از 13 شرکت بیمه که ما ردیابی می کنیم، 2.0 شرکت بیمه نامه ای نمی نویسند مگر اینکه MFA داشته باشید. مشابه با CMMC XNUMX - و اگر اصول اولیه مانند MFA، آنتی ویروس و آموزش آگاهی از امنیت را نداشته باشید، برنامه اقدام و نقاط عطف (POA&M) پذیرفته نخواهد شد. – فاستر چارلز، بنیانگذار و مدیر عامل، چارلز آی تی
Middletown, Conn. (PRWEB) مارس 27، 2023
وزارت دفاع (DoD) گواهینامه جدید مدل بلوغ امنیت سایبری را اعلام کرد. CMMC 2.0، در نوامبر 2021. این تغییر پس از آن رخ داد که مشخص شد مدل اصلی CMMC 1.0 برای پیمانکاران بسیار دست و پا گیر و گیج کننده است. با این حال، هدف یکسان است: اطمینان از اینکه پیمانکاران پایگاه صنعتی دفاعی (DIB) از اقدامات و رویههای مناسب برای محافظت از اطلاعات حساس، از جمله اطلاعات طبقهبندی نشده کنترلشده (CUI) و اطلاعات قرارداد فدرال (FCI) برخوردار هستند.
آنچه که درک آن مهم است این است که CMMC 2.0 در واقع چیز جدیدی نیست. الزامات بر اساس مؤسسه ملی استانداردها و فناوری (NIST) SP 800-171 است و مستقیماً با مکمل تنظیم مقررات اکتساب فدرال دفاع (DFARS) که مدتی است مورد نیاز بوده است، مطابقت دارد.
آنچه مهم است این است که شما چقدر این بهترین شیوهها را برای امنیت فناوری اطلاعات اجرا میکنید، زیرا مقررات جدید در سال 2023 به طور محکم اجرا میشوند. برای موفقیت، پیمانکاران باید رویکرد خود را نسبت به انطباق تغییر دهند یا خطر از دست دادن قراردادهای پرسود یا جریمههای سنگین را متحمل شوند.
تغییرات سطح بالا در CMMC 2.0
هدف CMMC 1.0 تجمیع الزامات امنیتی مختلف در یک استاندارد انطباق واحد برای دولت فدرال بود. در حالی که نیت خوب بود، قوانین بسیار پیچیده بودند. CMMC 2.0 سادهسازی CMMC 1.0 است که دستیابی به انطباق را برای پیمانکاران DIB برای بهبود امنیت دفاعی فدرال بسیار آسانتر میکند.
سطح یک نیاز به ارزیابی خود از 17 روش برتر مشابه چارچوب امنیت سایبری NIST (CSF) دارد. سطح دو با NIST SP 800-171 مطابقت دارد و نیاز به گواهینامه از سازمان ارزیابی شخص ثالث CMMC (C3PAO) دارد. در نهایت، پیمانکاران DIB که اطلاعات فوق محرمانه را مدیریت می کنند باید مطابق با سطح سه بر اساس NIST 800-172 دست یابند.
CMMC 2.0 الزاماتی را که در NIST SP 800-171 گنجانده نشده است حذف می کند تا دستیابی و اجرای انطباق را عملی تر کند. همچنین پیمانکاران فرعی DIB را پوشش میدهد تا از امنیت در کل زنجیره تامین اطمینان حاصل کند، زیرا بازیگران مخربتر شرکتهای کوچکتری را هدف قرار میدهند که با غولهای صنعت (مانند لاکهید مارتین) قرارداد دارند. هکرها ممکن است فقط یک قطعه CUI را از یک تامین کننده دریافت کنند. اما اگر دستهای از آنها را روی هم بچینند، میتوانند تصویر نسبتاً کاملی به دست آورند - اسرار اینگونه فاش میشوند. چارلز میگوید CMMC 2.0 در مورد حفظ اسرار دولتی است.
جنگ سایبری آخرین نگرانی است و دلایل خوبی دارد. برای مثال، عوامل تهدید میتوانند یک حمله سایبری به زیرساختها (مثلاً حمله خط لوله استعماری) انجام دهند، سپس از زمان توقف طولانیتر برای راهاندازی یک حمله فیزیکی مخربتر استفاده کنند - که میتواند کل کشور را متوقف کند.
نکته کلیدی این تغییرات چیست و هنگام به روز رسانی فرآیندهای خود چه چیزهایی باید بدانید؟
هدف اصلی CMMC 2.0 شفاف سازی و حذف پیچیدگی است. به عنوان مثال، هر سه سال یکبار (به جای ارزیابی سالانه) برای انطباق سطوح دو و سه نیاز به گواهی شخص ثالث دارد.
