Yhdeksän 13:sta seuraamastamme vakuutusyhtiöstä ei kirjoita vakuutusta, ellei sinulla ole MFA:ta. Sama CMMC 2.0:n kanssa – ja toimintasuunnitelmaa ja virstanpylväitä (POA&M) ei hyväksytä, jos sinulla ei ole perustietoja, kuten MFA-, virustorjunta- ja turvallisuustietoisuuskoulutusta. – Foster Charles, Charles IT:n perustaja ja toimitusjohtaja
MIDDLETOWN, Conn. (PRWEB) Maaliskuussa 27, 2023
Puolustusministeriö (DoD) julkisti uuden kyberturvallisuuden kypsyysmallin sertifioinnin, CMMC 2.0, marraskuussa 2021. Muutos tuli sen jälkeen, kun todettiin, että alkuperäinen CMMC 1.0 -malli oli liian hankala ja hämmentävä urakoitsijoille. Tarkoitus on kuitenkin pysyä samana: varmistaa, että Defence Industrial Base (DIB) -urakoitsijilla on asianmukaiset toimenpiteet ja menettelyt arkaluonteisten tietojen suojaamiseksi, mukaan lukien valvotut luokittelemattomat tiedot (CUI) ja liittovaltion sopimustiedot (FCI).
On tärkeää ymmärtää, että CMMC 2.0 ei itse asiassa ole mitään uutta. Vaatimukset perustuvat National Institute of Standards and Technology (NIST) SP 800-171 -standardiin, ja ne ovat suoraan linjassa Defense Federal Acquisition Regulation Supplementin (DFARS) kanssa, jota on vaadittu jo jonkin aikaa.
Ratkaisevaa on se, kuinka tarkasti noudatat näitä IT-turvallisuuden parhaita käytäntöjä, sillä uudet määräykset tulevat voimaan tiukasti vuonna 2023. Menestyäkseen urakoitsijoiden on muutettava lähestymistapaansa noudattamiseen tai vaarana on menettää tuottoisia sopimuksia tai saada raskaita sakkoja.
Korkean tason muutokset CMMC 2.0:ssa
CMMC 1.0 pyrki yhdistämään useat turvallisuusvaatimukset yhdeksi liittovaltion vaatimustenmukaisuusstandardiksi. Vaikka tarkoitus oli hyvä, säännöt olivat hyvin monimutkaiset. CMMC 2.0 on yksinkertaistettu CMMC 1.0 -versiosta, mikä helpottaa DIB-urakoitsijoiden vaatimustenmukaisuuden saavuttamista liittovaltion puolustusturvallisuuden parantamiseksi.
Taso yksi vaatii itsearvioinnin 17 parhaasta käytännöstä, jotka ovat samanlaisia kuin NISTin kyberturvallisuuskehys (CSF). Taso kaksi vastaa NIST SP 800-171 -standardia ja vaatii CMMC:n kolmannen osapuolen arviointiorganisaation (C3PAO) sertifioinnin. Lopuksi DIB-urakoitsijoiden, jotka käsittelevät huippusalaisia tietoja, on saavutettava NIST 800-172 -standardin mukainen kolmannen tason vaatimustenmukaisuus.
CMMC 2.0 poistaa vaatimukset, jotka eivät sisälly NIST SP 800-171 -standardiin, jotta vaatimustenmukaisuuden saavuttaminen ja valvominen olisi käytännöllisempää. Se kattaa myös DIB:n alihankkijat turvallisuuden takaamiseksi koko toimitusketjussa, kun haitalliset toimijat kohdistuvat pienempiin yrityksiin, jotka tekevät sopimuksia alan jättiläisten kanssa (esim. Lockheed Martin). "Hakkerit voivat saada vain yhden CUI-osan yhdeltä toimittajalta. Mutta jos he pinoavat niitä yhteen, he voivat saada melko täydellisen kuvan - näin salaisuudet vuotavat. CMMC 2.0:ssa on kyse valtionsalaisuuksien turvaamisesta”, Charles sanoo.
Kybersodankäynti on uusin huolenaihe, ja hyvistä syistä. Uhkatoimijat voivat esimerkiksi käynnistää kyberhyökkäyksen infrastruktuuria vastaan (esim. Colonial Pipeline -hyökkäys) ja sitten hyödyntää pidentynyttä seisokkiaikaa tuhoisemman fyysisen hyökkäyksen käynnistämiseksi – joka voi pysäyttää koko kansan.
Mikä on näiden muutosten tärkein poiminta, ja mitä sinun tulee tietää prosessejasi päivittäessäsi?
