चार्ल्स आईटी के संस्थापक, फोस्टर चार्ल्स, DoD नियम बनाने के बीच CMMC 2.0 पर बातचीत करते हैं

प्लेटो द्वारा पुनर्प्रकाशित

अनुयायियों: 0

हमारे द्वारा ट्रैक किए जाने वाले 13 बीमा वाहकों में से नौ तब तक पॉलिसी नहीं लिखेंगे जब तक कि आपके पास एमएफए न हो। सीएमएमसी 2.0 के साथ भी - और कार्य योजना और मील के पत्थर (पीओए और एम) को स्वीकार नहीं किया जाएगा यदि आपके पास एमएफए, एंटीवायरस और सुरक्षा जागरूकता प्रशिक्षण जैसी मूलभूत बातें नहीं हैं। - फोस्टर चार्ल्स, संस्थापक और सीईओ, चार्ल्स आईटी

मिडलटाउन, कन. (PRWEB) मार्च २०,२०२१

रक्षा विभाग (DoD) ने नए साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन की घोषणा की, सीएमएमसी 2.0, नवंबर 2021 में। बदलाव तब आया जब यह निर्धारित किया गया कि मूल सीएमएमसी 1.0 मॉडल ठेकेदारों के लिए बहुत बोझिल और भ्रमित करने वाला था। हालांकि, आशय वही रहता है: यह सुनिश्चित करने के लिए कि रक्षा औद्योगिक आधार (DIB) ठेकेदारों के पास नियंत्रित अवर्गीकृत सूचना (CUI) और संघीय अनुबंध सूचना (FCI) सहित संवेदनशील सूचनाओं की सुरक्षा के लिए उचित उपाय और प्रक्रियाएँ हैं।

यह समझना महत्वपूर्ण है कि CMMC 2.0 वास्तव में कोई नई बात नहीं है। आवश्यकताएं राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) एसपी 800-171 पर आधारित हैं और रक्षा संघीय अधिग्रहण विनियमन पूरक (डीएफएआरएस) के साथ सीधे संरेखित हैं, जो कुछ समय के लिए आवश्यक है।

क्या मायने रखता है कि आप आईटी सुरक्षा के लिए इन सर्वोत्तम प्रथाओं को कितनी सख्ती से लागू कर रहे हैं, क्योंकि नए नियमों को 2023 में मजबूती से लागू किया जाएगा। सफल होने के लिए, ठेकेदारों को अनुपालन के लिए अपना दृष्टिकोण बदलना होगा या आकर्षक अनुबंधों को खोने या भारी जुर्माना लगाने का जोखिम उठाना होगा।

सीएमएमसी 2.0 में उच्च स्तरीय परिवर्तन

सीएमएमसी 1.0 का उद्देश्य विभिन्न सुरक्षा आवश्यकताओं को संघीय सरकार के लिए एकल अनुपालन मानक में एकत्रित करना है। जबकि इरादा नेक था, नियम बहुत जटिल थे। CMMC 2.0, CMMC 1.0 का सरलीकरण है - संघीय रक्षा सुरक्षा में सुधार के लिए DIB ठेकेदारों के लिए अनुपालन प्राप्त करना बहुत आसान बनाता है।

स्तर एक को एनआईएसटी के साइबर सुरक्षा ढांचे (सीएसएफ) के समान 17 सर्वोत्तम प्रथाओं के स्व-मूल्यांकन की आवश्यकता है। स्तर दो NIST SP 800-171 के साथ संरेखित करता है और इसके लिए CMMC तृतीय पक्ष मूल्यांकन संगठन (C3PAO) से प्रमाणन की आवश्यकता होती है। अंत में, DIB ठेकेदार जो शीर्ष-गुप्त सूचनाओं को संभालते हैं, उन्हें NIST 800-172 के आधार पर स्तर तीन अनुपालन प्राप्त करना चाहिए।

सीएमएमसी 2.0 एनआईएसटी एसपी 800-171 में शामिल नहीं की गई आवश्यकताओं को हटाता है ताकि अनुपालन को और अधिक व्यावहारिक बनाया जा सके। यह संपूर्ण आपूर्ति श्रृंखला में सुरक्षा सुनिश्चित करने के लिए DIB उपठेकेदारों को भी शामिल करता है क्योंकि अधिक दुर्भावनापूर्ण अभिनेता छोटी कंपनियों को लक्षित करते हैं जो उद्योग के दिग्गजों (जैसे, लॉकहीड मार्टिन) के साथ अनुबंध करती हैं। "हैकर्स को एक सप्लायर से सीयूआई का सिर्फ एक टुकड़ा मिल सकता है। लेकिन अगर वे उनमें से एक समूह को एक साथ ढेर कर दें, तो वे एक पूरी तस्वीर प्राप्त कर सकते हैं - इस तरह रहस्य लीक हो जाते हैं। सीएमएमसी 2.0 राज्य के रहस्यों को सुरक्षित करने के बारे में है," चार्ल्स कहते हैं।

साइबर युद्ध नवीनतम चिंता है, और अच्छे कारणों के लिए। उदाहरण के लिए, खतरे के कारक बुनियादी ढांचे पर साइबर हमले शुरू कर सकते हैं (उदाहरण के लिए, औपनिवेशिक पाइपलाइन हमला), फिर अधिक विनाशकारी भौतिक हमले शुरू करने के लिए विस्तारित डाउनटाइम का लाभ उठाएं - जो पूरे देश को रोक सकता है।

इन परिवर्तनों का मुख्य निष्कर्ष क्या है, और अपनी प्रक्रियाओं को अपडेट करते समय आपको क्या जानने की आवश्यकता है?

