תשעה מתוך 13 חברות ביטוח שאנו עוקבים אחריהם לא יכתבו פוליסה אלא אם יש לך MFA. אותו דבר עם CMMC 2.0 - ותוכנית פעולה ואבני דרך (POA&M) לא תתקבל אם אין לך את היסודות כגון MFA, אנטי וירוס והדרכה למודעות אבטחה. - פוסטר צ'ארלס, מייסד ומנכ"ל, צ'ארלס IT
MIDDLETOWN, קונטיקט (PRWEB) במרץ 27, 2023
משרד ההגנה (DoD) הכריז על אישור מודל הבגרות החדש של אבטחת סייבר, CMMC 2.0, בנובמבר 2021. השינוי הגיע לאחר שנקבע כי דגם ה-CMMC 1.0 המקורי היה מסורבל ומבלבל מדי עבור קבלנים. הכוונה, עם זאת, נותרה זהה: להבטיח שלקבלני בסיס תעשייתי ההגנה (DIB) יהיו האמצעים והנהלים המתאימים להגנה על מידע רגיש, כולל מידע מבוקר לא מסווג (CUI) ומידע חוזים פדרלי (FCI).
מה שחשוב להבין הוא ש-CMMC 2.0 אינו דבר חדש. הדרישות מבוססות על המכון הלאומי לתקנים וטכנולוגיה (NIST) SP 800-171 ומתואמות ישירות ל-Defense Federal Acquisition Supplement (DFARS), אשר נדרש כבר זמן מה.
מה שחשוב הוא באיזו קפדנות אתה מיישם את שיטות העבודה המומלצות הללו לאבטחת IT, שכן התקנות החדשות יאכפו בחוזקה בשנת 2023. כדי להצליח, קבלנים חייבים לשנות את הגישה שלהם לציות או להסתכן בהפסד מחוזים משתלמים או קנסות כבדים.
שינויים ברמה גבוהה ב-CMMC 2.0
מטרת CMMC 1.0 הייתה לצבור דרישות אבטחה שונות לתקן תאימות אחד עבור הממשל הפדרלי. אמנם הכוונה הייתה טובה, אבל הכללים היו מאוד מסובכים. CMMC 2.0 הוא פישוט של CMMC 1.0 - מה שמקל בהרבה על קבלני DIB להשיג תאימות על מנת לשפר את אבטחת ההגנה הפדרלית.
רמה א' דורשת הערכה עצמית של 17 שיטות עבודה מומלצות הדומות למסגרת אבטחת הסייבר (CSF) של NIST. רמה שניה מתיישרת עם NIST SP 800-171 ודורשת הסמכה מארגון CMMC להערכה של צד שלישי (C3PAO). לבסוף, קבלני DIB שמטפלים במידע סודי ביותר חייבים להשיג תאימות ברמה שלוש על בסיס NIST 800-172.
CMMC 2.0 מסיר דרישות שאינן כלולות ב-NIST SP 800-171 כדי להפוך את השגת ואכיפת התאימות למעשית יותר. זה מכסה גם קבלני משנה של DIB כדי להבטיח אבטחה בכל שרשרת האספקה, שכן שחקנים זדוניים יותר מכוונים לחברות קטנות יותר המתקשרות עם ענקיות התעשייה (למשל, לוקהיד מרטין). "האקרים עשויים לקבל רק חתיכה אחת של CUI מספק אחד. אבל אם הם עורמים חבורה מהם יחד, הם יכולים לקבל תמונה די מלאה - כך סודות דולפים. CMMC 2.0 עוסק בהבטחת סודות מדינה", אומר צ'ארלס.
לוחמת סייבר היא החשש האחרון, ויש לכך סיבות טובות. לדוגמה, גורמי איומים יכולים להפעיל מתקפת סייבר על תשתיות (למשל, מתקפת הצינור הקולוניאלי), ואז לנצל את זמן ההשבתה הממושך כדי לפתוח במתקפה פיזית הרסנית יותר - שעלולה להפסיק את האומה כולה.
מה עיקר השינויים הללו, ומה אתה צריך לדעת בעת עדכון התהליכים שלך?
מטרת מפתח של CMMC 2.0 היא להביא בהירות ולהסיר מורכבות. לדוגמה, זה דורש הסמכה של צד שלישי כל שלוש שנים (במקום הערכה שנתית) עבור עמידה ברמות שתיים ושלוש.