CMMC 2.0:n tärkein tavoite on tuoda selkeyttä ja poistaa monimutkaisuutta. Se edellyttää esimerkiksi kolmannen osapuolen sertifiointia joka kolmas vuosi (vuosittaisen arvioinnin sijaan) tasojen XNUMX ja XNUMX vaatimustenmukaisuuden osalta.
Lisäksi menettelyt ovat helpompia ymmärtää, joten voit keskittyä turva-asentosi päivittämiseen.
Miten CMMC 2.0 hyödyttää DIB-urakoitsijoita
CMMC 2.0 mahdollistaa CUI:n paremman suojan tietovuodojen ja vakoilun estämiseksi. Se vahvistaa kansallista turvallisuutta ja auttaa suojaamaan toimitusketjun tai valtion tukemia hyökkäyksiä vastaan. Ymmärrä kuitenkin, että se hyödyttää myös DIB-urakoitsijoita heidän toiminnassaan: ”Teollisuusteollisuus on IT:n ja turvallisuuden alalla erittäin kaukana jäljessä. Yritykset ajavat edelleen monia prosesseja manuaalisesti, mikä on erittäin epävarmaa. Heidän huono IT-tietoturvahygieniansa johtaa usein kalliisiin kiristysohjelmiin ja muihin hyökkäyksiin. CMMC 2.0 pakottaa nämä urakoitsijat luomaan hyviä liiketoimintatottumuksia, jotka ovat viime kädessä hyödyksi heidän organisaatioilleen”, Charles sanoo.
Ajatus uudesta asetuksesta saattaa olla pelottava. Hyvä uutinen on, että puolet CMMC 2.0:sta on jo NIST SP 800-171 -versiossa. Siinä kerrotaan yksityiskohtaisesti kyberturvallisuuskäytännöistä, joita DIB-urakoitsijoiden tulisi jo noudattaa, esim. virustorjuntaohjelmiston käyttäminen, monitekijätodennus (MFA) ja kaikkien CUI:iden kartoitus ja merkitseminen. .
Kriittistä on se, että yritykset eivät voi edes saada kyberturvavakuutusta toteuttamatta monia CMMC 2.0:ssa hahmoteltuja toimenpiteitä. "Yhdeksän 13:sta seuraamastamme vakuutusyhtiöstä ei kirjoita vakuutusta, ellei sinulla ole MFA:ta. Sama CMMC 2.0:n kanssa – ja toimintasuunnitelmaa ja virstanpylväitä (POA&M) ei hyväksytä, jos sinulla ei ole perustietoja, kuten MFA-, virustorjunta- ja turvallisuustietoisuuskoulutusta”, Charles sanoo.
CMMC 2.0 on välttämätön askel eteenpäin koko puolustusteollisuudelle päästäkseen vauhtiin teknologian näkökulmasta.
Miksi lähestymistapasi muuttaminen on tärkeää
Kuten mainittiin, yleisin väärinkäsitys CMMC 2.0:sta on, että se on uusi vaatimustenmukaisuusstandardi, vaikka sitä ei itse asiassa ole.
Toinen ratkaiseva väärinkäsitys on, että monet urakoitsijat olettavat voivansa odottaa, kunnes CMMC 2.0 -päätös hyväksytään, ennen kuin ryhtyvät toimiin. Monet urakoitsijat aliarvioivat, kuinka paljon aikaa kuluu heidän turvallisuusasennon arvioimiseen, korjaustoimenpiteiden toteuttamiseen ja kolmannen osapuolen arvion saamiseen. Jotkut myös arvioivat väärin, kuinka teknisesti heidän järjestelmänsä ja prosessinsa takana ovat ja kuinka paljon investointeja vaaditaan vaatimustenmukaisuuden saavuttamiseksi. On myös tärkeää muistaa, että näiden standardien täyttäminen edellyttää koordinointia toimittajien kanssa, mikä voi viedä aikaa. "Monet urakoitsijat jättävät huomioimatta toimitusketjujensa monimutkaisuuden ja käyttämiensä kolmannen osapuolen toimittajien määrän. Saatat esimerkiksi huomata, että muutamat toimittajat käyttävät edelleen Windows 7:ää ja kieltäytyvät päivittämästä. Joten saatat joutua suolakurkkuun, jos toimittajasi eivät ole vaatimusten mukaisia, ja sinun on odotettava, että he päivittävät teknologiansa”, Charles sanoo.
Myös pilviyhteensopivuudessa on ongelmia, Charles huomauttaa. Monet urakoitsijat eivät myöskään ymmärrä, etteivät he voi käsitellä CUI:ta missään pilvessä – alustasi on oltava Fedramp medium- tai Fedramp high -pilvessä. Esimerkiksi Office 365:n sijaan sinun on käytettävä Microsoft 365 Government Community Cloud High (GCC High) -palvelua.
