Девять из 13 страховых компаний, которых мы отслеживаем, не будут оформлять полис, если у вас нет MFA. То же самое с CMMC 2.0 — и План действий и контрольные точки (POA&M) не будут приняты, если у вас нет таких основ, как MFA, антивирус и обучение по вопросам безопасности. – Фостер Чарльз, основатель и генеральный директор Charles IT
МИДЛТАУН, Коннектикут (PRWEB) 27 марта 2023
Министерство обороны (DoD) объявило о новой модели сертификации зрелости кибербезопасности. СММС 2.0, в ноябре 2021 года. Изменение произошло после того, как было установлено, что исходная модель CMMC 1.0 была слишком громоздкой и запутанной для подрядчиков. Однако цель остается прежней: обеспечить наличие у подрядчиков оборонно-промышленной базы (DIB) соответствующих мер и процедур для защиты конфиденциальной информации, включая контролируемую несекретную информацию (CUI) и информацию о федеральных контрактах (FCI).
Важно понимать, что в CMMC 2.0 на самом деле нет ничего нового. Требования основаны на Национальном институте стандартов и технологий (NIST) SP 800-171 и напрямую связаны с Дополнением к федеральным закупкам в сфере обороны (DFARS), которое требуется в течение некоторого времени.
Важно то, насколько строго вы применяете эти передовые методы обеспечения ИТ-безопасности, поскольку новые правила будут строго соблюдаться в 2023 году. Чтобы добиться успеха, подрядчики должны изменить свой подход к соблюдению требований, иначе они рискуют потерять выгодные контракты или понести большие штрафы.
Высокоуровневые изменения в CMMC 2.0
CMMC 1.0 стремился объединить различные требования безопасности в единый стандарт соответствия для федерального правительства. Хотя намерение было хорошим, правила были очень сложными. CMMC 2.0 — это упрощенная версия CMMC 1.0, которая значительно упрощает для подрядчиков DIB соблюдение требований для повышения безопасности федеральной обороны.
Первый уровень требует самооценки 17 лучших практик, аналогичных структуре кибербезопасности NIST (CSF). Второй уровень соответствует NIST SP 800-171 и требует сертификации сторонней организации по оценке CMMC (C3PAO). Наконец, подрядчики DIB, которые обрабатывают сверхсекретную информацию, должны соответствовать третьему уровню на основе NIST 800-172.
CMMC 2.0 удаляет требования, не включенные в NIST SP 800-171, чтобы сделать достижение и обеспечение соответствия более практичным. Он также охватывает субподрядчиков DIB для обеспечения безопасности по всей цепочке поставок, поскольку все больше злоумышленников нацелены на более мелкие компании, которые заключают контракты с отраслевыми гигантами (например, Lockheed Martin). «Хакеры могут получить только одну часть CUI от одного поставщика. Но если сложить их кучу вместе, то можно получить довольно полную картину — так происходит утечка секретов. CMMC 2.0 — это защита государственной тайны, — говорит Чарльз.
Кибервойна является последней проблемой, и на то есть веские причины. Например, злоумышленники могут начать кибератаку на инфраструктуру (например, атаку Colonial Pipeline), а затем воспользоваться продолжительным временем простоя для проведения более разрушительной физической атаки, которая может остановить всю нацию.
Каковы основные выводы этих изменений и что вам нужно знать при обновлении ваших процессов?
Основная цель CMMC 2.0 — внести ясность и устранить сложность. Например, он требует независимой сертификации каждые три года (вместо ежегодной оценки) для соответствия второму и третьему уровням.
Кроме того, процедуры проще для понимания, поэтому вы можете сосредоточиться на обновлении системы безопасности.
Как CMMC 2.0 приносит пользу подрядчикам DIB
CMMC 2.0 обеспечивает лучшую защиту CUI для предотвращения утечки данных и шпионажа. Это укрепляет национальную безопасность и помогает защититься от цепочек поставок или атак, спонсируемых государством. Однако следует понимать, что это также приносит пользу подрядчикам DIB в их работе: «Обрабатывающая промышленность очень сильно отстает в области ИТ и безопасности. Компании по-прежнему запускают многие процессы вручную, что очень небезопасно. Их плохая гигиена ИТ-безопасности часто приводит к дорогостоящим программам-вымогателям и другим атакам. CMMC 2.0 заставляет этих подрядчиков формировать хорошие деловые привычки, которые в конечном итоге принесут пользу их организациям», — говорит Чарльз.
Мысль о еще одном регулировании может быть пугающей. Хорошей новостью является то, что половина CMMC 2.0 уже находится в NIST SP 800-171, где подробно описываются методы кибербезопасности, которым уже должны следовать подрядчики DIB, например, использование антивирусного программного обеспечения, внедрение многофакторной аутентификации (MFA), а также сопоставление и маркировка всех CUI. .