יתר על כן, ההליכים קלים יותר להבנה, כך שההתמקדות שלך יכולה להיות בעדכון עמדת האבטחה שלך.
כיצד CMMC 2.0 מועיל לקבלני DIB
CMMC 2.0 מאפשר הגנה טובה יותר על CUI כדי למנוע דליפות נתונים וריגול. זה מחזק את הביטחון הלאומי ומסייע בהגנה מפני שרשרת אספקה או התקפות בחסות המדינה. עם זאת, הבינו שזה מועיל גם לקבלני DIB בפעילותם: "תעשיית הייצור נמצאת מאוד מאחור בתחום ה-IT והאבטחה. חברות עדיין מפעילות תהליכים רבים באופן ידני, וזה מאוד לא בטוח. היגיינת אבטחת ה-IT הגרועה שלהם מובילה לעתים קרובות לתוכנות כופר יקרות והתקפות אחרות. CMMC 2.0 מאלץ את הקבלנים הללו ליצור הרגלים עסקיים טובים שבסופו של דבר טובים לארגונים שלהם", אומר צ'ארלס.
המחשבה על עוד תקנה עשויה להיות מאיימת. החדשות הטובות הן שמחצית מ-CMMC 2.0 כבר נמצאת ב-NIST SP 800-171 - ומפרטת נוהלי אבטחת סייבר שקבלני DIB כבר צריכים לעקוב אחריהם, למשל, שימוש בתוכנת אנטי-וירוס, הטמעת אימות רב-גורמי (MFA), ומיפוי ותווית של כל ה-CUI .
באופן קריטי, חברות אפילו לא יכולות לקבל כיסוי ביטוחי אבטחת סייבר מבלי ליישם רבים מהאמצעים המתוארים ב-CMMC 2.0. "תשעה מתוך 13 חברות ביטוח שאנו עוקבים אחריהם לא יכתבו פוליסה אלא אם יש לך MFA. אותו דבר עם CMMC 2.0 - ותוכנית פעולה ואבני דרך (POA&M) לא תתקבל אם אין לך את היסודות כמו MFA, אנטי וירוס והדרכה למודעות אבטחה", אומר צ'ארלס.
CMMC 2.0 הוא צעד הכרחי קדימה עבור התעשייה הביטחונית כולה כדי להתעדכן מנקודת המבט הטכנולוגית.
מדוע שינוי הגישה שלך הוא המפתח
כאמור, התפיסה השגויה הנפוצה ביותר לגבי CMMC 2.0 היא שזהו תקן תאימות חדש כשלמעשה, הוא לא.
הטעות המכריעה האחרת היא שקבלנים רבים מניחים שהם יכולים להמתין עד לאישור פסיקת CMMC 2.0 לפני שהם נוקטים בפעולה. קבלנים רבים מזלזלים בכמה זמן ייקח להעריך את מצב האבטחה שלהם, ליישם פעולות תיקון ולקבל את הערכת הצד השלישי שלהם. חלקם גם שופטים לא נכון עד כמה טכנית מאחורי המערכות והתהליכים שלהם ואת ההשקעה הנדרשת כדי להשיג תאימות. כמו כן, חיוני לזכור שעמידה בסטנדרטים אלה דורשת תיאום עם ספקים, אשר עשוי לקחת זמן להשלים. "קבלנים רבים מתעלמים מהמורכבות של שרשראות האספקה שלהם וממספר הספקים של צד שלישי שהם משתמשים בהם. לדוגמה, ייתכן שתגלה שספקים בודדים עדיין משתמשים ב-Windows 7 ומסרבים לשדרג. אז אתה יכול למצוא את עצמך במחמצת אם הספקים שלך לא עומדים בדרישות, ואתה צריך לחכות שהם ישדרגו את הטכנולוגיה שלהם", אומר צ'ארלס.
יש גם בעיות עם תאימות בענן, מציין צ'ארלס. קבלנים רבים גם לא מבינים שהם לא יכולים לעבד CUI על אף ענן - הפלטפורמה שלך חייבת לשבת על Fedramp בינוני או Fedramp High Cloud. לדוגמה, במקום Office 365, עליך להשתמש ב-Microsoft 365 Government Community Cloud High (GCC High).