सीएमएमसी 2.0 का एक प्रमुख उद्देश्य स्पष्टता लाना और जटिलता को दूर करना है। उदाहरण के लिए, इसे स्तर दो और तीन अनुपालन के लिए हर तीन साल (वार्षिक मूल्यांकन के बजाय) में तीसरे पक्ष के प्रमाणीकरण की आवश्यकता होती है।

इसके अलावा, प्रक्रियाओं को समझना आसान है, इसलिए आपका ध्यान अपनी सुरक्षा स्थिति को अपडेट करने पर हो सकता है।

सीएमएमसी 2.0 डीआईबी ठेकेदारों को कैसे लाभ पहुंचाता है

सीएमएमसी 2.0 डेटा लीक और जासूसी को रोकने के लिए सीयूआई की बेहतर सुरक्षा को सक्षम बनाता है। यह राष्ट्रीय सुरक्षा को मजबूत करता है और आपूर्ति श्रृंखला या राज्य-प्रायोजित हमलों से बचाने में मदद करता है। हालाँकि, यह समझें कि यह DIB ठेकेदारों को उनके संचालन में भी लाभान्वित करता है: “विनिर्माण उद्योग IT और सुरक्षा में बहुत पीछे है। कंपनियां अभी भी कई प्रक्रियाएं मैन्युअल रूप से चलाती हैं, जो बहुत असुरक्षित है। उनकी खराब आईटी सुरक्षा स्वच्छता अक्सर महंगे रैंसमवेयर और अन्य हमलों का कारण बनती है। सीएमएमसी 2.0 इन ठेकेदारों को अच्छी व्यावसायिक आदतें स्थापित करने के लिए मजबूर करता है जो अंततः उनके संगठनों के लिए अच्छे हैं," चार्ल्स कहते हैं।

एक और नियमन के बारे में सोचा जाना डराने वाला हो सकता है। अच्छी खबर यह है कि सीएमएमसी 2.0 का आधा पहले से ही एनआईएसटी एसपी 800-171 में है - साइबर सुरक्षा प्रथाओं का विवरण जो डीआईबी ठेकेदारों को पहले से ही पालन करना चाहिए, उदाहरण के लिए, एंटीवायरस सॉफ़्टवेयर का उपयोग करना, बहु-कारक प्रमाणीकरण (एमएफए) लागू करना, और सभी सीयूआई को मैप करना और लेबल करना .

गंभीर रूप से, सीएमएमसी 2.0 में उल्लिखित कई उपायों को लागू किए बिना कंपनियां साइबर सुरक्षा बीमा कवरेज भी प्राप्त नहीं कर सकती हैं। "13 में से नौ बीमा वाहक जिन्हें हम ट्रैक करते हैं, वे तब तक पॉलिसी नहीं लिखेंगे जब तक आपके पास एमएफए न हो। सीएमएमसी 2.0 के साथ भी - और कार्य योजना और मील के पत्थर (पीओए और एम) को स्वीकार नहीं किया जाएगा यदि आपके पास एमएफए, एंटीवायरस और सुरक्षा जागरूकता प्रशिक्षण जैसी मूल बातें नहीं हैं, "चार्ल्स कहते हैं।

सीएमएमसी 2.0 संपूर्ण रक्षा उद्योग के लिए प्रौद्योगिकी के दृष्टिकोण से गति प्राप्त करने के लिए एक आवश्यक कदम है।

अपना दृष्टिकोण बदलना क्यों महत्वपूर्ण है

जैसा कि उल्लेख किया गया है, सीएमएमसी 2.0 के बारे में सबसे आम गलत धारणा यह है कि यह एक नया अनुपालन मानक है, जबकि वास्तव में ऐसा नहीं है।

