私たちが追跡している 13 の保険会社のうち 2.0 つは、MFA を取得していない限り、ポリシーを作成しません。 CMMC XNUMX の場合も同様です。MFA、ウイルス対策、セキュリティ意識向上トレーニングなどの基本がなければ、行動計画とマイルストーン (POA&M) は受け入れられません。 – Foster Charles 氏、Charles IT の創設者兼 CEO
コネチカット州ミドルタウン (PRWEB) 2023 年 3 月 27 日
国防総省 (DoD) は、新しいサイバーセキュリティ成熟度モデル認定を発表しました。 CMMC2.0、2021 年 1.0 月。この変更は、元の CMMC XNUMX モデルが請負業者にとって扱いにくく、混乱を招くと判断された後に行われました。 ただし、防衛産業基地 (DIB) の請負業者が、管理された非機密情報 (CUI) や連邦契約情報 (FCI) などの機密情報を保護するための適切な手段と手順を確実に持つようにするという意図は変わりません。
理解しておくべき重要なことは、CMMC 2.0 は実際には新しいものではないということです。 この要件は、米国国立標準技術研究所 (NIST) SP 800-171 に基づいており、以前から要求されていた国防連邦調達規則補足 (DFARS) に直接準拠しています。
新しい規制は 2023 年に施行されるため、IT セキュリティのベスト プラクティスをどれだけ厳密に実施しているかが重要です。成功するには、請負業者はコンプライアンスへのアプローチを変更する必要があります。
CMMC 2.0 のハイレベルな変更点
CMMC 1.0 は、さまざまなセキュリティ要件を連邦政府向けの単一のコンプライアンス標準に集約することを目的としていました。 意図は良かったのですが、ルールは非常に複雑でした。 CMMC 2.0 は CMMC 1.0 を単純化したもので、連邦政府の防衛セキュリティを向上させるために、DIB 請負業者がコンプライアンスを達成することをはるかに容易にします。
レベル 17 では、NIST のサイバーセキュリティ フレームワーク (CSF) に似た 800 のベスト プラクティスの自己評価が必要です。 レベル 171 は NIST SP 3-800 に準拠しており、CMMC 第三者評価機関 (C172PAO) からの認定が必要です。 最後に、最高機密情報を扱う DIB 請負業者は、NIST XNUMX-XNUMX に基づくレベル XNUMX のコンプライアンスを達成する必要があります。
CMMC 2.0 は、NIST SP 800-171 に含まれていない要件を削除して、コンプライアンスの達成と実施をより実用的にします。 また、悪意のある攻撃者が業界の巨人 (ロッキード マーチンなど) と契約している小規模な企業を標的にするため、サプライ チェーン全体のセキュリティを確保するために DIB の下請業者も対象としています。 「ハッカーは、2.0 つのサプライヤから XNUMX つの CUI だけを取得する可能性があります。 しかし、彼らがそれらの束を積み重ねると、かなり完全な全体像を得ることができます - これが秘密が漏洩する方法です. CMMC XNUMX は、国家機密の保護に関するものです」と Charles は言います。
サイバー戦争は最新の懸念事項ですが、それには正当な理由があります。 たとえば、攻撃者はインフラストラクチャに対してサイバー攻撃を開始し (Colonial Pipeline 攻撃など)、延長されたダウンタイムを利用して、より壊滅的な物理的攻撃を開始します。これにより、国全体が停止する可能性があります。
これらの変更の主なポイントは何ですか?また、プロセスを更新する際に知っておくべきことは何ですか?
CMMC 2.0 の主な目的は、明快さをもたらし、複雑さを取り除くことです。 たとえば、レベル XNUMX および XNUMX のコンプライアンスについては、(年次評価ではなく) XNUMX 年ごとに第三者認証が必要です。
さらに、手順が理解しやすいため、セキュリティ体制を最新の状態にすることに集中できます。
CMMC 2.0 が DIB 請負業者にもたらすメリット
CMMC 2.0 では、CUI の保護が強化され、データの漏洩やスパイ行為を防ぐことができます。 国家安全保障を強化し、サプライ チェーンや国家が支援する攻撃から保護するのに役立ちます。 ただし、DIB 請負業者の運用にもメリットがあることを理解してください。 企業は依然として多くのプロセスを手動で実行していますが、これは非常に安全ではありません。 彼らの IT セキュリティの衛生状態の悪さは、多くの場合、費用のかかるランサムウェアやその他の攻撃につながります。 CMMC 2.0 は、これらの請負業者に、最終的には組織にとって良いビジネス習慣を確立するように強制します」と Charles は言います。
さらに別の規制の考えは恐ろしいかもしれません。 良いニュースは、CMMC 2.0 の半分がすでに NIST SP 800-171 に含まれていることです。これには、DIB 請負業者が既に従うべきサイバーセキュリティの実践が詳述されています。たとえば、ウイルス対策ソフトウェアの使用、多要素認証 (MFA) の実装、すべての CUI のマッピングとラベル付けなどです。 .