Критически важно, что компании не могут даже получить страховое покрытие кибербезопасности без реализации многих мер, изложенных в CMMC 2.0. «Девять из 13 страховых компаний, которых мы отслеживаем, не будут оформлять полис, если у вас нет MFA. То же самое с CMMC 2.0 — и план действий и вехи (POA&M) не будут приняты, если у вас нет таких основ, как MFA, антивирус и обучение по вопросам безопасности», — говорит Чарльз.
CMMC 2.0 — это необходимый шаг вперед для всей оборонной промышленности, чтобы идти в ногу с технологической точки зрения.
Почему важно изменить свой подход
Как уже упоминалось, наиболее распространенное заблуждение о CMMC 2.0 заключается в том, что это новый стандарт соответствия, хотя на самом деле это не так.
Другое серьезное заблуждение состоит в том, что многие подрядчики предполагают, что они могут подождать, пока решение CMMC 2.0 будет одобрено, прежде чем предпринимать какие-либо действия. Многие подрядчики недооценивают, сколько времени потребуется для оценки их состояния безопасности, выполнения действий по исправлению положения и получения оценки от третьей стороны. Некоторые также неправильно оценивают, насколько технически отстали их системы и процессы и какие инвестиции необходимы для достижения соответствия. Также важно помнить, что соблюдение этих стандартов требует координации с поставщиками, что может занять некоторое время. «Многие подрядчики упускают из виду сложность своих цепочек поставок и количество сторонних поставщиков, которых они используют. Например, вы можете обнаружить, что некоторые поставщики все еще используют Windows 7 и отказываются от обновления. Таким образом, вы можете оказаться в затруднительном положении, если ваши поставщики не будут соответствовать требованиям, и вам придется ждать, пока они обновят свои технологии», — говорит Чарльз.
По словам Чарльза, существуют также проблемы с соблюдением требований к облачным технологиям. Многие подрядчики также не понимают, что они не могут обрабатывать CUI в любом облаке — ваша платформа должна находиться в среднем или высоком облаке Fedramp. Например, вместо Office 365 вы должны использовать Microsoft 365 Government Community Cloud High (GCC High).
Как подготовиться к CMMC 2.0
Начните готовиться как можно скорее, если вы еще этого не сделали, и ожидайте, что процесс займет год или два. CMMC 2.0, вероятно, вступит в силу в 2023 году, и как только это произойдет, он появится во всех контрактах в течение 60 дней. Вы не можете позволить себе ждать до последней минуты.
Другими словами, подрядчики выиграют от ощущения срочности. «Достижение соответствия за один раз может стать серьезным потрясением для организации и ее повседневных бизнес-процессов. Я рекомендую провести оценку и разработать многолетнюю дорожную карту», — говорит Чарльз. Этот план должен отвечать на такие вопросы, как: Какие машины/оборудование вам необходимо заменить? Какие сторонние поставщики требуют обновлений? Есть ли у них планы сделать это в ближайшие три года?»
Отправка плана безопасности системы (SSP) необходима для соответствия CMMC 2.0. SSP также является важным документом, поставщик управляемых услуг (MSP) можно использовать, чтобы помочь вашей компании с соблюдением. В оценочном листе излагаются требования безопасности CMMC, и он помогает получить обзор необходимых обновлений. «Первое, что я обычно спрашиваю: «Вы знаете свой балл SSP?», — говорит Чарльз. Другие компании могут быть не так далеко. В этом случае Charles IT может провести оценку пробелов или рисков для наших клиентов в качестве первого шага к написанию SSP и плана действий и этапов (POA&M). "Мы называем его оценка пробелов. Нам нужно знать, насколько глубока вода, а затем мы точно ее определим и поможем написать SSP», — советует Чарльз.
