हमारे द्वारा ट्रैक किए जाने वाले 13 बीमा वाहकों में से नौ तब तक पॉलिसी नहीं लिखेंगे जब तक कि आपके पास एमएफए न हो। सीएमएमसी 2.0 के साथ भी - और कार्य योजना और मील के पत्थर (पीओए और एम) को स्वीकार नहीं किया जाएगा यदि आपके पास एमएफए, एंटीवायरस और सुरक्षा जागरूकता प्रशिक्षण जैसी मूलभूत बातें नहीं हैं। - फोस्टर चार्ल्स, संस्थापक और सीईओ, चार्ल्स आईटी
मिडलटाउन, कन. (PRWEB) मार्च २०,२०२१
रक्षा विभाग (DoD) ने नए साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन की घोषणा की, सीएमएमसी 2.0, नवंबर 2021 में। बदलाव तब आया जब यह निर्धारित किया गया कि मूल सीएमएमसी 1.0 मॉडल ठेकेदारों के लिए बहुत बोझिल और भ्रमित करने वाला था। हालांकि, आशय वही रहता है: यह सुनिश्चित करने के लिए कि रक्षा औद्योगिक आधार (DIB) ठेकेदारों के पास नियंत्रित अवर्गीकृत सूचना (CUI) और संघीय अनुबंध सूचना (FCI) सहित संवेदनशील सूचनाओं की सुरक्षा के लिए उचित उपाय और प्रक्रियाएँ हैं।
यह समझना महत्वपूर्ण है कि CMMC 2.0 वास्तव में कोई नई बात नहीं है। आवश्यकताएं राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) एसपी 800-171 पर आधारित हैं और रक्षा संघीय अधिग्रहण विनियमन पूरक (डीएफएआरएस) के साथ सीधे संरेखित हैं, जो कुछ समय के लिए आवश्यक है।
क्या मायने रखता है कि आप आईटी सुरक्षा के लिए इन सर्वोत्तम प्रथाओं को कितनी सख्ती से लागू कर रहे हैं, क्योंकि नए नियमों को 2023 में मजबूती से लागू किया जाएगा। सफल होने के लिए, ठेकेदारों को अनुपालन के लिए अपना दृष्टिकोण बदलना होगा या आकर्षक अनुबंधों को खोने या भारी जुर्माना लगाने का जोखिम उठाना होगा।
सीएमएमसी 2.0 में उच्च स्तरीय परिवर्तन
सीएमएमसी 1.0 का उद्देश्य विभिन्न सुरक्षा आवश्यकताओं को संघीय सरकार के लिए एकल अनुपालन मानक में एकत्रित करना है। जबकि इरादा नेक था, नियम बहुत जटिल थे। CMMC 2.0, CMMC 1.0 का सरलीकरण है - संघीय रक्षा सुरक्षा में सुधार के लिए DIB ठेकेदारों के लिए अनुपालन प्राप्त करना बहुत आसान बनाता है।
स्तर एक को एनआईएसटी के साइबर सुरक्षा ढांचे (सीएसएफ) के समान 17 सर्वोत्तम प्रथाओं के स्व-मूल्यांकन की आवश्यकता है। स्तर दो NIST SP 800-171 के साथ संरेखित करता है और इसके लिए CMMC तृतीय पक्ष मूल्यांकन संगठन (C3PAO) से प्रमाणन की आवश्यकता होती है। अंत में, DIB ठेकेदार जो शीर्ष-गुप्त सूचनाओं को संभालते हैं, उन्हें NIST 800-172 के आधार पर स्तर तीन अनुपालन प्राप्त करना चाहिए।
सीएमएमसी 2.0 एनआईएसटी एसपी 800-171 में शामिल नहीं की गई आवश्यकताओं को हटाता है ताकि अनुपालन को और अधिक व्यावहारिक बनाया जा सके। यह संपूर्ण आपूर्ति श्रृंखला में सुरक्षा सुनिश्चित करने के लिए DIB उपठेकेदारों को भी शामिल करता है क्योंकि अधिक दुर्भावनापूर्ण अभिनेता छोटी कंपनियों को लक्षित करते हैं जो उद्योग के दिग्गजों (जैसे, लॉकहीड मार्टिन) के साथ अनुबंध करती हैं। "हैकर्स को एक सप्लायर से सीयूआई का सिर्फ एक टुकड़ा मिल सकता है। लेकिन अगर वे उनमें से एक समूह को एक साथ ढेर कर दें, तो वे एक पूरी तस्वीर प्राप्त कर सकते हैं - इस तरह रहस्य लीक हो जाते हैं। सीएमएमसी 2.0 राज्य के रहस्यों को सुरक्षित करने के बारे में है," चार्ल्स कहते हैं।
साइबर युद्ध नवीनतम चिंता है, और अच्छे कारणों के लिए। उदाहरण के लिए, खतरे के कारक बुनियादी ढांचे पर साइबर हमले शुरू कर सकते हैं (उदाहरण के लिए, औपनिवेशिक पाइपलाइन हमला), फिर अधिक विनाशकारी भौतिक हमले शुरू करने के लिए विस्तारित डाउनटाइम का लाभ उठाएं - जो पूरे देश को रोक सकता है।
इन परिवर्तनों का मुख्य निष्कर्ष क्या है, और अपनी प्रक्रियाओं को अपडेट करते समय आपको क्या जानने की आवश्यकता है?
