Devet od 13 zavarovalnic, ki jim sledimo, ne bo napisalo police, razen če imate MFA. Enako s CMMC 2.0 – in akcijski načrt in mejniki (POA&M) ne bodo sprejeti, če nimate osnov, kot so MFA, protivirusni program in usposabljanje za ozaveščanje o varnosti. – Foster Charles, ustanovitelj in izvršni direktor, Charles IT
MIDDLETOWN, Connecticut (PRWEB) Marec 27, 2023
Ministrstvo za obrambo (DoD) je objavilo novo certifikacijo modela zrelosti za kibernetsko varnost, CMMC 2.0, novembra 2021. Do spremembe je prišlo potem, ko je bilo ugotovljeno, da je bil prvotni model CMMC 1.0 preveč okoren in zmeden za izvajalce. Namen pa ostaja enak: zagotoviti, da imajo izvajalci obrambne industrijske baze (DIB) ustrezne ukrepe in postopke za zaščito občutljivih informacij, vključno z nadzorovanimi netajnimi informacijami (CUI) in zveznimi pogodbenimi informacijami (FCI).
Pomembno je razumeti, da CMMC 2.0 pravzaprav ni nič novega. Zahteve temeljijo na Nacionalnem inštitutu za standarde in tehnologijo (NIST) SP 800-171 in so neposredno usklajene z dodatkom Defence Federal Acquisition Regulation Supplement (DFARS), ki je bil potreben že nekaj časa.
Pomembno je, kako dosledno izvajate te najboljše prakse za varnost IT, saj bodo novi predpisi dosledno uveljavljeni leta 2023. Da bi bili uspešni, morajo izvajalci spremeniti svoj pristop k skladnosti ali tvegati, da bodo izgubili donosne pogodbe ali prejeli visoke kazni.
Spremembe na visoki ravni v CMMC 2.0
Cilj CMMC 1.0 je združiti različne varnostne zahteve v en sam standard skladnosti za zvezno vlado. Čeprav je bil namen dober, so bila pravila zelo zapletena. CMMC 2.0 je poenostavitev CMMC 1.0 – izvajalcem DIB je veliko lažje doseči skladnost z namenom izboljšanja zvezne obrambne varnosti.
Prva stopnja zahteva samoocenjevanje 17 najboljših praks, podobnih okvirom kibernetske varnosti NIST (CSF). Druga stopnja je v skladu z NIST SP 800-171 in zahteva potrdilo organizacije CMMC Third Party Assessment Organisation (C3PAO). Nazadnje morajo izvajalci DIB, ki obdelujejo strogo zaupne podatke, doseči skladnost tretje stopnje na podlagi NIST 800-172.
CMMC 2.0 odstrani zahteve, ki niso vključene v NIST SP 800-171, da postane doseganje in uveljavljanje skladnosti bolj praktično. Zajema tudi podizvajalce DIB za zagotavljanje varnosti v celotni dobavni verigi, saj več zlonamernih akterjev cilja na manjša podjetja, ki sklepajo pogodbe z industrijskimi velikani (npr. Lockheed Martin). »Hekerji lahko dobijo samo en kos CUI od enega dobavitelja. Toda če jih zložijo kup skupaj, lahko dobijo precej popolno sliko - tako razkrivajo skrivnosti. CMMC 2.0 je namenjen varovanju državnih skrivnosti,« pravi Charles.
Kibernetska vojna je zadnja skrb, in to z dobrimi razlogi. Akterji groženj lahko na primer sprožijo kibernetski napad na infrastrukturo (npr. napad Colonial Pipeline), nato pa izkoristijo podaljšan čas nedelovanja, da izvedejo bolj uničujoč fizični napad — ki bi lahko ustavil celotno državo.
Kaj je ključna ugotovitev teh sprememb in kaj morate vedeti, ko posodabljate svoje procese?
Ključni cilj CMMC 2.0 je zagotoviti jasnost in odstraniti zapletenost. Na primer, zahteva certificiranje tretje osebe vsaka tri leta (namesto letne ocene) za drugo in tretjo stopnjo skladnosti.