दूसरी महत्वपूर्ण ग़लतफ़हमी यह है कि कई ठेकेदार मानते हैं कि वे कार्रवाई करने से पहले सीएमएमसी 2.0 नियम को मंजूरी मिलने तक प्रतीक्षा कर सकते हैं। कई ठेकेदार इस बात को कम आंकते हैं कि उनकी सुरक्षा मुद्रा का मूल्यांकन करने, उपचारात्मक कार्रवाइयों को लागू करने और उनके तृतीय-पक्ष का मूल्यांकन प्राप्त करने में कितना समय लगेगा। कुछ लोग यह भी गलत आंकते हैं कि तकनीकी रूप से उनकी प्रणालियाँ और प्रक्रियाएँ कितनी पीछे हैं और अनुपालन प्राप्त करने के लिए कितना निवेश आवश्यक है। यह भी याद रखना आवश्यक है कि इन मानकों को पूरा करने के लिए विक्रेताओं के साथ समन्वय की आवश्यकता होती है, जिसे पूरा होने में समय लग सकता है। "कई ठेकेदार अपनी आपूर्ति श्रृंखलाओं की जटिलता और उनके द्वारा उपयोग किए जाने वाले तीसरे पक्ष के विक्रेताओं की संख्या को अनदेखा करते हैं। उदाहरण के लिए, आपको पता चल सकता है कि कुछ आपूर्तिकर्ता अभी भी विंडोज 7 का उपयोग करते हैं और अपग्रेड करने से इनकार करते हैं। इसलिए यदि आपके विक्रेता आज्ञाकारी नहीं हैं, तो आप अपने आप को एक अचार में पा सकते हैं, और आपको उनकी तकनीक को उन्नत करने के लिए प्रतीक्षा करनी होगी, ”चार्ल्स कहते हैं।

क्लाउड अनुपालन के मुद्दे भी हैं, चार्ल्स बताते हैं। कई ठेकेदार यह भी महसूस नहीं करते हैं कि वे किसी भी क्लाउड पर CUI को प्रोसेस नहीं कर सकते हैं - आपके प्लेटफॉर्म को Fedram मीडियम या Fedram High क्लाउड पर होना चाहिए। उदाहरण के लिए, Office 365 के बजाय, आपको Microsoft 365 Government Community Cloud High (GCC High) का उपयोग करना चाहिए।

सीएमएमसी 2.0 की तैयारी कैसे करें

जितनी जल्दी हो सके तैयारी शुरू कर दें यदि आपने पहले से तैयारी नहीं की है और इस प्रक्रिया में एक या दो साल लगने की उम्मीद है। CMMC 2.0 के 2023 में प्रभावी होने की संभावना है, और जैसे ही यह लागू होगा, यह 60 दिनों के भीतर सभी अनुबंधों पर दिखाई देगा। आप आखिरी मिनट तक इंतजार नहीं कर सकते।

दूसरे शब्दों में, ठेकेदारों को अत्यावश्यकता की भावना से लाभ होगा। "एक ही बार में अनुपालन प्राप्त करना किसी संगठन और उसकी दिन-प्रतिदिन की व्यावसायिक प्रक्रियाओं के लिए एक बड़ा झटका हो सकता है। मैं एक मूल्यांकन करने और एक बहु-वर्षीय रोडमैप तैयार करने की सलाह देता हूं," चार्ल्स कहते हैं। इस योजना को प्रश्नों का उत्तर देना चाहिए जैसे: आपको किन मशीनों/हार्डवेयर को बदलने की आवश्यकता है? किन तृतीय-पक्ष विक्रेताओं को अपग्रेड की आवश्यकता है? क्या उनके पास अगले तीन वर्षों में ऐसा करने की योजना है?

सीएमएमसी 2.0 अनुपालन के लिए एक सिस्टम सुरक्षा योजना (एसएसपी) जमा करना आवश्यक है। एसएसपी भी एक आवश्यक दस्तावेज है कि ए प्रबंधित सेवा प्रदाता (MSP) अनुपालन में आपकी कंपनी की सहायता के लिए उपयोग कर सकते हैं। स्कोरशीट सीएमएमसी की सुरक्षा आवश्यकताओं की रूपरेखा तैयार करती है और आपको आवश्यक उन्नयन का एक अवलोकन प्राप्त करने में मदद करती है। "पहली बात जो मैं आमतौर पर पूछता हूं, 'क्या आप अपना एसएसपी स्कोर जानते हैं?", चार्ल्स कहते हैं। अन्य कंपनियां उतनी दूर नहीं हो सकती हैं। उस मामले में, चार्ल्स आईटी हमारे ग्राहकों के लिए एक एसएसपी और कार्य योजना और मील के पत्थर (पीओए एंड एम) लिखने के पहले कदम के रूप में एक अंतर या जोखिम मूल्यांकन कर सकता है। "हम यह कहते हैं एक अंतर मूल्यांकन. हमें यह जानने की जरूरत है कि पानी कितना गहरा है, और फिर हम इसका पता लगाएंगे और एक एसएसपी लिखने में उनकी मदद करेंगे," चार्ल्स सलाह देते हैं।

यदि आपके पास अपेक्षाकृत परिपक्व सुरक्षा मुद्रा है और नवीनतम साइबर सुरक्षा सर्वोत्तम प्रथाओं का पालन करते हैं, तो CMMC 2.0 अनुपालन प्राप्त करने में लगभग छह से नौ महीने लगने चाहिए। यदि नहीं, तो आप 18 महीने की समयरेखा देख सकते हैं। दोबारा, जब तक कोई अनुबंध मेज पर नहीं है तब तक प्रतीक्षा न करें - व्यवसायों को खोने से बचने के लिए अभी आरंभ करें।