सीएमएमसी 2.0 का एक प्रमुख उद्देश्य स्पष्टता लाना और जटिलता को दूर करना है। उदाहरण के लिए, इसे स्तर दो और तीन अनुपालन के लिए हर तीन साल (वार्षिक मूल्यांकन के बजाय) में तीसरे पक्ष के प्रमाणीकरण की आवश्यकता होती है।
इसके अलावा, प्रक्रियाओं को समझना आसान है, इसलिए आपका ध्यान अपनी सुरक्षा स्थिति को अपडेट करने पर हो सकता है।
सीएमएमसी 2.0 डीआईबी ठेकेदारों को कैसे लाभ पहुंचाता है
सीएमएमसी 2.0 डेटा लीक और जासूसी को रोकने के लिए सीयूआई की बेहतर सुरक्षा को सक्षम बनाता है। यह राष्ट्रीय सुरक्षा को मजबूत करता है और आपूर्ति श्रृंखला या राज्य-प्रायोजित हमलों से बचाने में मदद करता है। हालाँकि, यह समझें कि यह DIB ठेकेदारों को उनके संचालन में भी लाभान्वित करता है: “विनिर्माण उद्योग IT और सुरक्षा में बहुत पीछे है। कंपनियां अभी भी कई प्रक्रियाएं मैन्युअल रूप से चलाती हैं, जो बहुत असुरक्षित है। उनकी खराब आईटी सुरक्षा स्वच्छता अक्सर महंगे रैंसमवेयर और अन्य हमलों का कारण बनती है। सीएमएमसी 2.0 इन ठेकेदारों को अच्छी व्यावसायिक आदतें स्थापित करने के लिए मजबूर करता है जो अंततः उनके संगठनों के लिए अच्छे हैं," चार्ल्स कहते हैं।
एक और नियमन के बारे में सोचा जाना डराने वाला हो सकता है। अच्छी खबर यह है कि सीएमएमसी 2.0 का आधा पहले से ही एनआईएसटी एसपी 800-171 में है - साइबर सुरक्षा प्रथाओं का विवरण जो डीआईबी ठेकेदारों को पहले से ही पालन करना चाहिए, उदाहरण के लिए, एंटीवायरस सॉफ़्टवेयर का उपयोग करना, बहु-कारक प्रमाणीकरण (एमएफए) लागू करना, और सभी सीयूआई को मैप करना और लेबल करना .
