Az általunk nyomon követett 13 biztosítási szolgáltató közül kilenc nem ír kötvényt, hacsak nem rendelkezik MFA-val. Ugyanez a CMMC 2.0-val – és a cselekvési tervet és a mérföldköveket (POA&M) nem fogadjuk el, ha nem rendelkezik olyan alapismeretekkel, mint például az MFA, a vírusirtó és a biztonsági tudatosság képzése. – Foster Charles, a Charles IT alapítója és vezérigazgatója
MIDDLETOWN, Conn. (PRWEB) Március 27, 2023
A Védelmi Minisztérium (DoD) bejelentette az új kiberbiztonsági érettségi modell tanúsítványt, CMMC 2.0, 2021 novemberében. A változás azután történt, hogy megállapították, hogy az eredeti CMMC 1.0 modell túl nehézkes és zavaró volt a vállalkozók számára. A szándék azonban változatlan: annak biztosítása, hogy a Védelmi Ipari Bázis (DIB) vállalkozói rendelkezzenek a megfelelő intézkedésekkel és eljárásokkal az érzékeny információk védelmére, beleértve a kontrollált nem minősített információkat (CUI) és a szövetségi szerződéssel kapcsolatos információkat (FCI).
Amit fontos megérteni, az az, hogy a CMMC 2.0 valójában nem újdonság. A követelmények az Országos Szabványügyi és Technológiai Intézet (NIST) SP 800-171 szabványán alapulnak, és közvetlenül illeszkednek a Védelmi Szövetségi Felvásárlási Szabályzat-kiegészítéshez (DFARS), amelyre már egy ideje szükség van.
Az számít, hogy mennyire szigorúan alkalmazza ezeket a bevált IT-biztonsági gyakorlatokat, mivel az új szabályozást 2023-ban szilárdan betartják. Ahhoz, hogy sikeresek lehessenek, a vállalkozóknak meg kell változtatniuk a megfelelőséghez való hozzáállásukat, különben kockáztatják, hogy elveszítik a jövedelmező szerződéseket vagy súlyos bírságokat sújtanak.
Magas szintű változások a CMMC 2.0-ban
A CMMC 1.0 célja, hogy a különböző biztonsági követelményeket egyetlen megfelelőségi szabványba foglalja össze a szövetségi kormány számára. Bár a szándék jó volt, a szabályok nagyon bonyolultak voltak. A CMMC 2.0 a CMMC 1.0 leegyszerűsítése, amely sokkal könnyebbé teszi a DIB-vállalkozók számára a megfelelőség elérését a szövetségi védelmi biztonság javítása érdekében.
Az első szint 17 bevált gyakorlat önértékelését igényli, hasonlóan a NIST kiberbiztonsági keretrendszeréhez (CSF). A második szint a NIST SP 800-171 szabványhoz igazodik, és a CMMC harmadik fél értékelési szervezetétől (C3PAO) kapott tanúsítványt igényel. Végül a szigorúan titkos információkat kezelő DIB-vállalkozóknak el kell érniük a harmadik szintű megfelelőséget a NIST 800-172 szabvány alapján.
A CMMC 2.0 eltávolítja a NIST SP 800-171-ben nem szereplő követelményeket, hogy praktikusabb legyen a megfelelőség elérése és betartatása. A DIB alvállalkozókra is kiterjed, hogy biztosítsák a biztonságot a teljes ellátási láncban, mivel a rosszindulatú szereplők olyan kisebb vállalatokat céloznak meg, amelyek iparági óriásokkal (pl. Lockheed Martin) szerződnek. „Előfordulhat, hogy a hackerek csak egy darab CUI-t kapnak egy szállítótól. De ha egy csomót egymásra raknak, meglehetősen teljes képet kaphatnak – így szivárognak ki a titkok. A CMMC 2.0 az államtitkok védelméről szól” – mondja Charles.
A kiberhadviselés a legújabb probléma, és ennek jó oka van. Például a fenyegetés szereplői kibertámadást indíthatnak az infrastruktúra ellen (pl. a Colonial Pipeline támadás), majd kihasználhatják a meghosszabbított állásidőt egy pusztítóbb fizikai támadás indítására – ami az egész nemzetet leállíthatja.