כיצד להתכונן ל-CMMC 2.0
התחל להתכונן בהקדם האפשרי אם עדיין לא עשית זאת וצפו שהתהליך ייקח שנה או שנתיים. ככל הנראה, CMMC 2.0 ייכנס לתוקף בשנת 2023, וברגע שייכנס, הוא יופיע בכל החוזים תוך 60 יום. אתה לא יכול להרשות לעצמך לחכות לרגע האחרון.
במילים אחרות, קבלנים ייהנו מתחושת דחיפות. "השגת תאימות במכה אחת יכולה להיות הלם גדול לארגון ולתהליכים העסקיים היומיומיים שלו. אני ממליץ לערוך הערכה ולעצב מפת דרכים רב שנתית", אומר צ'ארלס. תוכנית זו צריכה לענות על שאלות כגון: אילו מכונות/חומרה אתה צריך להחליף? אילו ספקים של צד שלישי דורשים שדרוגים? האם יש להם תוכניות לעשות זאת בשלוש השנים הקרובות?"
הגשת תוכנית אבטחת מערכת (SSP) חיונית לתאימות CMMC 2.0. ה-SSP הוא גם מסמך חיוני שא ספק שירות מנוהל (MSP) יכול להשתמש כדי לסייע לחברה שלך עם תאימות. דף התוצאות מתאר את דרישות האבטחה של CMMC ועוזר לך לקבל סקירה כללית של השדרוגים הדרושים לך. "הדבר הראשון שאני בדרך כלל שואל הוא, 'אתה יודע את ציון ה-SSP שלך?'", אומר צ'ארלס. ייתכן שחברות אחרות לא כל כך רחוקות. במקרה כזה, Charles IT יכול לבצע פער או הערכת סיכונים עבור לקוחותינו כצעד ראשון לכתיבת SSP ותוכנית פעולה ואבני דרך (POA&M). "אנחנו קוראים לזה הערכת פערים. אנחנו צריכים לדעת כמה עמוק המים, ואז נעמוד על זה ונעזור להם לכתוב SSP", מייעץ צ'ארלס.
אם יש לך תנוחת אבטחה בוגרת יחסית ואתה עוקב אחר שיטות העבודה המומלצות העדכניות ביותר של אבטחת סייבר, השגת תאימות ל-CMMC 2.0 צריכה להימשך כשישה עד תשעה חודשים. אם לא, אתה יכול להסתכל על ציר זמן של 18 חודשים. שוב, אל תחכו עד שהחוזה יעמוד על הפרק - התחל עכשיו כדי למנוע אובדן עסקים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :הוא
- $ למעלה
- 1
- 2021
- 2023
- 7
- a
- אודות
- להשיג
- השגתי
- רכישה
- לרוחב
- פעולה
- פעולות
- שחקנים
- למעשה
- יתרון
- לאחר
- נגד
- מיושר
- מיישר
- תעשיות
- כְּבָר
- בתוך
- ו
- הודיע
- שנתי
- אחר
- לענות
- אנטי וירוס
- לְהוֹפִיעַ
- גישה
- מתאים
- מאושר
- ARE
- סביב
- AS
- הערכה
- לעזור
- At
- לתקוף
- המתקפות
- אימות
- מודעות
- בסיס
- מבוסס
- יסודות
- BE
- לפני
- מאחור
- תועלת
- הטבות
- הטוב ביותר
- שיטות עבודה מומלצות
- מוטב
- להביא
- צרור
- עסקים
- עסקים
- שיחה
- CAN
- יכול לקבל
- מובילים
- מקרה
- מנכ"ל
- תעודה
- שרשרת
- שרשראות
- שינוי
- שינויים
- משתנה
- צ'ארלס
- בהירות
- לקוחות
- ענן
- Common
- קהילה
- חברות
- חברה
- להשלים
- מורכבות
- הענות
- תואם
- מסובך
- דְאָגָה
- לנהל
- מוליך
- מבלבל
- חוזה
- קבלנים
- חוזים
- נשלט
- תאום
- יכול
- כיסוי
- מכסה
- מכריע
- התקפת סייבר
- אבטחת סייבר
- נתונים
- תַאֲרִיך
- מיום ליום
- ימים
- עמוק
- גופי בטחון
- מַחלָקָה
- משרד ההגנה
- תכנון