重要なことに、企業は、CMMC 2.0 で概説されている多くの対策を実施しなければ、サイバーセキュリティ保険の適用を受けることさえできません。 「私たちが追跡している13の保険会社のうち2.0つは、MFAを取得していない限り、ポリシーを作成しません. CMMC XNUMX も同様です。MFA、ウイルス対策、セキュリティ意識向上トレーニングなどの基本がなければ、行動計画とマイルストーン (POA&M) は受け入れられません」と Charles 氏は言います。
CMMC 2.0 は、防衛産業全体がテクノロジーの観点から最新の状態に到達するために必要な前進です。
アプローチを変えることが重要な理由
前述のように、CMMC 2.0 に関する最も一般的な誤解は、実際にはそうではないのに、新しいコンプライアンス標準であるというものです。
もう 2.0 つの重大な誤解は、多くの請負業者が、行動を起こす前に CMMC 7 の裁定が承認されるまで待つことができると思い込んでいるということです。 多くの請負業者は、セキュリティ体制を評価し、修復措置を実施し、第三者による評価を受けるのにかかる時間を過小評価しています。 また、システムやプロセスが技術的に遅れていることや、コンプライアンスを達成するために必要な投資を誤解している人もいます。 これらの基準を満たすには、ベンダーとの調整が必要であり、完了するまでに時間がかかる場合があることを覚えておくことも重要です。 「多くの請負業者は、サプライ チェーンの複雑さと、使用するサードパーティ ベンダーの数を見落としています。 たとえば、一部のサプライヤがまだ Windows XNUMX を使用していて、アップグレードを拒否していることに気付く場合があります。 そのため、ベンダーが準拠していない場合、窮地に立たされる可能性があり、ベンダーがテクノロジーをアップグレードするのを待たなければなりません」と Charles 氏は言います。
クラウドのコンプライアンスにも問題がある、と Charles は指摘します。 また、多くの請負業者は、どのクラウドでも CUI を処理できないことを認識していません。プラットフォームは Fedramp medium または Fedramp high クラウド上にある必要があります。 たとえば、Office 365 の代わりに、Microsoft 365 Government Community Cloud High (GCC High) を使用する必要があります。
CMMC 2.0 の準備方法
まだ準備していない場合は、できるだけ早く準備を開始し、プロセスに 2.0 ~ 2023 年かかると予想してください。 CMMC 60 は XNUMX 年に発効する可能性が高く、発効するとすぐに、XNUMX 日以内にすべての契約に表示されるようになります。 最後まで待つ余裕はありません。
言い換えれば、請負業者は切迫感から利益を得ます。 「一度にコンプライアンスを達成することは、組織とその日常のビジネス プロセスにとって大きなショックとなる可能性があります。 評価を実施し、複数年のロードマップを設計することをお勧めします」とチャールズは言います。 この計画では、次のような質問に答える必要があります。どのマシン/ハードウェアを交換する必要がありますか? アップグレードが必要なサードパーティ ベンダーはどれですか? 今後XNUMX年間でそうする計画はありますか?」
CMMC 2.0 準拠には、システム セキュリティ プラン (SSP) の提出が不可欠です。 SSP は、 マネージドサービスプロバイダー(MSP) 企業のコンプライアンスを支援するために使用できます。 スコアシートは、CMMC のセキュリティ要件の概要を示し、必要なアップグレードの概要を把握するのに役立ちます。 「私が通常最初に尋ねるのは、『あなたの SSP スコアを知っていますか?』ということです」と Charles は言います。 他の企業はそれほど進んでいないかもしれません。 その場合、Charles IT は、SSP および行動計画とマイルストーン (POA&M) を作成するための最初のステップとして、クライアントのギャップまたはリスク評価を実施できます。 「私たちはそれを呼びます ギャップ評価. 水深を知る必要があり、それを特定して SSP の作成を支援します」と Charles はアドバイスします。
比較的成熟したセキュリティ体制があり、最新のサイバーセキュリティのベスト プラクティスに従っている場合、CMMC 2.0 への準拠を達成するには約 18 ~ XNUMX か月かかります。 そうでない場合は、XNUMX か月のタイムラインを見ている可能性があります。 繰り返しになりますが、契約が成立するまで待たないでください。ビジネスを失うことを避けるために、今すぐ始めましょう。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :は
- $UP
- 1
- 2021
- 2023
- 7
- a
- 私たちについて
- 達成する
- 達成する
- 買収
- 越えて
- Action
- 行動
- 俳優
- 実際に
- 利点
- 後
- に対して
- 整列した
- 整列
- すべて
- 既に
- の中で
- および
- 発表の
- 毎年恒例の
- 別の
- 回答
- アンチウイルス
- 現れる
- アプローチ
- 適切な
- 承認された
- です
- 周りに
- AS
- 評価
- アシスト
- At
- 攻撃
- 攻撃
- 認証
- 認知度
- ベース
- ベース
- の基礎
- BE
- 背後に
- 恩恵
- 利点
- BEST
- ベストプラクティス
- より良いです
- 持って来る
- 束
- ビジネス
- ビジネス
- コール
- 缶
- 取得することができます
- キャリア
- 場合
- 最高経営責任者(CEO)
- 認証
- チェーン
- チェーン
- 変化する
- 変更
- 変化
- チャールズ
- 明瞭
- クライアント
- クラウド
- コマンドと
- コミュニティ
- 企業
- 会社
- コンプリート
- 複雑さ
- コンプライアンス
- 準拠した
- 複雑な
- 懸念
- プロフェッショナルな方法で
- 導電性
- 紛らわしい
- 縮小することはできません。
- 請負業者
- 契約
- 制御
- コーディネーション
- 可能性
- カバレッジ
- カバー
- 重大な
- サイバー攻撃
- サイバーセキュリティ
- データ
- 日付
- 日々
- 日
- 深いです
- 防衛
- 部門
- 防衛省
- 設計
- ディテール
- 決定
- 壊滅的な
- 直接に
- 発見する
- ドキュメント
- ダウンタイム
- e
- 容易
- 効果
- 可能
- 施行
- 確保
- 全体
- スパイ
- 本質的な
- 確立する
- 評価する
- さらに
- あらゆる
- 例
- 期待する
- 連邦政府の
- 連邦政府
- 少数の
- もう完成させ、ワークスペースに掲示しましたか?