Mi a legfontosabb ezeknek a változtatásoknak a lényege, és mit kell tudnia a folyamatok frissítésekor?
A CMMC 2.0 egyik fő célja az egyértelműség és a bonyolultság megszüntetése. Például háromévente (az éves értékelés helyett) harmadik féltől származó tanúsítványra van szükség a második és harmadik szintű megfelelőséghez.
Ezen túlmenően az eljárások könnyebben érthetők, így Ön a biztonsági helyzet naprakészen tartására összpontosíthat.
Hogyan előnyös a CMMC 2.0 a DIB vállalkozóknak?
A CMMC 2.0 lehetővé teszi a CUI jobb védelmét az adatszivárgás és a kémkedés megakadályozása érdekében. Erősíti a nemzetbiztonságot, és segít az ellátási lánc vagy az állam által támogatott támadások elleni védelemben. Ne feledje azonban, hogy ez a DIB vállalkozók számára is előnyös működésük során: „A feldolgozóipar nagyon le van maradva az IT és a biztonság terén. A vállalatok továbbra is számos folyamatot manuálisan futtatnak, ami nagyon nem biztonságos. Rossz IT-biztonsági higiéniájuk gyakran költséges zsarolóprogramokhoz és egyéb támadásokhoz vezet. A CMMC 2.0 arra kényszeríti ezeket a vállalkozókat, hogy olyan jó üzleti szokásokat alakítsanak ki, amelyek végső soron jót tesznek szervezeteiknek” – mondja Charles.
Egy újabb szabályozás gondolata ijesztő lehet. A jó hír az, hogy a CMMC 2.0 fele már a NIST SP 800-171-ben található – részletezi azokat a kiberbiztonsági gyakorlatokat, amelyeket a DIB-alvállalkozóknak már követniük kell, például a vírusirtó szoftverek használata, a többtényezős hitelesítés (MFA) megvalósítása, valamint az összes CUI feltérképezése és címkézése. .
Kritikus szempont, hogy a vállalatok a CMMC 2.0-ban felvázolt számos intézkedés végrehajtása nélkül még kiberbiztonsági biztosítást sem kaphatnak. „13 általunk nyomon követett biztosítási szolgáltató közül kilenc nem ír kötvényt, hacsak nem rendelkezik MFA-val. Ugyanez a CMMC 2.0-val – és a cselekvési tervet és a mérföldköveket (POA&M) nem fogadjuk el, ha nem rendelkezik olyan alapismeretekkel, mint például az MFA, a vírusirtó és a biztonsági tudatosság képzése” – mondja Charles.
A CMMC 2.0 szükséges előrelépés az egész védelmi ipar számára, hogy felgyorsuljon technológiai szempontból.
Miért kulcsfontosságú a megközelítés megváltoztatása
Mint említettük, a CMMC 2.0-val kapcsolatos leggyakoribb tévhit az, hogy ez egy új megfelelőségi szabvány, holott valójában nem az.
A másik döntő tévhit az, hogy sok vállalkozó azt feltételezi, hogy megvárhatja a CMMC 2.0-s határozat jóváhagyását, mielőtt intézkedne. Sok vállalkozó alábecsüli, hogy mennyi időbe telik a biztonsági helyzet értékelése, a helyreállítási intézkedések végrehajtása és a harmadik fél értékelése. Egyesek azt is rosszul ítélik meg, hogy rendszereik és folyamataik technikailag mennyire állnak mögötte, valamint a megfelelőség eléréséhez szükséges beruházások mértéke. Fontos megjegyezni azt is, hogy ezeknek a szabványoknak való megfeleléshez a szállítókkal való egyeztetés szükséges, ami időbe telhet. „Sok vállalkozó figyelmen kívül hagyja ellátási lánca összetettségét és az általa használt külső szállítók számát. Felfedezheti például, hogy néhány szállító még mindig Windows 7-et használ, és megtagadja a frissítést. Ha tehát a szállítói nem felelnek meg az előírásoknak, meg kell találnia magát a pácban, és meg kell várnia, amíg frissítik a technológiájukat” – mondja Charles.