Poleg tega so postopki lažje razumljivi, zato se lahko osredotočite na posodabljanje vaše varnostne drže.
Kako CMMC 2.0 koristi izvajalcem DIB
CMMC 2.0 omogoča boljšo zaščito CUI za preprečevanje uhajanja podatkov in vohunjenja. Krepi nacionalno varnost in pomaga zaščititi pred napadi v dobavni verigi ali državno sponzoriranimi napadi. Vendar razumejte, da to koristi tudi izvajalcem DIB pri njihovem delovanju: »Proizvodna industrija zelo zaostaja na področju IT in varnosti. Podjetja še vedno izvajajo veliko procesov ročno, kar je zelo nevarno. Njihova slaba IT varnostna higiena pogosto vodi do dragih izsiljevalskih programov in drugih napadov. CMMC 2.0 sili te izvajalce, da vzpostavijo dobre poslovne navade, ki so na koncu dobre za njihove organizacije,« pravi Charles.
Misel na še en predpis je lahko zastrašujoča. Dobra novica je, da je polovica CMMC 2.0 že v NIST SP 800-171 – s podrobnostmi o praksah kibernetske varnosti, ki bi jih izvajalci DIB že morali upoštevati, npr. uporaba protivirusne programske opreme, implementacija večfaktorske avtentikacije (MFA) ter preslikava in označevanje vseh CUI .
Kar je kritično, podjetja ne morejo dobiti niti zavarovalnega kritja za kibernetsko varnost brez izvajanja številnih ukrepov, opisanih v CMMC 2.0. »Devet od 13 zavarovalnic, ki jim sledimo, ne bo napisalo police, razen če imate MFA. Enako s CMMC 2.0 – in akcijski načrt in mejniki (POA&M) ne bodo sprejeti, če nimate osnov, kot so MFA, protivirusni program in usposabljanje za ozaveščanje o varnosti,« pravi Charles.
CMMC 2.0 je nujen korak naprej za celotno obrambno industrijo, da se pospeši s tehnološkega vidika.
Zakaj je sprememba vašega pristopa ključna
Kot že omenjeno, je najpogostejša napačna predstava o CMMC 2.0, da gre za nov standard skladnosti, čeprav v resnici ni.
Druga ključna napačna predstava je, da mnogi izvajalci domnevajo, da lahko počakajo, da se odločitev CMMC 2.0 odobri, preden ukrepajo. Številni izvajalci podcenjujejo, koliko časa bo trajalo, da ocenijo svojo varnostno stanje, izvedejo sanacijske ukrepe in pridobijo oceno tretje osebe. Nekateri tudi napačno ocenijo, kako tehnično zaostajajo njihovi sistemi in procesi ter naložbe, potrebne za doseganje skladnosti. Pomembno si je tudi zapomniti, da izpolnjevanje teh standardov zahteva usklajevanje s prodajalci, kar lahko traja nekaj časa. »Številni izvajalci spregledajo zapletenost svojih dobavnih verig in število zunanjih prodajalcev, ki jih uporabljajo. Na primer, lahko ugotovite, da nekaj dobaviteljev še vedno uporablja Windows 7 in nočejo nadgraditi. Torej se lahko znajdete v škripcih, če vaši prodajalci niso skladni, in morate počakati, da nadgradijo svojo tehnologijo,« pravi Charles.
Težave so tudi s skladnostjo v oblaku, poudarja Charles. Številni izvajalci se tudi ne zavedajo, da ne morejo obdelati CUI v nobenem oblaku – vaša platforma mora biti v srednjem ali visokem oblaku Fedramp. Na primer, namesto Office 365 morate uporabiti Microsoft 365 Government Community Cloud High (GCC High).