गंभीर रूप से, सीएमएमसी 2.0 में उल्लिखित कई उपायों को लागू किए बिना कंपनियां साइबर सुरक्षा बीमा कवरेज भी प्राप्त नहीं कर सकती हैं। "13 में से नौ बीमा वाहक जिन्हें हम ट्रैक करते हैं, वे तब तक पॉलिसी नहीं लिखेंगे जब तक आपके पास एमएफए न हो। सीएमएमसी 2.0 के साथ भी - और कार्य योजना और मील के पत्थर (पीओए और एम) को स्वीकार नहीं किया जाएगा यदि आपके पास एमएफए, एंटीवायरस और सुरक्षा जागरूकता प्रशिक्षण जैसी मूल बातें नहीं हैं, "चार्ल्स कहते हैं।
सीएमएमसी 2.0 संपूर्ण रक्षा उद्योग के लिए प्रौद्योगिकी के दृष्टिकोण से गति प्राप्त करने के लिए एक आवश्यक कदम है।
अपना दृष्टिकोण बदलना क्यों महत्वपूर्ण है
जैसा कि उल्लेख किया गया है, सीएमएमसी 2.0 के बारे में सबसे आम गलत धारणा यह है कि यह एक नया अनुपालन मानक है, जबकि वास्तव में ऐसा नहीं है।
दूसरी महत्वपूर्ण ग़लतफ़हमी यह है कि कई ठेकेदार मानते हैं कि वे कार्रवाई करने से पहले सीएमएमसी 2.0 नियम को मंजूरी मिलने तक प्रतीक्षा कर सकते हैं। कई ठेकेदार इस बात को कम आंकते हैं कि उनकी सुरक्षा मुद्रा का मूल्यांकन करने, उपचारात्मक कार्रवाइयों को लागू करने और उनके तृतीय-पक्ष का मूल्यांकन प्राप्त करने में कितना समय लगेगा। कुछ लोग यह भी गलत आंकते हैं कि तकनीकी रूप से उनकी प्रणालियाँ और प्रक्रियाएँ कितनी पीछे हैं और अनुपालन प्राप्त करने के लिए कितना निवेश आवश्यक है। यह भी याद रखना आवश्यक है कि इन मानकों को पूरा करने के लिए विक्रेताओं के साथ समन्वय की आवश्यकता होती है, जिसे पूरा होने में समय लग सकता है। "कई ठेकेदार अपनी आपूर्ति श्रृंखलाओं की जटिलता और उनके द्वारा उपयोग किए जाने वाले तीसरे पक्ष के विक्रेताओं की संख्या को अनदेखा करते हैं। उदाहरण के लिए, आपको पता चल सकता है कि कुछ आपूर्तिकर्ता अभी भी विंडोज 7 का उपयोग करते हैं और अपग्रेड करने से इनकार करते हैं। इसलिए यदि आपके विक्रेता आज्ञाकारी नहीं हैं, तो आप अपने आप को एक अचार में पा सकते हैं, और आपको उनकी तकनीक को उन्नत करने के लिए प्रतीक्षा करनी होगी, ”चार्ल्स कहते हैं।
क्लाउड अनुपालन के मुद्दे भी हैं, चार्ल्स बताते हैं। कई ठेकेदार यह भी महसूस नहीं करते हैं कि वे किसी भी क्लाउड पर CUI को प्रोसेस नहीं कर सकते हैं - आपके प्लेटफॉर्म को Fedram मीडियम या Fedram High क्लाउड पर होना चाहिए। उदाहरण के लिए, Office 365 के बजाय, आपको Microsoft 365 Government Community Cloud High (GCC High) का उपयोग करना चाहिए।
सीएमएमसी 2.0 की तैयारी कैसे करें
जितनी जल्दी हो सके तैयारी शुरू कर दें यदि आपने पहले से तैयारी नहीं की है और इस प्रक्रिया में एक या दो साल लगने की उम्मीद है। CMMC 2.0 के 2023 में प्रभावी होने की संभावना है, और जैसे ही यह लागू होगा, यह 60 दिनों के भीतर सभी अनुबंधों पर दिखाई देगा। आप आखिरी मिनट तक इंतजार नहीं कर सकते।
दूसरे शब्दों में, ठेकेदारों को अत्यावश्यकता की भावना से लाभ होगा। "एक ही बार में अनुपालन प्राप्त करना किसी संगठन और उसकी दिन-प्रतिदिन की व्यावसायिक प्रक्रियाओं के लिए एक बड़ा झटका हो सकता है। मैं एक मूल्यांकन करने और एक बहु-वर्षीय रोडमैप तैयार करने की सलाह देता हूं," चार्ल्स कहते हैं। इस योजना को प्रश्नों का उत्तर देना चाहिए जैसे: आपको किन मशीनों/हार्डवेयर को बदलने की आवश्यकता है? किन तृतीय-पक्ष विक्रेताओं को अपग्रेड की आवश्यकता है? क्या उनके पास अगले तीन वर्षों में ऐसा करने की योजना है?