A felhőalapú megfeleléssel is vannak problémák – mutat rá Charles. Sok vállalkozó azt sem veszi észre, hogy nem tudja feldolgozni a CUI-t egyetlen felhőn sem – az Ön platformjának Fedramp közepes vagy Fedramp magas felhőn kell ülnie. Például az Office 365 helyett a Microsoft 365 Government Community Cloud High (GCC High) szolgáltatást kell használnia.
Hogyan készüljünk a CMMC 2.0-ra
Kezdje el a felkészülést a lehető leghamarabb, ha még nem tette meg, és számítson arra, hogy a folyamat egy-két évig tart. A CMMC 2.0 valószínűleg 2023-ban lép életbe, és amint megtörténik, 60 napon belül minden szerződésen megjelenik. Nem engedheti meg magának, hogy az utolsó pillanatig várjon.
Más szóval, a vállalkozók számára előnyös lesz a sürgősség érzése. „A megfelelőség egy lépésben történő elérése komoly megrázkódtatást jelenthet a szervezetnek és napi üzleti folyamatainak. Azt javaslom, végezzen értékelést, és készítsen több évre szóló ütemtervet” – mondja Charles. Ennek a tervnek meg kell válaszolnia a következő kérdéseket: Milyen gépeket/hardvert kell cserélnie? Mely külső gyártók igényelnek frissítést? Tervezik-e ezt a következő három évben?”
A rendszerbiztonsági terv (SSP) benyújtása elengedhetetlen a CMMC 2.0 megfelelőségéhez. Az SSP is lényeges dokumentum, amely a menedzselt szolgáltató (MSP) segítségével segítheti cégét a megfelelésben. A pontozólap felvázolja a CMMC biztonsági követelményeit, és segít áttekintést kapni a szükséges frissítésekről. „Az első dolog, amit általában megkérdezek, az az, hogy „tudja az SSP pontszámát?” – mondja Charles. Más cégek nem biztos, hogy olyan messze vannak. Ebben az esetben a Charles IT hiány- vagy kockázatértékelést végezhet ügyfeleink számára az SSP, valamint a cselekvési terv és a mérföldkövek (POA&M) megírásának első lépéseként. „Mi úgy hívjuk hiánybecslés. Tudnunk kell, milyen mély a víz, és akkor pontosan meghatározzuk, és segítünk nekik SSP-t írni” – tanácsolja Charles.
Ha viszonylag kiforrott biztonsági helyzetben van, és követi a legújabb kiberbiztonsági bevált gyakorlatokat, a CMMC 2.0 megfelelőségének elérése körülbelül hat-kilenc hónapot vesz igénybe. Ha nem, akkor nézhet egy 18 hónapos idővonalat. Ismételten, ne várja meg a szerződés megkötését – kezdje el most, hogy elkerülje a vállalkozások elvesztését.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :is
- $ UP
- 1
- 2021
- 2023
- 7
- a
- Rólunk
- Elérése
- elérése
- beszerzés
- át
- Akció
- cselekvések
- szereplők
- tulajdonképpen
- Előny
- Után
- ellen
- igazított
- Igazítás
- Minden termék
- már
- Között
- és a
- bejelentés
- évi
- Másik
- válasz
- víruskereső
- megjelenik
- megközelítés
- megfelelő
- jóváhagyott
- VANNAK
- körül
- AS
- értékelés
- segít
- At
- támadás
- Támadások
- Hitelesítés
- tudatosság
- bázis
- alapján
- Alapjai
- BE
- előtt
- mögött
- haszon
- Előnyök
- BEST
- legjobb gyakorlatok
- Jobb
- hoz
- Csokor
- üzleti
- vállalkozások
- hívás
- TUD
- Kaphat
- hordozók
- eset
- vezérigazgató
- Tanúsítvány
- lánc
- láncok
- változik
- Változások
- változó
- Károly
- világosság
- ügyfél részére
- felhő
- Közös
- közösség
- Companies
- vállalat
- teljes
- bonyolultság
- teljesítés
- engedékeny
- bonyolult
- Vonatkozik
- Magatartás
- vezető
- zavaró
- szerződés