Kako se pripraviti na CMMC 2.0
Začnite se pripravljati čim prej, če se še niste in pričakujte, da bo postopek trajal leto ali dve. CMMC 2.0 bo najverjetneje stopil v veljavo leta 2023 in takoj ko bo, bo v 60 dneh prikazan na vseh pogodbah. Ne morete si privoščiti čakanja do zadnje minute.
Z drugimi besedami, izvajalcem bo koristil občutek nujnosti. »Doseganje skladnosti naenkrat je lahko velik šok za organizacijo in njene vsakodnevne poslovne procese. Priporočam, da opravite oceno in oblikujete večletni načrt,« pravi Charles. Ta načrt mora odgovoriti na vprašanja, kot so: Katere stroje/strojno opremo morate zamenjati? Kateri ponudniki tretjih oseb potrebujejo nadgradnje? Ali to načrtujejo v naslednjih treh letih?«
Predložitev varnostnega načrta sistema (SSP) je bistvena za skladnost s CMMC 2.0. SSP je tudi bistven dokument, ki a ponudnik upravljanih storitev (MSP) lahko uporabite za pomoč svojemu podjetju pri skladnosti. Preglednica opisuje varnostne zahteve CMMC in vam pomaga pridobiti pregled nad nadgradnjami, ki jih potrebujete. »Prva stvar, ki jo običajno vprašam, je, 'ali poznate svoj rezultat SSP?',« pravi Charles. Druga podjetja morda niso tako daleč. V tem primeru lahko Charles IT izvede oceno vrzeli ali tveganja za naše stranke kot prvi korak k pisanju SSP ter akcijskega načrta in mejnikov (POA&M). »Mi to imenujemo ocena vrzeli. Vedeti moramo, kako globoka je voda, nato pa jo bomo natančno določili in jim pomagali napisati SSP,« svetuje Charles.
Če imate razmeroma zrelo varnostno držo in upoštevate najnovejše najboljše prakse kibernetske varnosti, bi doseganje skladnosti s CMMC 2.0 trajalo približno šest do devet mesecev. Če ne, si lahko ogledate 18-mesečno časovnico. Še enkrat, ne čakajte, da bo pogodba na mizi – začnite zdaj, da se izognete izgubi podjetij.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- : je
- $GOR
- 1
- 2021
- 2023
- 7
- a
- O meni
- Doseči
- doseganju
- pridobitev
- čez
- Ukrep
- dejavnosti
- akterji
- dejansko
- Prednost
- po
- proti
- poravnano
- Poravnava
- vsi
- že
- Sredi
- in
- razglasitve
- letno
- Še ena
- odgovor
- antivirus
- zdi
- pristop
- primerno
- odobren
- SE
- okoli
- AS
- ocenjevanje
- pomoč
- At
- napad
- Napadi
- Preverjanje pristnosti
- zavest
- baza
- temeljijo
- Osnove
- BE
- pred
- zadaj
- koristi
- Prednosti
- BEST
- najboljše prakse
- Boljše
- prinašajo
- Bunch
- poslovni
- podjetja
- klic
- CAN
- Lahko dobiš
- prevoznikov
- primeru
- ceo
- certificiranje
- verige
- verige
- spremenite
- Spremembe
- spreminjanje
- Charles
- jasnost
- stranke
- Cloud
- Skupno
- skupnost
- Podjetja
- podjetje
- dokončanje
- kompleksnost
- skladnost
- skladno
- zapleten
- Skrb
- Ravnanje
- vodenje
- zmedeno
- Naročilo
- izvajalci
- pogodbe
- nadzorom
- usklajevanje
- bi
- pokritost
- Ovitki
- ključnega pomena
- Kibernetski napad
- Cybersecurity
- datum
- Datum
- iz dneva v dan
- Dnevi
- globoko
- Defense
- Oddelek
- oddelek za obrambo
