ผู้ก่อตั้ง Charles IT, Foster Charles พูดถึง CMMC 2.0 ท่ามกลางการสร้างกฎของ DoD

ผู้ก่อตั้ง Charles IT, Foster Charles พูดถึง CMMC 2.0 ท่ามกลางการสร้างกฎของ DoD

ประทับเวลา: 26 มีนาคม 2023 8:00 น
อุปถัมภ์ Charles of Charles IT

ผู้ให้บริการประกันภัย 13 ใน 2.0 รายที่เราติดตามจะไม่เขียนกรมธรรม์เว้นแต่คุณจะมี MFA เช่นเดียวกับ CMMC XNUMX — และ Plan of Action and Milestones (POA&M) จะไม่ได้รับการยอมรับหากคุณไม่มีพื้นฐาน เช่น MFA โปรแกรมป้องกันไวรัส และการฝึกอบรมการรับรู้ด้านความปลอดภัย – ฟอสเตอร์ ชาร์ลส์ ผู้ก่อตั้งและซีอีโอของ Charles IT

มิดเดิลทาวน์, Conn. (PRWEB) March 27, 2023

กระทรวงกลาโหม (DoD) ได้ประกาศการรับรองรูปแบบความมั่นคงปลอดภัยไซเบอร์ใหม่ ซีเอ็มซี 2.0ในเดือนพฤศจิกายน 2021 การเปลี่ยนแปลงเกิดขึ้นหลังจากพบว่าโมเดล CMMC 1.0 ดั้งเดิมนั้นยุ่งยากและสับสนเกินไปสำหรับผู้รับเหมา อย่างไรก็ตาม ความตั้งใจยังคงเหมือนเดิม: เพื่อให้แน่ใจว่าผู้รับเหมาของ Defence Industrial Base (DIB) มีมาตรการและขั้นตอนที่เหมาะสมในการปกป้องข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลที่ไม่เป็นความลับที่ถูกควบคุม (CUI) และข้อมูลสัญญาของรัฐบาลกลาง (FCI)

สิ่งสำคัญที่ต้องทำความเข้าใจคือ CMMC 2.0 นั้นไม่มีอะไรใหม่เลย ข้อกำหนดนี้อ้างอิงจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) SP 800-171 และสอดคล้องโดยตรงกับ Defense Federal Acquisition Regulation Supplement (DFARS) ซึ่งเป็นข้อกำหนดมาระยะหนึ่งแล้ว

สิ่งสำคัญคือคุณปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเหล่านี้เพื่อความปลอดภัยด้านไอทีอย่างเคร่งครัดเพียงใด เนื่องจากกฎระเบียบใหม่จะบังคับใช้อย่างเข้มงวดในปี 2023 เพื่อให้ประสบความสำเร็จ ผู้รับเหมาต้องเปลี่ยนวิธีการปฏิบัติตามข้อกำหนดหรือเสี่ยงต่อการสูญเสียสัญญาที่ให้ผลตอบแทนสูงหรือต้องเสียค่าปรับจำนวนมาก

การเปลี่ยนแปลงระดับสูงใน CMMC 2.0

CMMC 1.0 มีวัตถุประสงค์เพื่อรวมข้อกำหนดด้านความปลอดภัยต่างๆ ให้เป็นมาตรฐานการปฏิบัติตามข้อกำหนดเดียวสำหรับรัฐบาลกลาง แม้ว่าเจตนาจะดี แต่กฎก็ซับซ้อนมาก CMMC 2.0 เป็นการลดความซับซ้อนของ CMMC 1.0 — ทำให้ผู้รับเหมา DIB สามารถบรรลุการปฏิบัติตามข้อกำหนดได้ง่ายขึ้นมาก เพื่อปรับปรุงการรักษาความปลอดภัยการป้องกันของรัฐบาลกลาง