علاوه بر این، درک روشها آسانتر است، بنابراین تمرکز شما میتواند روی بهروزرسانی وضعیت امنیتی شما باشد.
چگونه CMMC 2.0 به پیمانکاران DIB سود می رساند
CMMC 2.0 حفاظت بهتر از CUI را برای جلوگیری از نشت داده ها و جاسوسی امکان پذیر می کند. امنیت ملی را تقویت می کند و به محافظت در برابر زنجیره تامین یا حملات تحت حمایت دولت کمک می کند. با این حال، درک کنید که این امر همچنین به نفع پیمانکاران DIB در عملیاتشان است: «صنعت تولید در فناوری اطلاعات و امنیت بسیار عقب است. شرکت ها هنوز بسیاری از فرآیندها را به صورت دستی اجرا می کنند که بسیار ناامن است. بهداشت ضعیف امنیت فناوری اطلاعات آنها اغلب منجر به باج افزارهای پرهزینه و سایر حملات می شود. چارلز میگوید CMMC 2.0 این پیمانکاران را مجبور میکند تا عادتهای تجاری خوبی ایجاد کنند که در نهایت برای سازمانهایشان خوب است.
فکر مقررات دیگری ممکن است ترسناک باشد. خبر خوب این است که نیمی از CMMC 2.0 در حال حاضر در NIST SP 800-171 وجود دارد - جزئیات اقدامات امنیت سایبری که پیمانکاران DIB باید از قبل از آنها پیروی کنند، به عنوان مثال، استفاده از نرم افزار آنتی ویروس، اجرای احراز هویت چند عاملی (MFA)، و نقشه برداری و برچسب گذاری تمام CUI .
به طور بحرانی، شرکت ها حتی نمی توانند بدون اجرای بسیاری از اقدامات ذکر شده در CMMC 2.0 پوشش بیمه امنیت سایبری را دریافت کنند. از 13 شرکت بیمه که ما ردیابی می کنیم، 2.0 شرکت بیمه نامه ای نمی نویسند مگر اینکه MFA داشته باشید. چارلز میگوید: در CMMC XNUMX هم همینطور – و اگر اصول اولیه مانند MFA، آنتیویروس و آموزشهای آگاهی امنیتی را نداشته باشید، طرح اقدام و نقاط عطف (POA&M) پذیرفته نمیشود.
CMMC 2.0 یک گام به جلو برای کل صنعت دفاعی است تا از منظر فناوری به سرعت بالا برود.
چرا تغییر رویکرد شما کلیدی است؟
همانطور که گفته شد، رایج ترین تصور غلط در مورد CMMC 2.0 این است که یک استاندارد انطباق جدید است در حالی که در واقع اینطور نیست.
تصور اشتباه مهم دیگر این است که بسیاری از پیمانکاران تصور می کنند قبل از اقدام می توانند صبر کنند تا حکم CMMC 2.0 تایید شود. بسیاری از پیمانکاران مدت زمان لازم برای ارزیابی وضعیت امنیتی، اجرای اقدامات اصلاحی و دریافت ارزیابی شخص ثالث خود را دست کم می گیرند. برخی نیز به اشتباه در مورد اینکه سیستم ها و فرآیندهایشان از نظر فنی عقب مانده است و سرمایه گذاری لازم برای دستیابی به انطباق با آنها انجام می شود، اشتباه می کنند. همچنین لازم به یادآوری است که رعایت این استانداردها مستلزم هماهنگی با فروشندگان است که ممکن است تکمیل آن زمان بر باشد. بسیاری از پیمانکاران پیچیدگی زنجیره تامین خود و تعداد فروشندگان شخص ثالثی را که استفاده می کنند نادیده می گیرند. به عنوان مثال، ممکن است متوجه شوید که تعدادی از تامین کنندگان هنوز از ویندوز 7 استفاده می کنند و از ارتقا دادن خودداری می کنند. بنابراین، اگر فروشندگان شما از این قانون پیروی نمی کنند، می توانید خود را در ترشی بیابید و باید منتظر بمانید تا آنها فناوری خود را ارتقا دهند.
چارلز خاطرنشان می کند که مشکلاتی در مورد انطباق ابری نیز وجود دارد. بسیاری از پیمانکاران همچنین متوجه نمیشوند که نمیتوانند CUI را روی هیچ ابری پردازش کنند - پلتفرم شما باید روی یک ابر متوسط فدرامپ یا ابر فدرامپ بالا قرار گیرد. به عنوان مثال، به جای Office 365، باید از Microsoft 365 Government Community Cloud High (GCC High) استفاده کنید.