- oblikovanje
- Podrobnosti
- določi
- uničujoče
- neposredno
- odkriti
- dokument
- odmore
- e
- lažje
- učinek
- omogoča
- uveljavljanje
- zagotovitev
- Celotna
- vohunjenja
- bistvena
- vzpostaviti
- oceniti
- Tudi
- Tudi vsak
- Primer
- pričakovati
- Zvezna
- Zvezna vlada
- Nekaj
- Najdi
- konec
- trdno
- prva
- Osredotočite
- sledi
- po
- za
- sile
- Naprej
- Spodbujati
- Ustanovitelj
- Okvirni
- iz
- Gain
- vrzel
- GCC
- dobili
- pridobivanje
- Go
- dobro
- vlada
- hekerji
- Pol
- ročaj
- Imajo
- pomoč
- Pomaga
- visoka
- Kako
- Vendar
- HTTPS
- i
- slika
- izvajati
- izvajanja
- Pomembno
- izboljšanje
- in
- vključeno
- Vključno
- industrijske
- Industrija
- Podatki
- Infrastruktura
- primer
- Namesto
- Inštitut
- zavarovanje
- namen
- Namen
- zastrašujoče
- naložbe
- Vprašanja
- IT
- varnost
- ITS
- samo en
- Ključne
- Vedite
- označevanje
- Zadnja
- Zadnji
- kosilo
- Interesenti
- puščanje
- Stopnja
- ravni
- Verjeten
- Lockheed Martin
- si
- izgube
- donosen
- velika
- Znamka
- Izdelava
- ročno
- proizvodnja
- predelovalne industrije
- več
- kartiranje
- Martin
- Zadeve
- zrel
- zapadlosti
- Model zrelosti
- ukrepe
- srednje
- srečanja
- omenjeno
- MZZ
- Microsoft
- mejniki
- min
- Model
- mesecev
- več
- Najbolj
- večletno
- Narod
- nacionalni
- državna varnost
- potrebno
- Nimate
- Novo
- novice
- Naslednja
- nst
- november
- november 2021
- Številka
- Cilj
- of
- Office
- on
- ONE
- operacije
- Da
- Organizacija
- organizacije
- izvirno
- Ostalo
- opisano
- obrisi
- pregled
- zabava
- perspektiva
- fizično
- slika
- kos
- plinovod
- Načrt
- načrti
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- točke
- politika
- slaba
- Praktično
- vaje
- Pripravimo
- priprava
- preprečiti
- Postopki
- Postopek
- Procesi
- zaščito
- zaščita
- Ponudnik
- vprašanja
- izsiljevalska
- precej
- uresničitev
- Razlogi
- Priporočamo
- Uredba
- predpisi
- relativno
- ostanki
- ne pozabite
- odstrani
- zamenjajte
- zahteva
- obvezna
- Zahteve
- zahteva
- Tveganje
- Ocena tveganja
- načrt
- pravila
- Odločitev
- Run
- s
- Enako
- pravi
- rezultat
- zavarovanje
- varnost
- Ozaveščenost o varnosti
- Občutek
- občutljiva
- Storitev
- Ponudnik storitev
- shouldnt
- Podoben
- sam
- SIX
- manj
- So
- Software
- nekaj
- hitrost
- sveženj
- standardna
- standardi
- začel
- Država
- Korak
- Še vedno
- Krepi
- uspešno
- taka
- dobavitelji
- dobavi
- dobavne verige
- Napajalne verige
- sistem
- sistemi
- miza
- Bodite
- ob
- pogovori
- ciljna
- Tehnologija
- da
- O
- Osnove
- njihove
- Njih
- te
- stvar
- tretja
- tretjih oseb
- mislil
- Grožnja
- akterji groženj
- 3
- čas
- časovnica
- do
- skupaj
- tudi
- sledenje
- usposabljanje
- Konec koncev
- razumeli
- posodabljanje
- nadgradnja
- Nadgradnje
- nujnost
- uporaba
- navadno
- različnih
- prodajalci
- Počakaj
- Voda
- Kaj
- ki
- medtem
- bo
- okna
- z
- v
- brez
- Zmagali
- besede
- pisati
- pisanje
- leto
- let
- Vi
- Vaša rutina za
- sami
- zefirnet