Kuinka valmistautua CMMC 2.0:aan
Aloita valmistautuminen mahdollisimman pian, jos et ole vielä tehnyt, ja odota, että prosessi kestää vuoden tai kaksi. CMMC 2.0 tulee todennäköisesti voimaan vuonna 2023, ja heti kun se tulee voimaan, se näkyy kaikissa sopimuksissa 60 päivän kuluessa. Sinulla ei ole varaa odottaa viime hetkeen.
Toisin sanoen urakoitsijat hyötyvät kiireellisyydestä. ”Yksittäinen vaatimustenmukaisuuden saavuttaminen voi olla suuri shokki organisaatiolle ja sen päivittäisille liiketoimintaprosesseille. Suosittelen arvioinnin tekemistä ja monivuotisen tiekartan laatimista”, Charles sanoo. Tämän suunnitelman pitäisi vastata kysymyksiin, kuten: Mitä koneita/laitteistoja sinun on vaihdettava? Mitkä kolmannen osapuolen toimittajat vaativat päivityksiä? Onko heillä suunnitelmia tehdä niin seuraavan kolmen vuoden aikana?"
Järjestelmän suojaussuunnitelman (SSP) lähettäminen on välttämätöntä CMMC 2.0 -yhteensopivuuden kannalta. SSP on myös olennainen asiakirja, joka a hallittu palveluntarjoaja (MSP) voit auttaa yritystäsi noudattamaan sääntöjä. Tulostaulukko esittelee CMMC:n tietoturvavaatimukset ja auttaa sinua saamaan yleiskuvan tarvitsemistasi päivityksistä. "Ensimmäinen asia, jonka yleensä kysyn, on: "Tiedätkö SSP-pisteesi?", Charles sanoo. Muut yritykset eivät välttämättä ole yhtä pitkällä. Siinä tapauksessa Charles IT voi tehdä asiakkaillemme aukkojen tai riskien arvioinnin ensimmäisenä askeleena SSP:n sekä toimintasuunnitelman ja virstanpylväiden (POA&M) kirjoittamisessa. "Kutsumme sitä aukon arviointi. Meidän on tiedettävä, kuinka syvä vesi on, ja sitten määritämme sen ja autamme heitä kirjoittamaan SSP:n”, Charles neuvoo.
Jos sinulla on suhteellisen kypsä suojausasento ja noudatat uusimpia kyberturvallisuuden parhaita käytäntöjä, CMMC 2.0 -yhteensopivuuden saavuttaminen kestää noin kuudesta yhdeksään kuukautta. Jos ei, voit katsoa 18 kuukauden aikajanaa. Jälleen, älä odota, kunnes sopimus on pöydällä – aloita nyt välttääksesi yritysten menettämisen.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :On
- $ YLÖS
- 1
- 2021
- 2023
- 7
- a
- Meistä
- Saavuttaa
- saavuttamisessa
- hankinta
- poikki
- Toiminta
- toimet
- toimijoiden
- todella
- Etu
- Jälkeen
- vastaan
- linjassa
- Kohdistaa
- Kaikki
- jo
- Keskellä
- ja
- ilmoitti
- vuotuinen
- Toinen
- vastaus
- antivirus
- näyttää
- lähestymistapa
- sopiva
- hyväksytty
- OVAT
- noin
- AS
- arviointi
- auttaa
- At
- hyökkäys
- Hyökkäykset
- Authentication
- tietoisuus
- pohja
- perustua
- Perusasiat
- BE
- ennen
- takana
- hyödyttää
- Hyödyt
- PARAS
- parhaat käytännöt
- Paremmin
- tuoda
- Nippu
- liiketoiminta
- yritykset
- soittaa
- CAN
- Voi saada
- harjoittajat
- tapaus
- toimitusjohtaja
- Certification
- ketju
- kahleet
- muuttaa
- Muutokset
- muuttuviin
- Kaarle
- selkeys
- asiakkaat
- pilvi
- Yhteinen
- yhteisö
- Yritykset
- yritys
- täydellinen
- monimutkaisuus
- noudattaminen
- mukautuva
- monimutkainen
- Koskea
- Suorittaa
- johtavat
- hämmentävä
- sopimus
- urakoitsijat
- sopimukset
- hallinnassa
- koordinointi
- voisi
- kattavuus
- Covers
- ratkaiseva
- Kyberhyökkäys
- tietoverkkojen
- tiedot
- Päivämäärä
- päivästä päivään
- päivää
- syvä
- Puolustus
- osasto