सीएमएमसी 2.0 अनुपालन के लिए एक सिस्टम सुरक्षा योजना (एसएसपी) जमा करना आवश्यक है। एसएसपी भी एक आवश्यक दस्तावेज है कि ए प्रबंधित सेवा प्रदाता (MSP) अनुपालन में आपकी कंपनी की सहायता के लिए उपयोग कर सकते हैं। स्कोरशीट सीएमएमसी की सुरक्षा आवश्यकताओं की रूपरेखा तैयार करती है और आपको आवश्यक उन्नयन का एक अवलोकन प्राप्त करने में मदद करती है। "पहली बात जो मैं आमतौर पर पूछता हूं, 'क्या आप अपना एसएसपी स्कोर जानते हैं?", चार्ल्स कहते हैं। अन्य कंपनियां उतनी दूर नहीं हो सकती हैं। उस मामले में, चार्ल्स आईटी हमारे ग्राहकों के लिए एक एसएसपी और कार्य योजना और मील के पत्थर (पीओए एंड एम) लिखने के पहले कदम के रूप में एक अंतर या जोखिम मूल्यांकन कर सकता है। "हम यह कहते हैं एक अंतर मूल्यांकन. हमें यह जानने की जरूरत है कि पानी कितना गहरा है, और फिर हम इसका पता लगाएंगे और एक एसएसपी लिखने में उनकी मदद करेंगे," चार्ल्स सलाह देते हैं।
यदि आपके पास अपेक्षाकृत परिपक्व सुरक्षा मुद्रा है और नवीनतम साइबर सुरक्षा सर्वोत्तम प्रथाओं का पालन करते हैं, तो CMMC 2.0 अनुपालन प्राप्त करने में लगभग छह से नौ महीने लगने चाहिए। यदि नहीं, तो आप 18 महीने की समयरेखा देख सकते हैं। दोबारा, जब तक कोई अनुबंध मेज पर नहीं है तब तक प्रतीक्षा न करें - व्यवसायों को खोने से बचने के लिए अभी आरंभ करें।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :है
- $यूपी
- 1
- 2021
- 2023
- 7
- a
- About
- पाना
- प्राप्त करने
- अर्जन
- के पार
- कार्य
- कार्रवाई
- अभिनेताओं
- वास्तव में
- लाभ
- बाद
- के खिलाफ
- गठबंधन
- संरेखित करता है
- सब
- पहले ही
- के बीच
- और
- की घोषणा
- वार्षिक
- अन्य
- जवाब
- एंटीवायरस
- दिखाई देते हैं
- दृष्टिकोण
- उपयुक्त
- अनुमोदित
- हैं
- चारों ओर
- AS
- मूल्यांकन
- सहायता
- At
- आक्रमण
- आक्रमण
- प्रमाणीकरण
- जागरूकता
- आधार
- आधारित
- मूल बातें
- BE
- से पहले
- पीछे
- लाभ
- लाभ
- BEST
- सर्वोत्तम प्रथाओं
- बेहतर
- लाना
- गुच्छा
- व्यापार
- व्यवसायों
- कॉल
- कर सकते हैं
- पा सकते हैं
- वाहक
- मामला
- मुख्य कार्यपालक अधिकारी
- प्रमाणीकरण
- श्रृंखला
- चेन
- परिवर्तन
- परिवर्तन
- बदलना
- चार्ल्स
- स्पष्टता
- ग्राहकों
- बादल
- सामान्य
- समुदाय
- कंपनियों
- कंपनी
- पूरा
- जटिलता
- अनुपालन
- आज्ञाकारी
- जटिल
- चिंता
- आचरण
- का आयोजन
- भ्रमित
- अनुबंध
- ठेकेदारों
- ठेके
- नियंत्रित
- समन्वय
- सका
- व्याप्ति
- कवर
- महत्वपूर्ण
- साइबर हमला
- साइबर सुरक्षा
- तिथि
- तारीख
- रोजाना
- दिन
- गहरा
- रक्षा
- विभाग
- रक्षा विभाग
- डिज़ाइन बनाना
- विस्तृतीकरण
- निर्धारित
- भयानक
- सीधे
- अन्य वायरल पोस्ट से
- दस्तावेज़
- स्र्कना
- e
- आसान
- प्रभाव
- सक्षम बनाता है
- लागू करने
- सुनिश्चित
- संपूर्ण
- जासूसी
- आवश्यक
- स्थापित करना
- मूल्यांकन करें
- और भी
- प्रत्येक
- उदाहरण
- उम्मीद
- संघीय
- संघीय सरकार
- कुछ
- खोज