چگونه برای CMMC 2.0 آماده شویم
اگر قبلاً این کار را نکرده اید، در اسرع وقت آماده سازی را شروع کنید و انتظار دارید که این روند یک یا دو سال طول بکشد. CMMC 2.0 احتمالاً در سال 2023 اجرایی خواهد شد و به محض این که اجرا شد، ظرف 60 روز در تمام قراردادها ظاهر می شود. شما نمی توانید تا آخرین لحظه صبر کنید.
به عبارت دیگر، پیمانکاران از احساس فوریت بهره مند خواهند شد. "دستیابی به انطباق در یک حرکت می تواند یک شوک بزرگ برای یک سازمان و فرآیندهای تجاری روزانه آن باشد. چارلز می گوید، من انجام یک ارزیابی و طراحی یک نقشه راه چند ساله را توصیه می کنم. این طرح باید به سوالاتی از قبیل: چه ماشینها/سختافزاری را باید جایگزین کرد؟ کدام فروشنده های شخص ثالث نیاز به ارتقا دارند؟ آیا آنها برنامه ای برای انجام این کار در سه سال آینده دارند؟»
ارائه یک طرح امنیتی سیستم (SSP) برای انطباق با CMMC 2.0 ضروری است. SSP نیز یک سند ضروری است که الف ارائه دهنده خدمات مدیریت شده (MSP) می توانید از آن برای کمک به شرکت خود در رعایت قوانین استفاده کنید. جدول امتیازات الزامات امنیتی CMMC را تشریح میکند و به شما کمک میکند تا یک دید کلی از ارتقاهای مورد نیاز خود داشته باشید. چارلز می گوید: "اولین چیزی که من معمولاً می پرسم این است که "آیا نمره SSP خود را می دانید؟" شرکت های دیگر ممکن است چندان دور نباشند. در آن صورت، Charles IT میتواند به عنوان اولین گام برای نوشتن یک SSP و یک برنامه اقدام و نقاط عطف (POA&M) یک ارزیابی شکاف یا ریسک برای مشتریان خود انجام دهد. "ما آن را صدا می زنیم ارزیابی شکاف. ما باید بدانیم عمق آب چقدر است، و سپس آن را مشخص کرده و به آنها کمک می کنیم تا یک SSP بنویسند.» چارلز توصیه می کند.
اگر وضعیت امنیتی نسبتاً بالغی دارید و از آخرین بهترین شیوههای امنیت سایبری پیروی میکنید، دستیابی به انطباق با CMMC 2.0 باید حدود شش تا نه ماه طول بکشد. اگر نه، می توانید به یک جدول زمانی 18 ماهه نگاه کنید. باز هم، منتظر نمانید تا یک قرارداد روی میز باشد - برای جلوگیری از از دست دادن مشاغل، همین حالا شروع کنید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :است
- $UP
- 1
- 2021
- 2023
- 7
- a
- درباره ما
- رسیدن
- دستیابی به
- اکتساب
- در میان
- عمل
- اقدامات
- بازیگران
- واقعا
- مزیت - فایده - سود - منفعت
- پس از
- در برابر
- هم راستا
- تراز می کند
- معرفی
- قبلا
- در میان
- و
- اعلام کرد
- سالیانه
- دیگر
- پاسخ
- آنتی ویروس
- ظاهر شدن
- روش
- مناسب
- تایید کرد
- هستند
- دور و بر
- AS
- ارزیابی
- همکاری
- At
- حمله
- حمله
- تصدیق
- اطلاع
- پایه
- مستقر
- مبانی
- BE
- قبل از
- پشت سر
- سود
- مزایای
- بهترین
- بهترین شیوه
- بهتر
- به ارمغان بیاورد
- دسته
- کسب و کار
- کسب و کار
- صدا
- CAN
- می توانید دریافت کنید
- حامل
- مورد
- مدیر عامل شرکت
- گواهی
- زنجیر
- زنجیر
- تغییر دادن
- تبادل
- متغیر
- چارلز
- وضوح
- مشتریان
- ابر
- مشترک
- انجمن
- شرکت
- شرکت
- کامل
- پیچیدگی
- انطباق
- موافق
- بغرنج
- نگرانی
- رفتار
- انجام
- گیج کننده
- قرارداد
- پیمانکاران
- قرارداد
- کنترل
- هماهنگی
- میتوانست
- پوشش
