Основатель Charles IT, Фостер Чарльз, рассказывает о CMMC 2.0 на фоне нормотворчества Министерства обороны

Переиздано Платоном

Читают: 0

Девять из 13 страховых компаний, которых мы отслеживаем, не будут оформлять полис, если у вас нет MFA. То же самое с CMMC 2.0 — и План действий и контрольные точки (POA&M) не будут приняты, если у вас нет таких основ, как MFA, антивирус и обучение по вопросам безопасности. – Фостер Чарльз, основатель и генеральный директор Charles IT

МИДЛТАУН, Коннектикут (PRWEB) 27 марта 2023

Министерство обороны (DoD) объявило о новой модели сертификации зрелости кибербезопасности. СММС 2.0, в ноябре 2021 года. Изменение произошло после того, как было установлено, что исходная модель CMMC 1.0 была слишком громоздкой и запутанной для подрядчиков. Однако цель остается прежней: обеспечить наличие у подрядчиков оборонно-промышленной базы (DIB) соответствующих мер и процедур для защиты конфиденциальной информации, включая контролируемую несекретную информацию (CUI) и информацию о федеральных контрактах (FCI).

Важно понимать, что в CMMC 2.0 на самом деле нет ничего нового. Требования основаны на Национальном институте стандартов и технологий (NIST) SP 800-171 и напрямую связаны с Дополнением к федеральным закупкам в сфере обороны (DFARS), которое требуется в течение некоторого времени.

Важно то, насколько строго вы применяете эти передовые методы обеспечения ИТ-безопасности, поскольку новые правила будут строго соблюдаться в 2023 году. Чтобы добиться успеха, подрядчики должны изменить свой подход к соблюдению требований, иначе они рискуют потерять выгодные контракты или понести большие штрафы.

Высокоуровневые изменения в CMMC 2.0

CMMC 1.0 стремился объединить различные требования безопасности в единый стандарт соответствия для федерального правительства. Хотя намерение было хорошим, правила были очень сложными. CMMC 2.0 — это упрощенная версия CMMC 1.0, которая значительно упрощает для подрядчиков DIB соблюдение требований для повышения безопасности федеральной обороны.

Первый уровень требует самооценки 17 лучших практик, аналогичных структуре кибербезопасности NIST (CSF). Второй уровень соответствует NIST SP 800-171 и требует сертификации сторонней организации по оценке CMMC (C3PAO). Наконец, подрядчики DIB, которые обрабатывают сверхсекретную информацию, должны соответствовать третьему уровню на основе NIST 800-172.

CMMC 2.0 удаляет требования, не включенные в NIST SP 800-171, чтобы сделать достижение и обеспечение соответствия более практичным. Он также охватывает субподрядчиков DIB для обеспечения безопасности по всей цепочке поставок, поскольку все больше злоумышленников нацелены на более мелкие компании, которые заключают контракты с отраслевыми гигантами (например, Lockheed Martin). «Хакеры могут получить только одну часть CUI от одного поставщика. Но если сложить их кучу вместе, то можно получить довольно полную картину — так происходит утечка секретов. CMMC 2.0 — это защита государственной тайны, — говорит Чарльз.

Кибервойна является последней проблемой, и на то есть веские причины. Например, злоумышленники могут начать кибератаку на инфраструктуру (например, атаку Colonial Pipeline), а затем воспользоваться продолжительным временем простоя для проведения более разрушительной физической атаки, которая может остановить всю нацию.

Каковы основные выводы этих изменений и что вам нужно знать при обновлении ваших процессов?

Основная цель CMMC 2.0 — внести ясность и устранить сложность. Например, он требует независимой сертификации каждые три года (вместо ежегодной оценки) для соответствия второму и третьему уровням.

Кроме того, процедуры проще для понимания, поэтому вы можете сосредоточиться на обновлении системы безопасности.

Как CMMC 2.0 приносит пользу подрядчикам DIB

CMMC 2.0 обеспечивает лучшую защиту CUI для предотвращения утечки данных и шпионажа. Это укрепляет национальную безопасность и помогает защититься от цепочек поставок или атак, спонсируемых государством. Однако следует понимать, что это также приносит пользу подрядчикам DIB в их работе: «Обрабатывающая промышленность очень сильно отстает в области ИТ и безопасности. Компании по-прежнему запускают многие процессы вручную, что очень небезопасно. Их плохая гигиена ИТ-безопасности часто приводит к дорогостоящим программам-вымогателям и другим атакам. CMMC 2.0 заставляет этих подрядчиков формировать хорошие деловые привычки, которые в конечном итоге принесут пользу их организациям», — говорит Чарльз.

