Charles IT Kurucusu Foster Charles, DoD Kuralları Ortasında CMMC 2.0 ile Konuşuyor

Plato tarafından yeniden yayınlandı

İzleyiciler: 0

Takip ettiğimiz 13 sigorta şirketinden dokuzu, MFA'nız olmadığı sürece poliçe yazmayacaktır. CMMC 2.0 için de aynısı geçerlidir; MFA, antivirüs ve güvenlik farkındalığı eğitimi gibi temel bilgilere sahip değilseniz Eylem Planı ve Kilometre Taşları (POA&M) kabul edilmeyecektir. – Foster Charles, Kurucu ve CEO, Charles IT

ORTA KÖY, BAĞLANTI (PRWEB) 27 Mart, 2023

Savunma Bakanlığı (DoD), yeni Siber Güvenlik Olgunluk Modeli Sertifikasyonunu duyurdu. CMMC 2.0Değişiklik, orijinal CMMC 2021 modelinin yükleniciler için fazla hantal ve kafa karıştırıcı olduğunun belirlenmesinin ardından geldi. Ancak amaç aynı kalıyor: Savunma Sanayi Üssü (DIB) yüklenicilerinin, kontrollü sınıflandırılmamış bilgiler (CUI) ve federal sözleşme bilgileri (FCI) dahil olmak üzere hassas bilgileri korumak için uygun önlem ve prosedürlere sahip olmasını sağlamak.

Anlaşılması önemli olan CMMC 2.0'ın aslında yeni bir şey olmadığıdır. Gereksinimler, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) SP 800-171'e dayanmaktadır ve bir süredir gerekli olan Savunma Federal Satın Alma Düzenleme Eki (DFARS) ile doğrudan uyumludur.

Önemli olan, BT güvenliğine yönelik bu en iyi uygulamaları ne kadar sıkı uyguladığınızdır, çünkü yeni düzenlemeler 2023'te sıkı bir şekilde uygulanacaktır. Başarılı olmak için yüklenicilerin uyumluluk konusundaki yaklaşımlarını değiştirmeleri, aksi takdirde kazançlı sözleşmeleri kaybetme veya ağır para cezalarına maruz kalma riskiyle karşı karşıya kalmaları gerekir.

CMMC 2.0'da Üst Düzey Değişiklikler

CMMC 1.0, çeşitli güvenlik gereksinimlerini federal hükümet için tek bir uyumluluk standardında toplamayı amaçladı. Niyet iyi olsa da kurallar çok karmaşıktı. CMMC 2.0, CMMC 1.0'ın basitleştirilmiş halidir; DIB yüklenicilerinin federal savunma güvenliğini artırmak amacıyla uyumluluğu sağlamasını çok daha kolaylaştırır.

Birinci düzey, NIST'in siber güvenlik çerçevesine (CSF) benzer 17 en iyi uygulamanın öz değerlendirmesini gerektirir. İkinci düzey, NIST SP 800-171 ile uyumludur ve CMMC Üçüncü Taraf Değerlendirme Kuruluşundan (C3PAO) sertifikasyon gerektirir. Son olarak, çok gizli bilgileri işleyen DIB yüklenicilerinin NIST 800-172'ye göre üçüncü düzey uyumluluğa ulaşması gerekir.

CMMC 2.0, uyumluluğun sağlanmasını ve uygulanmasını daha pratik hale getirmek için NIST SP 800-171'de yer almayan gereksinimleri ortadan kaldırır. Aynı zamanda, daha fazla kötü niyetli aktörün endüstri devleriyle sözleşme yapan daha küçük şirketleri (örneğin Lockheed Martin) hedef alması nedeniyle, tedarik zincirinin tamamında güvenliği sağlamak için DIB alt yüklenicilerini de kapsamaktadır. “Bilgisayar korsanları bir tedarikçiden yalnızca bir parça CUI alabilir. Ancak bunlardan bir kısmını bir araya getirirlerse oldukça eksiksiz bir resim elde edebilirler; sırlar bu şekilde sızdırılır. CMMC 2.0, devlet sırlarının güvence altına alınmasıyla ilgilidir” diyor Charles.