- را پوشش می دهد
- بسیار سخت
- حمله سایبری
- امنیت سایبری
- داده ها
- تاریخ
- روز به روز
- روز
- عمیق
- دفاع
- بخش
- وزارت دفاع
- طراحی
- جزئیات
- مشخص
- ویرانگر
- مستقیما
- كشف كردن
- سند
- مدت از کار افتادگی
- e
- آسان تر
- اثر
- را قادر می سازد
- اجرای قانون
- اطمینان حاصل شود
- تمام
- جاسوسی
- ضروری است
- ایجاد
- ارزیابی
- حتی
- هر
- مثال
- انتظار
- فدرال
- دولت فدرال
- کمی از
- پیدا کردن
- جریمه
- محکم
- نام خانوادگی
- تمرکز
- به دنبال
- پیروی
- برای
- نیروهای
- به جلو
- پرورش دادن
- موسس
- چارچوب
- از جانب
- افزایش
- شکاف
- GCC
- دریافت کنید
- گرفتن
- Go
- خوب
- دولت
- هکرها
- نیم
- دسته
- آیا
- کمک
- کمک می کند
- زیاد
- چگونه
- اما
- HTTPS
- i
- تصویر
- انجام
- اجرای
- مهم
- بهبود
- in
- مشمول
- از جمله
- صنعتی
- صنعت
- اطلاعات
- شالوده
- نمونه
- در عوض
- موسسه
- بیمه
- قصد
- قصد
- ارعاب
- سرمایه گذاری
- مسائل
- IT
- امنیت آن است
- ITS
- فقط یکی
- کلید
- دانستن
- برچسب
- نام
- آخرین
- راه اندازی
- منجر می شود
- نشت
- سطح
- سطح
- احتمالا
- لاکهید مارتین
- به دنبال
- شکست
- نافع
- عمده
- ساخت
- ساخت
- دستی
- تولید
- صنعت تولید
- بسیاری
- نقشه برداری
- مارتین
- مسائل
- بالغ
- بلوغ
- مدل بلوغ
- معیارهای
- متوسط
- نشست
- ذکر شده
- MFA
- مایکروسافت
- نقاط عطف
- دقیقه
- مدل
- ماه
- بیش
- اکثر
- چند ساله
- ملت
- ملی
- امنیت ملی
- لازم
- نیاز
- جدید
- اخبار
- بعد
- نیست
- نوامبر
- نوامبر 2021
- عدد
- هدف
- of
- دفتر
- on
- ONE
- عملیات
- سفارش
- کدام سازمان ها
- سازمان های
- اصلی
- دیگر
- مشخص شده
- نمای کلی
- مروری
- حزب
- چشم انداز
- فیزیکی
- تصویر
- قطعه
- خط لوله
- برنامه
- برنامه
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- سیاست
- فقیر
- عملی
- شیوه های
- آماده
- آماده
- جلوگیری از
- روش
- روند
- فرآیندهای
- محافظت از
- حفاظت
- ارائه دهنده
- سوالات
- باجافزار
- نسبتا
- تحقق بخشیدن
- دلایل
- توصیه
- تنظیم
- مقررات
- نسبتا
- بقایای
- به یاد داشته باشید
- برداشتن
- جایگزین کردن
- نیاز
- ضروری
- مورد نیاز
- نیاز
- خطر
- ارزیابی ریسک
- نقشه راه
- قوانین
- حاکم
- دویدن
- s
- همان
- می گوید:
- نمره
- امنیت
- تیم امنیت لاتاری
- آگاهی از امنیت
- حس
- حساس
- سرویس
- ارائه دهنده خدمات
- باید
- مشابه
- تنها
- شش
- کوچکتر
- So
- نرم افزار
- برخی از
- سرعت
- پشته
- استاندارد
- استانداردهای
- آغاز شده
- دولت
- گام
- هنوز
- تقویت می کند
- موفق
- چنین
- تامین کنندگان
- عرضه
- زنجیره تامین
- زنجیره تامین
- سیستم
- سیستم های
- جدول
- گرفتن
- مصرف
- مذاکرات
- هدف
- پیشرفته
- که
- La
- مبانی
- شان
- آنها
- اینها
- چیز
- سوم
- شخص ثالث
- فکر
- تهدید
- بازیگران تهدید
- سه
- زمان
- جدول زمانی
- به
- با هم
- هم
- مسیر
- آموزش
- در نهایت
- فهمیدن
- به روز رسانی
- ارتقاء
- ارتقاء
- ضرورت
- استفاده کنید
- معمولا
- مختلف
- فروشندگان
- صبر کنيد
- آب
- چی
- که
- در حین
- اراده
- پنجره
- با
- در داخل
- بدون
- برنده شد
- کلمات
- نوشتن
- نوشته
- سال
- سال
- شما
- شما
- خودت
- زفیرنت