP خود را می دانید؟" شرکت های دیگر ممکن است چندان دور نباشند. در آن صورت، Charles IT می‌تواند به عنوان اولین گام برای نوشتن یک SSP و یک برنامه اقدام و نقاط عطف (POA&M) یک ارزیابی شکاف یا ریسک برای مشتریان خود انجام دهد. "ما آن را صدا می زنیم ارزیابی شکاف. ما باید بدانیم عمق آب چقدر است، و سپس آن را مشخص کرده و به آنها کمک می کنیم تا یک SSP بنویسند.» چارلز توصیه می کند.

اگر وضعیت امنیتی نسبتاً بالغی دارید و از آخرین بهترین شیوه‌های امنیت سایبری پیروی می‌کنید، دستیابی به انطباق با CMMC 2.0 باید حدود شش تا نه ماه طول بکشد. اگر نه، می توانید به یک جدول زمانی 18 ماهه نگاه کنید. باز هم، منتظر نمانید تا یک قرارداد روی میز باشد - برای جلوگیری از از دست دادن مشاغل، همین حالا شروع کنید.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://www.prweb.com/releases/2023/3/prweb19246469.htm