- puolustusministeriö
- suunnittelu
- Detailing
- määritetty
- tuhoisa
- suoraan
- löytää
- asiakirja
- seisokkeja
- e
- helpompaa
- vaikutus
- mahdollistaa
- täytäntöön
- varmistaa
- Koko
- vakoilu
- olennainen
- perustaa
- arvioida
- Jopa
- Joka
- esimerkki
- odottaa
- Liitto-
- Liittovaltion hallitus
- harvat
- Löytää
- sakkoja
- tiukasti
- Etunimi
- Keskittää
- seurata
- jälkeen
- varten
- Joukot
- Eteenpäin
- Edistää
- perustaja
- Puitteet
- alkaen
- Saada
- kuilu
- GCC
- saada
- saada
- Go
- hyvä
- Hallitus
- hakkerit
- Puoli
- kahva
- Olla
- auttaa
- auttaa
- Korkea
- Miten
- Kuitenkin
- HTTPS
- i
- kuva
- toteuttaa
- täytäntöönpanosta
- tärkeä
- parantaa
- in
- mukana
- Mukaan lukien
- teollinen
- teollisuus
- tiedot
- Infrastruktuuri
- esimerkki
- sen sijaan
- Instituutti
- vakuutus
- tahallisuus
- Tarkoitus
- pelottava
- investointi
- kysymykset
- IT
- se turvallisuus
- SEN
- vain yksi
- avain
- Tietää
- merkinnät
- Sukunimi
- uusin
- käynnistää
- Liidit
- Vuodot
- Taso
- tasot
- Todennäköisesti
- Lockheed Martin
- näköinen
- menettää
- tuottoisa
- merkittävä
- tehdä
- Tekeminen
- käsin
- valmistus
- Tuotantoteollisuus
- monet
- kartoitus
- räystäspääsky
- Matters
- kypsä
- kypsyys
- Kypsyysmalli
- toimenpiteet
- keskikokoinen
- kokous
- mainitsi
- UM
- Microsoft
- Milestones
- minuutti
- malli
- kk
- lisää
- eniten
- monivuotisissa
- kansakunta
- kansallinen
- kansallinen turvallisuus
- välttämätön
- Tarve
- Uusi
- uutiset
- seuraava
- NIST
- marraskuu
- marraskuu 2021
- numero
- tavoite
- of
- Office
- on
- ONE
- Operations
- tilata
- organisaatio
- organisaatioiden
- alkuperäinen
- Muut
- hahmoteltu
- ääriviivat
- yleiskatsaus
- puolue
- näkökulma
- fyysinen
- kuva
- kappale
- putki
- suunnitelma
- suunnitelmat
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- pistettä
- politiikka
- kehno
- Käytännön
- käytännöt
- Valmistella
- valmistelee
- estää
- menettelyt
- prosessi
- Prosessit
- suojella
- suojaus
- toimittaja
- kysymykset
- ransomware
- pikemminkin
- ymmärtää
- syistä
- suositella
- Asetus
- määräykset
- suhteellisesti
- jäännökset
- muistaa
- poistaa
- korvata
- edellyttää
- tarvitaan
- vaatimukset
- Vaatii
- Riski
- riskinarviointi
- roadmap
- säännöt
- tuomio
- ajaa
- s
- sama
- sanoo
- pisteet
- turvaaminen
- turvallisuus
- Turvallisuustietoisuus
- tunne
- sensible
- palvelu
- Palveluntarjoaja
- shouldnt
- samankaltainen
- single
- SIX
- pienempiä
- So
- Tuotteemme
- jonkin verran
- nopeus
- pino
- standardi
- standardit
- alkoi
- Osavaltio
- Vaihe
- Yhä
- vahvistuu
- onnistunut
- niin
- toimittajat
- toimittaa
- toimitusketju
- Toimitusketjut
- järjestelmä
- järjestelmät
- taulukko
- ottaa
- ottaen
- Neuvottelut
- Kohde
- Elektroniikka
- että
- -
- Perusteet
- heidän
- Niitä
- Nämä
- asia
- kolmas
- kolmannen osapuolen
- ajatus
- uhkaus
- uhka toimijat
- kolmella
- aika
- aikajana
- että
- yhdessä
- liian
- raita
- koulutus
- Lopulta
- ymmärtää
- päivittäminen
- parantaa
- päivityksiä
- kiireellisyys
- käyttää
- yleensä
- eri
- myyjät
- odottaa
- vesi
- Mitä
- joka
- vaikka
- tulee
- ikkunat
- with
- sisällä
- ilman
- Voitetut
- sanoja
- kirjoittaa
- kirjoittaminen
- vuosi
- vuotta
- Voit
- Sinun
- itse
- zephyrnet