ระดับที่หนึ่งต้องมีการประเมินตนเองจากแนวทางปฏิบัติที่ดีที่สุด 17 ข้อที่คล้ายคลึงกับกรอบความปลอดภัยทางไซเบอร์ (CSF) ของ NIST ระดับที่สองสอดคล้องกับ NIST SP 800-171 และต้องการการรับรองจาก CMMC Third Party Assessment Organization (C3PAO) ประการสุดท้าย ผู้รับเหมา DIB ที่จัดการข้อมูลลับสุดยอดต้องปฏิบัติตามข้อกำหนดระดับสามตามมาตรฐาน NIST 800-172

CMMC 2.0 ลบข้อกำหนดที่ไม่รวมอยู่ใน NIST SP 800-171 เพื่อให้บรรลุผลและบังคับใช้การปฏิบัติตามข้อกำหนดในทางปฏิบัติมากขึ้น นอกจากนี้ยังครอบคลุมถึงผู้รับเหมาช่วงของ DIB เพื่อให้แน่ใจว่ามีความปลอดภัยทั่วทั้งซัพพลายเชน เนื่องจากผู้ประสงค์ร้ายจำนวนมากขึ้นมุ่งเป้าไปที่บริษัทขนาดเล็กที่ทำสัญญากับยักษ์ใหญ่ในอุตสาหกรรม (เช่น Lockheed Martin) “แฮ็กเกอร์อาจได้รับ CUI เพียงชิ้นเดียวจากซัพพลายเออร์รายเดียว แต่ถ้าเอามากองรวมกันก็จะได้ภาพที่ค่อนข้างสมบูรณ์ ความลับจึงรั่วไหลออกมา CMMC 2.0 เป็นเรื่องเกี่ยวกับการรักษาความลับของรัฐ” Charles กล่าว

สงครามไซเบอร์เป็นปัญหาล่าสุดและด้วยเหตุผลที่ดี ตัวอย่างเช่น ผู้คุกคามสามารถเปิดการโจมตีทางไซเบอร์บนโครงสร้างพื้นฐาน (เช่น การโจมตี Colonial Pipeline) จากนั้นใช้ประโยชน์จากการหยุดทำงานที่เพิ่มขึ้นเพื่อเริ่มการโจมตีทางกายภาพที่รุนแรงยิ่งขึ้น ซึ่งอาจบดขยี้ทั้งประเทศให้หยุดชะงัก

อะไรคือสิ่งสำคัญของการเปลี่ยนแปลงเหล่านี้ และคุณจำเป็นต้องรู้อะไรบ้างเมื่ออัปเดตกระบวนการของคุณ

วัตถุประสงค์หลักของ CMMC 2.0 คือการนำความชัดเจนและขจัดความซับซ้อน ตัวอย่างเช่น ต้องมีการรับรองจากบุคคลที่สามทุกสามปี (แทนการประเมินประจำปี) สำหรับการปฏิบัติตามระดับสองและสาม

ยิ่งไปกว่านั้น ขั้นตอนต่างๆ ยังเข้าใจได้ง่ายกว่า คุณจึงสามารถมุ่งเน้นที่การปรับมาตรการรักษาความปลอดภัยให้ทันสมัยอยู่เสมอ

CMMC 2.0 ให้ประโยชน์กับผู้รับเหมา DIB อย่างไร

CMMC 2.0 ช่วยให้สามารถป้องกัน CUI ได้ดีขึ้นเพื่อป้องกันการรั่วไหลของข้อมูลและการจารกรรม ช่วยเสริมความมั่นคงของชาติและช่วยป้องกันห่วงโซ่อุปทานหรือการโจมตีที่สนับสนุนโดยรัฐ อย่างไรก็ตาม เข้าใจว่าสิ่งนี้ยังเป็นประโยชน์ต่อผู้รับเหมา DIB ในการดำเนินงานของพวกเขาด้วย: “อุตสาหกรรมการผลิตล้าหลังมากในด้านไอทีและความปลอดภัย บริษัทต่างๆ ยังคงดำเนินกระบวนการหลายอย่างด้วยตนเอง ซึ่งไม่ปลอดภัยอย่างยิ่ง สุขอนามัยความปลอดภัยด้านไอทีที่ไม่ดีมักนำไปสู่แรนซัมแวร์ราคาแพงและการโจมตีอื่นๆ CMMC 2.0 บังคับให้ผู้รับเหมาเหล่านี้สร้างนิสัยทางธุรกิจที่ดี ซึ่งสุดท้ายแล้วจะเป็นผลดีต่อองค์กรของพวกเขา” Charles กล่าว