- טיפוח לרכב
- נחוש
- הרסנית
- ישירות
- לגלות
- מסמך
- זמן השבתה
- e
- קל יותר
- השפעה
- מאפשר
- אכיפה
- לְהַבטִיחַ
- שלם
- ריגול
- חיוני
- להקים
- להעריך
- אֲפִילוּ
- כל
- דוגמה
- לצפות
- פדרלי
- ממשלה פדרלית
- מעטים
- קנסות
- בתקיפות
- ראשון
- להתמקד
- לעקוב
- הבא
- בעד
- כוחות
- קדימה
- לטפח
- מייסד
- מסגרת
- החל מ-
- לְהַשִׂיג
- פער
- GCC
- לקבל
- מקבל
- Go
- טוב
- ממשלה
- האקרים
- חצי
- לטפל
- יש
- לעזור
- עוזר
- גָבוֹהַ
- איך
- אולם
- HTTPS
- i
- תמונה
- ליישם
- יישום
- חשוב
- לשפר
- in
- כלול
- כולל
- התעשייה
- תעשייה
- מידע
- תשתית
- למשל
- במקום
- מכון
- ביטוח
- כוונה
- מטרה
- מאיים
- השקעה
- בעיות
- IT
- זה ביטחון
- שֶׁלָה
- רק אחד
- מפתח
- לדעת
- תיוג
- אחרון
- האחרון
- לשגר
- מוביל
- דליפות
- רמה
- רמות
- סביר
- לוקהיד מרטין
- הסתכלות
- לאבד
- משתלם
- גדול
- לעשות
- עשייה
- באופן ידני
- ייצור
- תעשיית ייצור
- רב
- מיפוי
- סנונית
- עניינים
- בוגר
- בגרות
- מודל בגרות
- אמצעים
- בינוני
- מפגש
- מוּזְכָּר
- משרד חוץ
- מיקרוסופט
- אבני דרך
- דקה
- מודל
- חודשים
- יותר
- רוב
- רב שנתי
- אוּמָה
- לאומי
- ביטחון לאומי
- הכרחי
- צורך
- חדש
- חדשות
- הבא
- ניסט
- נוֹבֶמבֶּר
- נובמבר 2021
- מספר
- מטרה
- of
- Office
- on
- ONE
- תפעול
- להזמין
- ארגון
- ארגונים
- מְקוֹרִי
- אחר
- המתואר
- קווי מתאר
- סקירה
- צד
- פרספקטיבה
- גופני
- תמונה
- לְחַבֵּר
- צינור
- תכנית
- תוכניות
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- מדיניות
- עני
- מעשי
- פרקטיקות
- להכין
- העריכה
- למנוע
- נהלים
- תהליך
- תהליכים
- להגן
- .
- ספק
- שאלות
- ransomware
- במקום
- להבין
- סיבות
- להמליץ
- תקנה
- תקנון
- יחסית
- שְׂרִידִים
- לזכור
- להסיר
- להחליף
- לדרוש
- נדרש
- דרישות
- דורש
- הסיכון
- הערכת סיכונים
- מפת דרכים
- כללי
- פסק דין
- הפעלה
- s
- אותו
- אומר
- ציון
- אַבטָחָה
- אבטחה
- מודעות ביטחונית
- תחושה
- רגיש
- שרות
- ספק שירות
- צריך
- דומה
- יחיד
- שישה
- קטן יותר
- So
- תוכנה
- כמה
- מְהִירוּת
- לערום
- תֶקֶן
- תקנים
- החל
- מדינה
- שלב
- עוד
- מתחזק
- מוצלח
- כזה
- ספקים
- לספק
- שרשרת אספקה
- שרשראות אספקה
- מערכת
- מערכות
- שולחן
- לקחת
- נטילת
- שיחות
- יעד
- טכנולוגיה
- זֶה
- השמיים
- היסודות
- שֶׁלָהֶם
- אותם
- אלה
- דבר
- שְׁלִישִׁי
- צד שלישי
- מחשבה
- איום
- איום שחקנים
- שְׁלוֹשָׁה
- זמן
- ציר זמן
- ל
- יַחַד
- גַם
- לעקוב
- הדרכה
- בסופו של דבר
- להבין
- עדכון
- שדרוג
- שדרוגים
- דְחִיפוּת
- להשתמש
- בְּדֶרֶך כְּלַל
- שונים
- ספקים
- לחכות
- מים
- מה
- אשר
- בזמן
- יצטרך
- חלונות
- עם
- בתוך
- לְלֹא
- נצחנות
- מילים
- לכתוב
- כתיבה
- שנה
- שנים
- אתה
- עצמך
- זפירנט