- अंत
- दृढ़ता से
- प्रथम
- फोकस
- का पालन करें
- निम्नलिखित
- के लिए
- ताकतों
- आगे
- पोषण
- संस्थापक
- ढांचा
- से
- लाभ
- अन्तर
- जीसीसी
- मिल
- मिल रहा
- Go
- अच्छा
- सरकार
- हैकर्स
- आधा
- संभालना
- है
- मदद
- मदद करता है
- हाई
- कैसे
- तथापि
- HTTPS
- i
- की छवि
- लागू करने के
- कार्यान्वयन
- महत्वपूर्ण
- में सुधार
- in
- शामिल
- सहित
- औद्योगिक
- उद्योग
- करें-
- इंफ्रास्ट्रक्चर
- उदाहरण
- बजाय
- संस्थान
- बीमा
- इरादा
- इरादा
- डराना
- निवेश
- मुद्दों
- IT
- यह सुरक्षा
- आईटी इस
- सिर्फ एक
- कुंजी
- जानना
- लेबलिंग
- पिछली बार
- ताज़ा
- लांच
- बिक्रीसूत्र
- लीक
- स्तर
- स्तर
- संभावित
- लॉकहीड मार्टिन
- देख
- हार
- लाभप्रद
- प्रमुख
- बनाना
- निर्माण
- मैन्युअल
- विनिर्माण
- निर्माण उद्योग
- बहुत
- मानचित्रण
- मार्टिन
- मैटर्स
- परिपक्व
- परिपक्वता
- परिपक्वता मॉडल
- उपायों
- मध्यम
- बैठक
- उल्लेख किया
- एमएफए
- माइक्रोसॉफ्ट
- उपलब्धियां
- मिनट
- आदर्श
- महीने
- अधिक
- अधिकांश
- एकाधिक साल
- राष्ट्र
- राष्ट्रीय
- राष्ट्रीय सुरक्षा
- आवश्यक
- आवश्यकता
- नया
- समाचार
- अगला
- NIST
- नवंबर
- नवम्बर 2021
- संख्या
- उद्देश्य
- of
- Office
- on
- ONE
- संचालन
- आदेश
- संगठन
- संगठनों
- मूल
- अन्य
- उल्लिखित
- रूपरेखा
- सिंहावलोकन
- पार्टी
- परिप्रेक्ष्य
- भौतिक
- चित्र
- टुकड़ा
- पाइपलाइन
- योजना
- योजनाओं
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- अंक
- नीति
- गरीब
- व्यावहारिक
- प्रथाओं
- तैयार करना
- तैयारी
- को रोकने के
- प्रक्रिया
- प्रक्रिया
- प्रक्रियाओं
- रक्षा करना
- सुरक्षा
- प्रदाता
- प्रशन
- Ransomware
- बल्कि
- महसूस करना
- कारण
- की सिफारिश
- विनियमन
- नियम
- अपेक्षाकृत
- बाकी है
- याद
- हटाना
- की जगह
- की आवश्यकता होती है
- अपेक्षित
- आवश्यकताएँ
- की आवश्यकता होती है
- जोखिम
- जोखिम मूल्यांकन
- रोडमैप
- नियम
- सत्तारूढ़
- रन
- s
- वही
- कहते हैं
- स्कोर
- हासिल करने
- सुरक्षा
- सुरक्षा जागरूकता
- भावना
- संवेदनशील
- सेवा
- सेवा प्रदाता
- चाहिए
- समान
- एक
- छह
- छोटे
- So
- सॉफ्टवेयर
- कुछ
- गति
- धुआँरा
- मानक
- मानकों
- शुरू
- राज्य
- कदम
- फिर भी
- मजबूत
- सफल
- ऐसा
- आपूर्तिकर्ताओं
- आपूर्ति
- आपूर्ति श्रृंखला
- पहुंचाने का तरीका
- प्रणाली
- सिस्टम
- तालिका
- लेना
- ले जा
- बाते
- लक्ष्य
- टेक्नोलॉजी
- कि
- RSI
- मूल बातें
- लेकिन हाल ही
- उन
- इन
- बात
- तीसरा
- तीसरे दल
- विचार
- धमकी
- खतरों के खिलाड़ी
- तीन
- पहर
- समय
- सेवा मेरे
- एक साथ
- भी
- ट्रैक
- प्रशिक्षण
- अंत में
- समझना
- अद्यतन
- उन्नयन
- उन्नयन
- तात्कालिकता
- उपयोग
- आमतौर पर
- विभिन्न
- विक्रेताओं
- प्रतीक्षा
- पानी
- क्या
- कौन कौन से
- जब
- मर्जी
- खिड़कियां
- साथ में
- अंदर
- बिना
- जीत लिया
- शब्द
- लिखना
- लिख रहे हैं
- वर्ष
- साल
- आप
- आपका
- स्वयं
- जेफिरनेट