Мысль о еще одном регулировании может быть пугающей. Хорошей новостью является то, что половина CMMC 2.0 уже находится в NIST SP 800-171, где подробно описываются методы кибербезопасности, которым уже должны следовать подрядчики DIB, например, использование антивирусного программного обеспечения, внедрение многофакторной аутентификации (MFA), а также сопоставление и маркировка всех CUI. .

Критически важно, что компании не могут даже получить страховое покрытие кибербезопасности без реализации многих мер, изложенных в CMMC 2.0. «Девять из 13 страховых компаний, которых мы отслеживаем, не будут оформлять полис, если у вас нет MFA. То же самое с CMMC 2.0 — и план действий и вехи (POA&M) не будут приняты, если у вас нет таких основ, как MFA, антивирус и обучение по вопросам безопасности», — говорит Чарльз.

CMMC 2.0 — это необходимый шаг вперед для всей оборонной промышленности, чтобы идти в ногу с технологической точки зрения.

Почему важно изменить свой подход

Как уже упоминалось, наиболее распространенное заблуждение о CMMC 2.0 заключается в том, что это новый стандарт соответствия, хотя на самом деле это не так.

Другое серьезное заблуждение состоит в том, что многие подрядчики предполагают, что они могут подождать, пока решение CMMC 2.0 будет одобрено, прежде чем предпринимать какие-либо действия. Многие подрядчики недооценивают, сколько времени потребуется для оценки их состояния безопасности, выполнения действий по исправлению положения и получения оценки от третьей стороны. Некоторые также неправильно оценивают, насколько технически отстали их системы и процессы и какие инвестиции необходимы для достижения соответствия. Также важно помнить, что соблюдение этих стандартов требует координации с поставщиками, что может занять некоторое время. «Многие подрядчики упускают из виду сложность своих цепочек поставок и количество сторонних поставщиков, которых они используют. Например, вы можете обнаружить, что некоторые поставщики все еще используют Windows 7 и отказываются от обновления. Таким образом, вы можете оказаться в затруднительном положении, если ваши поставщики не будут соответствовать требованиям, и вам придется ждать, пока они обновят свои технологии», — говорит Чарльз.

По словам Чарльза, существуют также проблемы с соблюдением требований к облачным технологиям. Многие подрядчики также не понимают, что они не могут обрабатывать CUI в любом облаке — ваша платформа должна находиться в среднем или высоком облаке Fedramp. Например, вместо Office 365 вы должны использовать Microsoft 365 Government Community Cloud High (GCC High).

Как подготовиться к CMMC 2.0

Начните готовиться как можно скорее, если вы еще этого не сделали, и ожидайте, что процесс займет год или два. CMMC 2.0, вероятно, вступит в силу в 2023 году, и как только это произойдет, он появится во всех контрактах в течение 60 дней. Вы не можете позволить себе ждать до последней минуты.

Другими словами, подрядчики выиграют от ощущения срочности. «Достижение соответствия за один раз может стать серьезным потрясением для организации и ее повседневных бизнес-процессов. Я рекомендую провести оценку и разработать многолетнюю дорожную карту», — говорит Чарльз. Этот план должен отвечать на такие вопросы, как: Какие машины/оборудование вам необходимо заменить? Какие сторонние поставщики требуют обновлений? Есть ли у них планы сделать это в ближайшие три года?»

Отправка плана безопасности системы (SSP) необходима для соответствия CMMC 2.0. SSP также является важным документом, поставщик управляемых услуг (MSP) можно использовать, чтобы помочь вашей компании с соблюдением. В оценочном листе излагаются требования безопасности CMMC, и он помогает получить обзор необходимых обновлений. «Первое, что я обычно спрашиваю: «Вы знаете свой балл SSP?», — говорит Чарльз. Другие компании могут быть не так далеко. В этом случае Charles IT может провести оценку пробелов или рисков для наших клиентов в качестве первого шага к написанию SSP и плана действий и этапов (POA&M). "Мы называем его оценка пробелов. Нам нужно знать, насколько глубока вода, а затем мы точно ее определим и поможем написать SSP», — советует Чарльз.

Если у вас относительно зрелая система безопасности и вы следуете последним передовым методам кибербезопасности, достижение соответствия CMMC 2.0 может занять от шести до девяти месяцев. Если нет, вы могли бы смотреть на 18-месячную временную шкалу. Опять же, не ждите, пока контракт будет на столе — начните сейчас, чтобы не потерять бизнес.