Dziewięciu z 13 ubezpieczycieli, których śledzimy, nie wystawi polisy, chyba że masz MFA. To samo dotyczy CMMC 2.0 — a plan działania i kamienie milowe (POA&M) nie zostaną zaakceptowane, jeśli nie masz podstawowych szkoleń, takich jak MFA, oprogramowanie antywirusowe i świadomość bezpieczeństwa. – Foster Charles, założyciel i dyrektor generalny Charles IT
MIDDLETOWN, Connecticut (PRWEB) 27 marca 2023 r.
Departament Obrony (DoD) ogłosił nowy model certyfikacji dojrzałości cyberbezpieczeństwa, CMMC 2.0, w listopadzie 2021 r. Zmiana nastąpiła po ustaleniu, że oryginalny model CMMC 1.0 był zbyt uciążliwy i mylący dla wykonawców. Cel pozostaje jednak ten sam: zapewnienie, że kontrahenci Defence Industrial Base (DIB) mają odpowiednie środki i procedury w celu ochrony poufnych informacji, w tym kontrolowanych informacji jawnych (CUI) i federalnych informacji kontraktowych (FCI).
Ważne jest, aby zrozumieć, że CMMC 2.0 w rzeczywistości nie jest niczym nowym. Wymagania opierają się na dokumencie SP 800-171 Narodowego Instytutu Standardów i Technologii (NIST) i są bezpośrednio dostosowane do dodatku do federalnego rozporządzenia w sprawie zamówień obronnych (DFARS), który jest wymagany od jakiegoś czasu.
Liczy się to, jak ściśle wdrażasz te najlepsze praktyki w zakresie bezpieczeństwa IT, ponieważ nowe przepisy będą zdecydowanie egzekwowane w 2023 r. Aby odnieść sukces, kontrahenci muszą zmienić swoje podejście do zgodności lub ryzykować utratę lukratywnych kontraktów lub poniesienie wysokich kar.
Zmiany wysokiego poziomu w CMMC 2.0
CMMC 1.0 miał na celu połączenie różnych wymagań bezpieczeństwa w jeden standard zgodności dla rządu federalnego. Chociaż intencje były dobre, zasady były bardzo skomplikowane. CMMC 2.0 jest uproszczeniem CMMC 1.0 — co znacznie ułatwia wykonawcom DIB osiągnięcie zgodności w celu poprawy federalnego bezpieczeństwa obronnego.
Poziom pierwszy wymaga samooceny 17 najlepszych praktyk podobnych do ram cyberbezpieczeństwa NIST (CSF). Poziom drugi jest zgodny z NIST SP 800-171 i wymaga certyfikacji od CMMC Third Party Assessment Organization (C3PAO). Wreszcie, kontrahenci DIB, którzy zajmują się ściśle tajnymi informacjami, muszą osiągnąć trzeci poziom zgodności w oparciu o NIST 800-172.
CMMC 2.0 usuwa wymagania nie zawarte w NIST SP 800-171, aby osiąganie i egzekwowanie zgodności było bardziej praktyczne. Obejmuje również podwykonawców DIB, aby zapewnić bezpieczeństwo w całym łańcuchu dostaw, ponieważ bardziej złośliwi aktorzy atakują mniejsze firmy, które zawierają umowy z gigantami branżowymi (np. Lockheed Martin). „Hakerzy mogą otrzymać tylko jeden element CUI od jednego dostawcy. Ale jeśli ułożą kilka z nich razem, mogą uzyskać raczej pełny obraz — w ten sposób ujawniane są tajemnice. CMMC 2.0 służy do zabezpieczania tajemnic państwowych” — mówi Charles.
Wojna cybernetyczna jest ostatnim problemem i ma dobre powody. Na przykład cyberataki mogą przeprowadzić cyberatak na infrastrukturę (np. atak Colonial Pipeline), a następnie wykorzystać wydłużony czas przestoju do przeprowadzenia bardziej niszczycielskiego ataku fizycznego, który może zatrzymać cały naród.
Jaki jest główny wniosek z tych zmian i co musisz wiedzieć, aktualizując swoje procesy?
Kluczowym celem CMMC 2.0 jest zapewnienie przejrzystości i usunięcie złożoności. Na przykład wymaga certyfikacji przez stronę trzecią co trzy lata (zamiast corocznej oceny) dla zgodności na poziomie drugim i trzecim.