- vállalkozók
- szerződések
- vezérelt
- összehangolás
- tudott
- lefedettség
- Covers
- kritikus
- cyberattack
- Kiberbiztonság
- dátum
- találka
- napról napra
- Nap
- mély
- Védelem
- osztály
- védelmi részleg
- tervezés
- részletezve
- eltökélt
- pusztító
- közvetlenül
- felfedez
- dokumentum
- állásidő
- e
- könnyebb
- hatás
- lehetővé teszi
- érvényesítése
- biztosítására
- Egész
- kémkedés
- alapvető
- létrehozni
- értékelni
- Még
- Minden
- példa
- vár
- Szövetségi
- Szövetségi kormány
- kevés
- Találjon
- végek
- határozottan
- vezetéknév
- Összpontosít
- következik
- következő
- A
- erők
- Előre
- Foster
- alapító
- Keretrendszer
- ból ből
- Nyereség
- rés
- GCC
- kap
- szerzés
- Go
- jó
- Kormány
- hackerek
- fél
- fogantyú
- Legyen
- segít
- segít
- Magas
- Hogyan
- azonban
- HTTPS
- i
- kép
- végre
- végrehajtási
- fontos
- javul
- in
- beleértve
- Beleértve
- ipari
- ipar
- információ
- Infrastruktúra
- példa
- helyette
- Intézet
- biztosítás
- A szándék
- Szándék
- megfélemlítő
- beruházás
- kérdések
- IT
- ez biztonság
- ITS
- csak egy
- Kulcs
- Ismer
- címkézés
- keresztnév
- legutolsó
- indít
- vezetékek
- Szivárgás
- szint
- szintek
- Valószínű
- Lockheed Martin
- keres
- vesztes
- jövedelmező
- fontos
- csinál
- Gyártás
- kézzel
- gyártási
- feldolgozó ipar
- sok
- térképészet
- Márton
- számít
- érett
- érettség
- Lejárati modell
- intézkedések
- közepes
- találkozó
- említett
- MFA
- microsoft
- mérföldkövek
- perc
- modell
- hónap
- több
- a legtöbb
- többéves
- nemzet
- nemzeti
- nemzetbiztonság
- elengedhetetlen
- Szükség
- Új
- hír
- következő
- nst
- november
- november 2021
- szám
- célkitűzés
- of
- Office
- on
- ONE
- Művelet
- érdekében
- szervezet
- szervezetek
- eredeti
- Más
- vázolt
- körvonalak
- áttekintés
- párt
- perspektíva
- fizikai
- kép
- darab
- csővezeték
- terv
- tervek
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- politika
- szegény
- Gyakorlati
- gyakorlat
- Készít
- előkészítése
- megakadályozása
- eljárások
- folyamat
- Folyamatok
- védelme
- védelem
- ellátó
- Kérdések
- ransomware
- Inkább
- észre
- miatt
- ajánl
- Szabályozás
- előírások
- viszonylag
- maradványok
- eszébe jut
- eltávolítása
- cserélni
- szükség
- kötelező
- követelmények
- megköveteli,
- Kockázat
- kockázatértékelés
- ütemterv
- szabályok
- uralkodó
- futás
- s
- azonos
- azt mondja,
- pontszám
- biztosítása
- biztonság
- Biztonsági tudatosság
- értelemben
- érzékeny
- szolgáltatás
- Szolgáltató
- kellene
- hasonló
- egyetlen
- SIX
- kisebb
- So
- szoftver
- néhány
- sebesség
- verem
- standard
- szabványok
- kezdődött
- Állami
- Lépés
- Még mindig
- erősíti
- sikeres
- ilyen
- szállítók
- kínálat
- ellátási lánc
- Ellátási láncok
- rendszer
- Systems
- táblázat
- Vesz
- bevétel
- Talks
- cél
- Technológia
- hogy
- A
- Az alapok
- azok
- Őket
- Ezek
- dolog
- Harmadik
- harmadik fél
- gondoltam
- fenyegetés
- fenyegetés szereplői
- három
- idő
- időrendben
- nak nek
- együtt
- is
- vágány
- Képzések
- Végül
- megért
- frissítése
- frissítés
- fejlesztések
- sürgősség
- használ
- rendszerint
- különféle
- gyártók
- várjon
- Víz
- Mit
- ami
- míg
- lesz
- ablakok
- val vel
- belül
- nélkül
- Nyerte
- szavak
- ír
- írás
- év
- év
- te
- A te
- magad
- zephyrnet