ความคิดเกี่ยวกับกฎระเบียบอื่นอาจเป็นเรื่องน่าวิตก ข่าวดีก็คือครึ่งหนึ่งของ CMMC 2.0 มีอยู่ใน NIST SP 800-171 แล้ว — ให้รายละเอียดแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ผู้รับจ้าง DIB ควรปฏิบัติตามอยู่แล้ว เช่น การใช้ซอฟต์แวร์ป้องกันไวรัส การใช้การรับรองความถูกต้องด้วยหลายปัจจัย (MFA) และการแมปและการติดฉลาก CUI ทั้งหมด .

วิกฤต บริษัทต่างๆ ไม่สามารถรับความคุ้มครองการรักษาความปลอดภัยทางไซเบอร์ได้หากไม่ปฏิบัติตามมาตรการต่างๆ ที่ระบุไว้ใน CMMC 2.0 “ผู้ให้บริการประกันภัย 13 ใน 2.0 รายที่เราติดตามจะไม่เขียนกรมธรรม์เว้นแต่คุณจะมี MFA เช่นเดียวกับ CMMC XNUMX — และ Plan of Action and Milestones (POA&M) จะไม่ได้รับการยอมรับหากคุณไม่มีพื้นฐาน เช่น MFA โปรแกรมป้องกันไวรัส และการฝึกอบรมการรับรู้ด้านความปลอดภัย” Charles กล่าว

CMMC 2.0 เป็นก้าวที่จำเป็นสำหรับอุตสาหกรรมการป้องกันทั้งหมดเพื่อให้ได้รับความเร็วจากมุมมองของเทคโนโลยี

เหตุใดการเปลี่ยนวิธีการของคุณจึงเป็นกุญแจสำคัญ

ดังที่ได้กล่าวไว้ ความเข้าใจผิดที่พบบ่อยที่สุดเกี่ยวกับ CMMC 2.0 คือเป็นมาตรฐานการปฏิบัติตามข้อกำหนดใหม่ ทั้งที่ความจริงแล้วไม่ใช่

ความเข้าใจผิดที่สำคัญอีกอย่างคือผู้รับเหมาจำนวนมากคิดว่าพวกเขาสามารถรอได้จนกว่าคำตัดสินของ CMMC 2.0 จะได้รับการอนุมัติก่อนที่จะดำเนินการ ผู้รับเหมาหลายรายประเมินค่าต่ำไปว่าจะต้องใช้เวลาเท่าใดในการประเมินท่าทางการรักษาความปลอดภัย ดำเนินการแก้ไข และรับการประเมินจากบุคคลที่สาม บางคนยังตัดสินผิดพลาดว่าเบื้องหลังระบบและกระบวนการทางเทคนิคของพวกเขาเป็นอย่างไร และการลงทุนที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนด นอกจากนี้ สิ่งสำคัญคือต้องจำไว้ว่าการปฏิบัติตามมาตรฐานเหล่านี้ต้องมีการประสานงานกับผู้ขาย ซึ่งอาจใช้เวลาในการดำเนินการให้เสร็จสิ้น “ผู้รับเหมาหลายรายมองข้ามความซับซ้อนของห่วงโซ่อุปทานและจำนวนผู้ค้าภายนอกที่พวกเขาใช้ ตัวอย่างเช่น คุณอาจพบว่าซัพพลายเออร์บางรายยังคงใช้ Windows 7 และปฏิเสธที่จะอัปเกรด ดังนั้นคุณอาจเจอปัญหาจุกจิกหากผู้ขายของคุณไม่ปฏิบัติตาม และคุณต้องรอให้พวกเขาอัปเกรดเทคโนโลยีของตน” Charles กล่าว