Co więcej, procedury są łatwiejsze do zrozumienia, więc możesz skupić się na aktualizowaniu swojego stanu bezpieczeństwa.
Jak CMMC 2.0 przynosi korzyści wykonawcom DIB
CMMC 2.0 umożliwia lepszą ochronę CUI, aby zapobiec wyciekom danych i szpiegostwu. Wzmacnia bezpieczeństwo narodowe i pomaga chronić przed łańcuchem dostaw lub atakami sponsorowanymi przez państwo. Należy jednak zrozumieć, że przynosi to również korzyści wykonawcom DIB w ich operacjach: „Branża produkcyjna jest bardzo daleko w tyle pod względem IT i bezpieczeństwa. Firmy wciąż wykonują wiele procesów ręcznie, co jest bardzo niepewne. Ich niski poziom higieny bezpieczeństwa IT często prowadzi do kosztownego oprogramowania ransomware i innych ataków. CMMC 2.0 zmusza tych wykonawców do ustanowienia dobrych nawyków biznesowych, które ostatecznie są dobre dla ich organizacji” — mówi Charles.
Myśl o kolejnej regulacji może przerażać. Dobrą wiadomością jest to, że połowa CMMC 2.0 jest już w NIST SP 800-171 — wyszczególnia praktyki bezpieczeństwa cybernetycznego, których wykonawcy DIB powinni już przestrzegać, np. korzystanie z oprogramowania antywirusowego, wdrażanie uwierzytelniania wieloskładnikowego (MFA) oraz mapowanie i etykietowanie wszystkich CUI .
Co najważniejsze, firmy nie mogą nawet uzyskać ubezpieczenia od cyberbezpieczeństwa bez wdrożenia wielu środków opisanych w CMMC 2.0. „Dziewięciu z 13 ubezpieczycieli, których śledzimy, nie wypisze polisy, chyba że masz MFA. To samo dotyczy CMMC 2.0 — a plan działania i kamienie milowe (POA&M) nie zostaną zaakceptowane, jeśli nie masz podstaw, takich jak MFA, oprogramowanie antywirusowe i szkolenie w zakresie świadomości bezpieczeństwa” — mówi Charles.
CMMC 2.0 jest niezbędnym krokiem naprzód dla całego przemysłu obronnego, aby nadążyć z technologicznego punktu widzenia.
Dlaczego zmiana podejścia jest kluczowa
Jak wspomniano, najczęstszym błędnym przekonaniem na temat CMMC 2.0 jest to, że jest to nowy standard zgodności, podczas gdy w rzeczywistości nim nie jest.
Innym istotnym nieporozumieniem jest to, że wielu wykonawców zakłada, że z podjęciem działań mogą poczekać do zatwierdzenia orzeczenia CMMC 2.0. Wielu wykonawców nie docenia, ile czasu zajmie ocena ich stanu bezpieczeństwa, wdrożenie działań naprawczych i uzyskanie oceny od strony trzeciej. Niektórzy błędnie oceniają również stopień technicznego zaawansowania swoich systemów i procesów oraz inwestycje wymagane do osiągnięcia zgodności. Należy również pamiętać, że spełnienie tych standardów wymaga koordynacji z dostawcami, co może zająć trochę czasu. „Wielu kontrahentów nie zauważa złożoności swoich łańcuchów dostaw i liczby zewnętrznych dostawców, z których usług korzystają. Na przykład możesz odkryć, że kilku dostawców nadal korzysta z systemu Windows 7 i odmawia aktualizacji. Możesz więc znaleźć się w kłopotliwej sytuacji, jeśli Twoi dostawcy nie przestrzegają przepisów i musisz czekać, aż zaktualizują swoją technologię” — mówi Charles.
Istnieją również problemy ze zgodnością chmury, podkreśla Charles. Wielu wykonawców nie zdaje sobie również sprawy z tego, że nie mogą przetwarzać CUI w żadnej chmurze — Twoja platforma musi znajdować się w średniej lub wysokiej chmurze Fedramp. Na przykład zamiast Office 365 musisz używać Microsoft 365 Government Community Cloud High (GCC High).
Jak przygotować się do CMMC 2.0
Zacznij przygotowania tak szybko, jak to możliwe, jeśli jeszcze tego nie zrobiłeś i spodziewaj się, że proces ten zajmie rok lub dwa. CMMC 2.0 prawdopodobnie wejdzie w życie w 2023 roku, a gdy tylko to nastąpi, pojawi się na wszystkich umowach w ciągu 60 dni. Nie możesz sobie pozwolić na czekanie do ostatniej chwili.