Siber savaş en son endişe kaynağıdır ve bunun iyi sebepleri vardır. Örneğin, tehdit aktörleri altyapıya bir siber saldırı (örneğin, Colonial Pipeline saldırısı) başlatabilir, ardından uzun süreli kesinti süresinden yararlanarak daha yıkıcı bir fiziksel saldırı başlatabilir; bu da tüm ülkeyi durma noktasına getirebilir.

Bu değişikliklerin ana sonucu nedir ve süreçlerinizi güncellerken bilmeniz gerekenler nelerdir?

CMMC 2.0'ın temel hedeflerinden biri netlik sağlamak ve karmaşıklığı ortadan kaldırmaktır. Örneğin, ikinci ve üçüncü düzey uyumluluk için her üç yılda bir (yıllık değerlendirme yerine) üçüncü taraf sertifikasyonu gerektirir.

Üstelik prosedürlerin anlaşılması daha kolay olduğundan, güvenlik duruşunuzu güncel tutmaya odaklanabilirsiniz.

CMMC 2.0 DIB Yüklenicilerine Nasıl Fayda Sağlıyor?

CMMC 2.0, veri sızıntılarını ve casusluğu önlemek için CUI'nin daha iyi korunmasını sağlar. Ulusal güvenliği güçlendirir ve tedarik zincirine veya devlet destekli saldırılara karşı korunmaya yardımcı olur. Ancak bunun aynı zamanda DIB yüklenicilerine de operasyonlarında fayda sağladığını anlayın: “İmalat sektörü BT ve güvenlik konularında çok geride. Şirketler hala birçok süreci manuel olarak yürütüyor ve bu da oldukça güvensiz. Kötü BT güvenlik hijyeni çoğu zaman maliyetli fidye yazılımlarına ve diğer saldırılara yol açmaktadır. CMMC 2.0, bu yüklenicileri kuruluşları için sonuçta iyi olan iyi iş alışkanlıkları oluşturmaya zorluyor," diyor Charles.

Başka bir düzenleme düşüncesi korkutucu olabilir. İyi haber şu ki, CMMC 2.0'ın yarısı zaten NIST SP 800-171'de bulunuyor; bu standart, DIB yüklenicilerinin halihazırda izlemesi gereken siber güvenlik uygulamalarını (ör. antivirüs yazılımı kullanma, çok faktörlü kimlik doğrulama (MFA) uygulama ve tüm CUI'leri haritalama ve etiketleme) ayrıntılarıyla anlatıyor. .

Daha da önemlisi, şirketler CMMC 2.0'da belirtilen önlemlerin çoğunu uygulamadan siber güvenlik sigortası kapsamına bile giremiyor. "Takip ettiğimiz 13 sigorta şirketinden dokuzu, MFA'nız olmadığı sürece poliçe yazmayacaktır. Aynı şey CMMC 2.0 için de geçerlidir; MFA, antivirüs ve güvenlik farkındalığı eğitimi gibi temel bilgilere sahip değilseniz Eylem Planı ve Kilometre Taşları (POA&M) kabul edilmeyecektir," diyor Charles.

CMMC 2.0, tüm savunma sanayinin teknoloji açısından hız kazanması için gerekli bir adımdır.

Yaklaşımınızı Değiştirmek Neden Önemlidir?

Daha önce de belirtildiği gibi, CMMC 2.0 ile ilgili en yaygın yanılgı, aslında yeni bir uyumluluk standardı olmasına rağmen yeni bir uyumluluk standardı olduğu yönündedir.