นอกจากนี้ยังมีปัญหาเกี่ยวกับการปฏิบัติตามระบบคลาวด์ด้วย Charles ชี้ให้เห็น ผู้รับเหมาจำนวนมากไม่ทราบว่าพวกเขาไม่สามารถประมวลผล CUI บนคลาวด์ใด ๆ ได้ — แพลตฟอร์มของคุณต้องอยู่บน Fedramp medium หรือ Fedramp high cloud ตัวอย่างเช่น แทนที่จะใช้ Office 365 คุณต้องใช้ Microsoft 365 Government Community Cloud High (GCC High)

วิธีเตรียมตัวสำหรับ CMMC 2.0

เริ่มเตรียมตัวให้เร็วที่สุดหากคุณยังไม่ได้เตรียม และคาดว่ากระบวนการนี้จะใช้เวลาหนึ่งปีหรือสองปี CMMC 2.0 มีแนวโน้มว่าจะมีผลบังคับใช้ในปี 2023 และทันทีที่เป็นเช่นนั้น CMMC 60 จะปรากฏบนสัญญาทั้งหมดภายใน XNUMX วัน คุณไม่สามารถรอจนถึงนาทีสุดท้ายได้

กล่าวอีกนัยหนึ่ง ผู้รับเหมาจะได้รับประโยชน์จากความรู้สึกเร่งด่วน “การปฏิบัติตามข้อกำหนดในครั้งเดียวอาจสร้างความตกใจอย่างมากต่อองค์กรและกระบวนการทางธุรกิจในแต่ละวัน ฉันแนะนำให้ทำการประเมินและออกแบบแผนงานระยะยาวหลายปี” ชาร์ลส์กล่าว แผนนี้ควรตอบคำถาม เช่น เครื่องจักร/ฮาร์ดแวร์ใดที่คุณต้องการเปลี่ยน ผู้ให้บริการบุคคลที่สามรายใดต้องการการอัปเกรด พวกเขามีแผนจะทำเช่นนั้นในอีกสามปีข้างหน้าหรือไม่”

การส่งแผนความปลอดภัยของระบบ (SSP) เป็นสิ่งจำเป็นต่อการปฏิบัติตาม CMMC 2.0 SSP ยังเป็นเอกสารสำคัญที่ก ผู้ให้บริการที่มีการจัดการ (MSP) สามารถใช้เพื่อช่วยให้บริษัทของคุณปฏิบัติตามข้อกำหนดได้ ตารางคะแนนสรุปข้อกำหนดด้านความปลอดภัยของ CMMC และช่วยให้คุณได้รับภาพรวมของการอัปเกรดที่คุณต้องการ “สิ่งแรกที่ฉันมักจะถามคือ 'คุณรู้คะแนน SSP ของคุณหรือไม่'” Charles กล่าว บริษัทอื่นอาจไปได้ไม่ไกล ในกรณีดังกล่าว Charles IT สามารถดำเนินการประเมินช่องว่างหรือความเสี่ยงสำหรับลูกค้าของเราเป็นขั้นตอนแรกในการเขียน SSP และแผนปฏิบัติการและเหตุการณ์สำคัญ (POA&M) “เราเรียกมันว่า การประเมินช่องว่าง. เราจำเป็นต้องรู้ว่าน้ำลึกแค่ไหน จากนั้นเราจะระบุและช่วยพวกเขาเขียน SSP” ชาร์ลส์ให้คำแนะนำ

หากคุณมีมาตรการรักษาความปลอดภัยที่ค่อนข้างสมบูรณ์และปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ล่าสุด การปฏิบัติตามข้อกำหนด CMMC 2.0 ควรใช้เวลาประมาณหกถึงเก้าเดือน ถ้าไม่ คุณอาจกำลังดูไทม์ไลน์ 18 เดือน อย่ารอจนกว่าสัญญาจะเสร็จ — เริ่มเลยตอนนี้เพื่อหลีกเลี่ยงการสูญเสียธุรกิจ

ประทับเวลา:

เพิ่มเติมจาก รักษาความปลอดภัยคอมพิวเตอร์