- 固く
- 名
- フォーカス
- フォロー中
- 軍隊
- フォワード
- 育てる
- AIとMoku
- フレームワーク
- から
- 利得
- ギャップ
- GCC
- 取得する
- 受け
- Go
- 良い
- 政府・公共機関
- ハッカー
- 半分
- ハンドル
- 持ってる
- 助けます
- ことができます
- ハイ
- 認定条件
- しかしながら
- HTTPS
- i
- 画像
- 実装する
- 実装
- 重要
- 改善します
- in
- 含まれました
- 含めて
- インダストリアル
- 産業を変えます
- 情報
- インフラ関連事業
- を取得する必要がある者
- 機関
- 保険
- 意図
- 意図
- 威圧する
- 投資
- 問題
- IT
- それセキュリティ
- ITS
- 一つだけ
- キー
- 知っている
- ラベリング
- 姓
- 最新の
- 起動する
- リード
- リーク
- レベル
- レベル
- 可能性が高い
- ロッキードマーチン
- 探して
- 負け
- もうかる
- 主要な
- make
- 作成
- 手動で
- 製造業
- 製造業
- 多くの
- マッピング
- マーティン
- 事態
- 成熟した
- 満期
- 成熟度モデル
- 措置
- ミディアム
- ご相談
- 言及した
- MFA
- Microsoft
- マイルストーン
- 分
- ヶ月
- 他には?
- 最も
- 複数年
- 国
- 国民
- 国際セキュリティー
- 必要
- 必要
- 新作
- ニュース
- 次の
- ニスト
- 11月
- November 2021
- 数
- 客観
- of
- Office
- on
- ONE
- 業務執行統括
- 注文
- 組織
- 組織
- オリジナル
- その他
- 概説
- 輪郭
- 概要
- パーティー
- 視点
- 物理的な
- 画像
- ピース
- パイプライン
- 計画
- プラン
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 方針
- 貧しいです
- 実用的
- プラクティス
- 準備
- 準備中
- 防ぐ
- 手続き
- プロセス
- ラボレーション
- 守る
- 保護
- プロバイダー
- 質問
- ランサムウェア
- むしろ
- 実現する
- 理由は
- 推奨する
- 規制
- 規制
- 相対的に
- 残っている
- 覚えています
- 削除します
- replace
- 必要とする
- の提出が必要です
- 要件
- 必要
- リスク
- リスクアセスメント
- ロードマップ
- ルール
- 判決
- ラン
- s
- 同じ
- 言う
- スコア
- 確保する
- セキュリティ
- セキュリティー認識
- センス
- 敏感な
- サービス
- サービスプロバイダー
- すべき
- 同様の
- SIX
- より小さい
- So
- ソフトウェア
- 一部
- スピード
- スタック
- 標準
- 規格
- 開始
- 都道府県
- 手順
- まだ
- 強化する
- 成功した
- そのような
- サプライヤー
- 供給
- サプライチェーン
- サプライチェーン
- システム
- テーブル
- 取る
- 取得
- トーク
- ターゲット
- テクノロジー
- それ
- 基礎
- アプリ環境に合わせて
- それら
- ボーマン
- もの
- 三番
- サードパーティ
- 考え
- 脅威
- 脅威アクター
- 三
- 時間
- タイムライン
- 〜へ
- 一緒に
- あまりに
- 追跡する
- トレーニング
- 最終的に
- わかる
- 更新
- アップグレード
- アップグレード
- 緊急
- つかいます
- 通常
- さまざまな
- ベンダー
- wait
- 水
- この試験は
- which
- while
- 意志
- ウィンドウズ
- 以内
- 無し
- 勝った
- 言葉
- 書きます
- 書き込み
- 年
- 年
- You
- あなたの
- あなた自身
- ゼファーネット