Если у вас относительно зрелая система безопасности и вы следуете последним передовым методам кибербезопасности, достижение соответствия CMMC 2.0 может занять от шести до девяти месяцев. Если нет, вы могли бы смотреть на 18-месячную временную шкалу. Опять же, не ждите, пока контракт будет на столе — начните сейчас, чтобы не потерять бизнес.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :является
- $UP
- 1
- 2021
- 2023
- 7
- a
- О нас
- Достигать
- достижение
- приобретение
- через
- Действие
- действия
- актеры
- на самом деле
- плюс
- После
- против
- выровненный
- Выравнивает
- Все
- уже
- Среди
- и
- объявило
- годовой
- Другой
- ответ
- антивирус
- появиться
- подхода
- соответствующий
- утвержденный
- МЫ
- около
- AS
- оценки;
- помощь
- At
- атаковать
- нападки
- Аутентификация
- осведомленность
- Использование темпера с изогнутым основанием
- основанный
- Основы
- BE
- до
- за
- польза
- Преимущества
- ЛУЧШЕЕ
- лучшие практики
- Лучшая
- приносить
- Группа
- бизнес
- бизнес
- призывают
- CAN
- Может получить
- носители
- случаев
- Генеральный директор
- Сертификация
- цепь
- цепи
- изменение
- изменения
- изменения
- Чарльз
- ясность
- клиентов
- облако
- Общий
- сообщество
- Компании
- Компания
- полный
- сложность
- Соответствие закону
- уступчивый
- сложный
- Беспокойство
- Проводить
- проведение
- заблуждение
- контракт
- подрядчики
- контрактов
- контроль
- координация
- может
- охват
- Обложки
- решающее значение
- Кибератака
- Информационная безопасность
- данным
- Время
- дня в день
- Дней
- глубоко
- Защита
- Кафедра
- Министерство обороны
- проектирование
- Детализация
- определены
- разрушительный
- непосредственно
- обнаружить
- документ
- время простоя
- e
- легче
- эффект
- позволяет
- обеспечение соблюдения
- обеспечивать
- Весь
- шпионаж
- существенный
- установить
- оценивать
- Даже
- Каждая
- пример
- ожидать
- Федеральный
- Федеральное правительство
- несколько
- Найдите
- конец
- твердо
- Во-первых,
- Фокус
- следовать
- после
- Что касается
- Войска
- вперед
- Способствовать
- основатель
- Рамки
- от
- Gain
- разрыв
- НКУ
- получить
- получающий
- Go
- хорошо
- Правительство
- Хакеры
- Половина
- обрабатывать
- Есть
- помощь
- помогает
- High
- Как
- Однако
- HTTPS
- i
- изображение
- осуществлять
- Осуществляющий
- важную
- улучшать
- in
- включены
- В том числе
- промышленность
- промышленность
- информация
- Инфраструктура
- пример
- вместо
- Институт
- страхование
- намерение
- Намерение
- пугающим
- инвестиций
- вопросы
- IT
- это безопасность
- ЕГО
- только один
- Основные
- Знать
- маркировка
- Фамилия
- последний
- запуск
- Лиды
- Утечки
- уровень
- уровни
- Вероятно
- Lockheed Martin
- искать
- потери
- прибыльный
- основной
- сделать
- Создание
- вручную
- производство
- обрабатывающая промышленность
- многих
- отображение
- Мартин
- Вопросы
- зрелый
- зрелость
- Модель зрелости
- меры
- средний
- заседания
- упомянутый
- МИД
- Microsoft
- Основные этапы
- минут
- модель
- месяцев
- БОЛЕЕ
- самых
- Многолетняя
- народ
- национальный
- Национальная безопасность
- необходимо
- Необходимость
- Новые
- Новости
- следующий
- NIST
- Ноябрь
- Ноябрь 2021
- номер
- цель
- of
- Офис
- on
- ONE
- Операционный отдел
- заказ
- организация
- организации
- оригинал
- Другое
- изложенные
- контуры
- обзор
- вечеринка
- перспектива
- физический
- картина
- кусок
- трубопровод
- план
- Планы
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- политика
- состояния потока
- практическое
- практиками
- Подготовить
- подготовка
- предотвращать
- Процедуры
- процесс
- Процессы
- для защиты
- защиту
- Недвижимости
- Вопросы
- вымогателей
- скорее
- реализовать
- причины
- рекомендовать
- "Регулирование"
- правила
- относительно
- остатки
- помнить
- удаление
- замещать
- требовать
- обязательный
- Требования
- требуется
- Снижение
- оценка риска
- Дорожная карта
- условиями,
- Правящая
- Run
- s
- то же
- говорит
- Гол
- обеспечение
- безопасность
- Безопасность
- смысл
- чувствительный
- обслуживание
- Провайдер услуг
- должен
- аналогичный
- одинарной
- ШЕСТЬ
- меньше
- So
- Software
- некоторые
- скорость
- стек
- стандарт
- стандартов
- и политические лидеры
- Область
- Шаг
- По-прежнему
- укрепляет
- успешный
- такие
- поставщики
- поставка
- цепочками поставок
- Каналы поставок
- система
- системы
- ТАБЛИЦЫ
- взять
- с
- переговоры
- цель
- Технологии
- который
- Ассоциация
- Основы
- их
- Их
- Эти
- задача
- В третьих
- сторонние
- мысль
- угроза
- актеры угрозы
- три
- время
- Сроки
- в
- вместе
- слишком
- трек
- Обучение
- В конечном счете
- понимать
- обновление
- модернизация
- обновления
- острая необходимость
- использование
- обычно
- различный
- поставщики
- ждать
- Вода
- Что
- , которые
- в то время как
- будете
- окна
- в
- без
- Выиграл
- слова
- записывать
- письмо
- год
- лет
- Ты
- ВАШЕ
- себя
- зефирнет