Innymi słowy, wykonawcy skorzystają na poczuciu pilności. „Osiągnięcie zgodności za jednym zamachem może być poważnym szokiem dla organizacji i jej codziennych procesów biznesowych. Polecam przeprowadzenie oceny i zaprojektowanie wieloletniego planu działania” – mówi Charles. Ten plan powinien odpowiadać na pytania takie jak: Jakie maszyny/sprzęt musisz wymienić? Którzy dostawcy zewnętrzni wymagają aktualizacji? Czy mają takie plany w ciągu najbliższych trzech lat?
Przesłanie planu bezpieczeństwa systemu (SSP) jest niezbędne do zapewnienia zgodności z CMMC 2.0. SSP jest również podstawowym dokumentem, który a dostawca usług zarządzanych (MSP) może pomóc Twojej firmie w zapewnieniu zgodności. Arkusz wyników przedstawia wymagania bezpieczeństwa CMMC i pomaga uzyskać przegląd potrzebnych aktualizacji. „Pierwszą rzeczą, o którą zwykle pytam, jest:„ czy znasz swój wynik SSP? ”- mówi Charles. Inne firmy mogą nie być tak daleko. W takim przypadku Charles IT może przeprowadzić dla naszych klientów ocenę luk lub ryzyka jako pierwszy krok do napisania SSP oraz planu działania i kamieni milowych (POA&M). "Nazywamy to ocena luki. Musimy wiedzieć, jak głęboka jest woda, a następnie ją zlokalizować i pomóc im napisać SSP” — radzi Charles.
Jeśli masz stosunkowo dojrzałą postawę w zakresie bezpieczeństwa i postępujesz zgodnie z najnowszymi najlepszymi praktykami w zakresie cyberbezpieczeństwa, osiągnięcie zgodności z CMMC 2.0 powinno zająć około sześciu do dziewięciu miesięcy. Jeśli nie, możesz patrzeć na 18-miesięczną oś czasu. Ponownie, nie czekaj, aż umowa pojawi się na stole — zacznij już teraz, aby uniknąć utraty firm.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :Jest
- $W GÓRĘ
- 1
- 2021
- 2023
- 7
- a
- O nas
- Osiągać
- osiągnięcia
- nabycie
- w poprzek
- Działania
- działania
- aktorzy
- faktycznie
- Korzyść
- Po
- przed
- wyrównany
- Wyrównuje
- Wszystkie kategorie
- już
- Wśród
- i
- ogłosił
- roczny
- Inne
- odpowiedź
- antywirusowe
- zjawić się
- podejście
- właściwy
- zatwierdzony
- SĄ
- na około
- AS
- oszacowanie
- pomagać
- At
- atakować
- Ataki
- Uwierzytelnianie
- świadomość
- baza
- na podstawie
- Podstawy
- BE
- zanim
- za
- korzyści
- Korzyści
- BEST
- Najlepsze praktyki
- Ulepsz Swój
- przynieść
- Pęczek
- biznes
- biznes
- wezwanie
- CAN
- Może uzyskać
- przewoźnicy
- walizka
- ceo
- Certyfikacja
- łańcuch
- więzy
- zmiana
- Zmiany
- wymiana pieniędzy
- Charles
- klarowność
- klientów
- Chmura
- wspólny
- społeczność
- Firmy
- sukcesy firma
- kompletny
- kompleksowość
- spełnienie
- zgodny
- skomplikowane
- Troska
- Prowadzenie
- prowadzenia
- mylące
- umowa
- wykonawcy
- umowy
- kontrolowanych
- koordynacja
- mógłby
- pokrycie
- Okładki
- istotny
- Cyber atak
- Bezpieczeństwo cybernetyczne
- dane
- Data
- dzień do dnia
- Dni
- głęboko
- Obrona
- Departament
- Departament Obrony
- projektowanie
- Detailing
- ustalona
- niszczycielski
- bezpośrednio
- odkryj
- dokument
- przestojów
- e
- łatwiej
- efekt
- Umożliwia
- Egzekwowanie
- zapewnić
- Cały
- szpiegostwo