Diğer önemli yanılgı ise birçok yüklenicinin harekete geçmeden önce CMMC 2.0 kararının onaylanmasını bekleyebileceklerini varsaymasıdır. Birçok yüklenici, güvenlik durumlarını değerlendirmenin, iyileştirme eylemlerini uygulamanın ve üçüncü taraf değerlendirmesini almanın ne kadar zaman alacağını hafife alıyor. Bazıları ayrıca sistem ve süreçlerinin teknik açıdan ne kadar geride olduğunu ve uyumluluğu sağlamak için gereken yatırımı yanlış değerlendiriyor. Bu standartları karşılamanın satıcılarla koordinasyon gerektirdiğini ve bunun tamamlanmasının zaman alabileceğini de unutmamak gerekir. "Birçok yüklenici, tedarik zincirlerinin karmaşıklığını ve kullandıkları üçüncü taraf satıcıların sayısını gözden kaçırıyor. Örneğin, birkaç tedarikçinin hâlâ Windows 7 kullandığını ve yükseltmeyi reddettiğini keşfedebilirsiniz. Dolayısıyla, eğer satıcılarınız uyumlu değilse, kendinizi zor durumda bulabilirsiniz ve onların teknolojilerini yükseltmelerini beklemeniz gerekir," diyor Charles.

Charles, bulut uyumluluğuyla ilgili sorunların da olduğuna dikkat çekiyor. Birçok yüklenici ayrıca CUI'yi herhangi bir bulutta işleyemeyeceklerinin farkında değil; platformunuzun Fedramp orta veya Fedramp yüksek bulutta bulunması gerekir. Örneğin Office 365 yerine Microsoft 365 Government Community Cloud High (GCC High) kullanmanız gerekir.

CMMC 2.0'a Nasıl Hazırlanılır?

Henüz yapmadıysanız mümkün olan en kısa sürede hazırlanmaya başlayın ve sürecin bir veya iki yıl sürmesini bekleyin. CMMC 2.0 muhtemelen 2023 yılında yürürlüğe girecek ve yürürlüğe girer girmez 60 gün içinde tüm sözleşmelerde yer alacak. Son dakikaya kadar beklemeyi göze alamazsınız.

Başka bir deyişle müteahhitler aciliyet duygusundan faydalanacak. "Uyumun tek seferde sağlanması, bir kuruluş ve onun günlük iş süreçleri için büyük bir şok olabilir. Bir değerlendirme yapılmasını ve çok yıllı bir yol haritası tasarlanmasını öneriyorum” diyor Charles. Bu plan şu tür sorulara cevap vermelidir: Hangi makineleri/donanımı değiştirmeniz gerekiyor? Hangi üçüncü taraf satıcılar yükseltme gerektiriyor? Önümüzdeki üç yıl içinde bunu yapmayı planlıyorlar mı?”

Bir sistem güvenlik planının (SSP) gönderilmesi CMMC 2.0 uyumluluğu açısından çok önemlidir. SSP aynı zamanda önemli bir belgedir. yönetilen servis sağlayıcı (MSP) Şirketinizin uyumluluk konusunda yardımcı olması için kullanabilirsiniz. Puan tablosu CMMC'nin güvenlik gereksinimlerini ana hatlarıyla belirtir ve ihtiyacınız olan yükseltmelere ilişkin genel bir bakış elde etmenize yardımcı olur. Charles, "Genellikle sorduğum ilk şey 'SSP puanınızı biliyor musunuz?' olur" diyor. Diğer şirketler bu kadar uzakta olmayabilir. Bu durumda Charles IT, bir SSP ve bir eylem planı ve kilometre taşları (POA&M) yazmanın ilk adımı olarak müşterilerimiz için bir boşluk veya risk değerlendirmesi yapabilir. “Biz buna diyoruz boşluk değerlendirmesi. Suyun ne kadar derin olduğunu bilmemiz gerekiyor, sonra noktayı belirleyip SSP yazmalarına yardımcı olacağız," diye tavsiyede bulunuyor Charles.

Nispeten olgun bir güvenlik duruşunuz varsa ve en son siber güvenlik en iyi uygulamalarını takip ediyorsanız CMMC 2.0 uyumluluğuna ulaşmak yaklaşık altı ila dokuz ay sürecektir. Değilse, 18 aylık bir zaman çizelgesine bakıyor olabilirsiniz. Tekrar ediyorum, bir sözleşme masaya yatırılıncaya kadar beklemeyin; işlerinizi kaybetmemek için hemen başlayın.