- niezbędny
- zapewniają
- oceniać
- Parzyste
- Każdy
- przykład
- oczekiwać
- Federalny
- Rząd federalny
- kilka
- Znajdź
- koniec
- mocno
- i terminów, a
- Skupiać
- obserwuj
- następujący
- W razie zamówieenia projektu
- Siły
- Naprzód
- Sprzyjać
- założyciel
- Framework
- od
- Wzrost
- szczelina
- GCC
- otrzymać
- miejsce
- Go
- dobry
- Rząd
- hakerzy
- Pół
- uchwyt
- Have
- pomoc
- pomaga
- Wysoki
- W jaki sposób
- Jednak
- HTTPS
- i
- obraz
- wdrożenia
- wykonawczych
- ważny
- podnieść
- in
- włączony
- Włącznie z
- przemysłowy
- przemysł
- Informacja
- Infrastruktura
- przykład
- zamiast
- Instytut
- ubezpieczenie
- zamiar
- Zamiar
- zastraszające
- inwestycja
- problemy
- IT
- to bezpieczeństwo
- JEGO
- tylko jeden
- Klawisz
- Wiedzieć
- etykietowanie
- Nazwisko
- firmy
- uruchomić
- Wyprowadzenia
- Wycieki
- poziom
- poziomy
- Prawdopodobnie
- Lockheed Martin
- poszukuje
- utraty
- lukratywny
- poważny
- robić
- Dokonywanie
- ręcznie
- produkcja
- Przemysł wytwórczy
- wiele
- mapowanie
- Martin
- Matters
- dojrzały
- dojrzałość
- Model dojrzałości
- środków
- średni
- Spotkanie
- wzmiankowany
- MSZ
- Microsoft
- Kamienie milowe
- chwila
- model
- miesięcy
- jeszcze
- większość
- wieloletni
- naród
- narodowy
- bezpieczeństwo narodowe
- niezbędny
- Potrzebować
- Nowości
- aktualności
- Następny
- nist
- listopad
- Listopad 2021
- numer
- cel
- of
- Biurowe
- on
- ONE
- operacje
- zamówienie
- organizacja
- organizacji
- oryginalny
- Inne
- opisane
- wytyczne
- przegląd
- przyjęcie
- perspektywa
- fizyczny
- obraz
- kawałek
- rurociąg
- krok po kroku
- plany
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- polityka
- biedny
- Praktyczny
- praktyki
- Przygotować
- przygotowanie
- zapobiec
- procedury
- wygląda tak
- procesów
- chronić
- ochrona
- dostawca
- pytania
- ransomware
- raczej
- zrealizować
- Przyczyny
- polecić
- Regulacja
- regulamin
- stosunkowo
- szczątki
- pamiętać
- usunąć
- obsługi produkcji rolnej, która zastąpiła
- wymagać
- wymagany
- wymagania
- Wymaga
- Ryzyko
- ocena ryzyka
- mapa drogowa
- reguły
- rządzący
- run
- s
- taki sam
- mówią
- wynik
- zabezpieczenia
- bezpieczeństwo
- Świadomość bezpieczeństwa
- rozsądek
- wrażliwy
- usługa
- Usługodawca
- powinien
- podobny
- pojedynczy
- SIX
- mniejszy
- So
- Tworzenie
- kilka
- prędkość
- stos
- standard
- standardy
- rozpoczęty
- Stan
- Ewolucja krok po kroku
- Nadal
- Wzmacnia
- udany
- taki
- dostawcy
- Dostawa
- łańcuch dostaw
- Dostarczać łańcuchy
- system
- systemy
- stół
- Brać
- biorąc
- Rozmowy
- cel
- Technologia
- że
- Połączenia
- Podstawy
- ich
- Im
- Te
- rzecz
- Trzeci
- innych firm
- myśl
- groźba
- podmioty grożące
- trzy
- czas
- Oś czasu
- do
- razem
- także
- śledzić
- Trening
- Ostatecznie
- zrozumieć
- aktualizowanie
- uaktualnienie
- Uaktualnienia
- pilna sprawa
- posługiwać się
- zazwyczaj
- różnorodny
- sprzedawców
- czekać
- Uzdatnianie wody
- Co
- który
- Podczas
- będzie
- okna
- w
- w ciągu
- bez
- Wygrał
- słowa
- napisać
- pisanie
- rok
- lat
- You
- Twój
- siebie
- zefirnet
