ہم جن 13 میں سے 2.0 انشورنس کیریئرز کو ٹریک کرتے ہیں وہ پالیسی نہیں لکھیں گے جب تک کہ آپ کے پاس MFA نہ ہو۔ سی ایم ایم سی XNUMX کے ساتھ بھی — اور اگر آپ کے پاس ایم ایف اے، اینٹی وائرس اور سیکیورٹی سے متعلق آگاہی کی تربیت جیسی بنیادی باتیں نہیں ہیں تو ایک پلان آف ایکشن اینڈ سنگ میل (POA&M) کو قبول نہیں کیا جائے گا۔ - فوسٹر چارلس، بانی اور سی ای او، چارلس آئی ٹی
مڈل ٹاؤن، کون۔ (PRWEB) مارچ 27، 2023
محکمہ دفاع (DoD) نے سائبرسیکیوریٹی میچورٹی ماڈل سرٹیفیکیشن کا اعلان کیا، CMMC 2.0نومبر 2021 میں۔ تبدیلی اس بات کے تعین کے بعد آئی کہ اصل CMMC 1.0 ماڈل ٹھیکیداروں کے لیے بہت بوجھل اور الجھا ہوا ہے۔ ارادہ، تاہم، وہی رہتا ہے: اس بات کو یقینی بنانے کے لیے کہ ڈیفنس انڈسٹریل بیس (DIB) کنٹریکٹرز کے پاس حساس معلومات کی حفاظت کے لیے مناسب اقدامات اور طریقہ کار موجود ہیں، بشمول کنٹرولڈ غیر درجہ بند معلومات (CUI) اور وفاقی معاہدہ کی معلومات (FCI)۔
جو بات سمجھنا ضروری ہے وہ یہ ہے کہ CMMC 2.0 دراصل کوئی نئی چیز نہیں ہے۔ ضروریات The National Institute of Standards and Technology (NIST) SP 800-171 پر مبنی ہیں اور یہ ڈیفنس فیڈرل ایکوزیشن ریگولیشن سپلیمنٹ (DFARS) کے ساتھ براہ راست منسلک ہیں، جو کچھ عرصے سے درکار ہے۔
اہم بات یہ ہے کہ آپ آئی ٹی سیکیورٹی کے لیے ان بہترین طریقوں پر کتنی سختی سے عمل درآمد کر رہے ہیں، کیونکہ نئے ضوابط 2023 میں مضبوطی سے نافذ کیے جائیں گے۔ کامیاب ہونے کے لیے، ٹھیکیداروں کو تعمیل کے لیے اپنا نقطہ نظر تبدیل کرنا چاہیے یا منافع بخش معاہدوں سے محروم ہونے یا بھاری جرمانے کا خطرہ لاحق ہونا چاہیے۔
CMMC 2.0 میں اعلیٰ سطحی تبدیلیاں
CMMC 1.0 کا مقصد وفاقی حکومت کے لیے مختلف حفاظتی تقاضوں کو ایک واحد تعمیل معیار میں جمع کرنا ہے۔ جب کہ نیت اچھی تھی، قوانین بہت پیچیدہ تھے۔ CMMC 2.0 CMMC 1.0 کا ایک آسان طریقہ ہے — جس سے DIB ٹھیکیداروں کے لیے وفاقی دفاعی سلامتی کو بہتر بنانے کے لیے تعمیل حاصل کرنا بہت آسان ہو جاتا ہے۔
لیول ون کے لیے 17 بہترین طریقوں کی خود تشخیص کی ضرورت ہے جو NIST کے سائبر سیکیورٹی فریم ورک (CSF) سے ملتی جلتی ہے۔ سطح دو NIST SP 800-171 کے ساتھ سیدھ میں ہے اور CMMC تھرڈ پارٹی اسیسمنٹ آرگنائزیشن (C3PAO) سے سرٹیفیکیشن کی ضرورت ہے۔ آخر میں، DIB ٹھیکیدار جو خفیہ معلومات کو ہینڈل کرتے ہیں، انہیں NIST 800-172 کی بنیاد پر تیسرے درجے کی تعمیل حاصل کرنی چاہیے۔
CMMC 2.0 ان تقاضوں کو ہٹاتا ہے جو NIST SP 800-171 میں شامل نہیں ہیں تاکہ تعمیل کے حصول اور نفاذ کو مزید عملی بنایا جا سکے۔ یہ پوری سپلائی چین میں سیکیورٹی کو یقینی بنانے کے لیے DIB کے ذیلی ٹھیکیداروں کا بھی احاطہ کرتا ہے کیونکہ زیادہ بدنیتی پر مبنی اداکار چھوٹی کمپنیوں کو نشانہ بناتے ہیں جو صنعت کے بڑے بڑے اداروں (مثلاً، لاک ہیڈ مارٹن) کے ساتھ معاہدہ کرتی ہیں۔ "ہیکرز کو ایک سپلائر سے CUI کا صرف ایک ٹکڑا مل سکتا ہے۔ لیکن اگر وہ ان میں سے ایک گروپ کو اکٹھا کرتے ہیں، تو وہ ایک مکمل تصویر حاصل کر سکتے ہیں - اس طرح راز افشا ہوتے ہیں۔ CMMC 2.0 ریاستی رازوں کو محفوظ کرنے کے بارے میں ہے،" چارلس کہتے ہیں۔
سائبر جنگ تازہ ترین تشویش ہے، اور اچھی وجوہات کی بناء پر۔ مثال کے طور پر، دھمکی دینے والے عناصر بنیادی ڈھانچے پر سائبر حملہ کر سکتے ہیں (مثلاً، نوآبادیاتی پائپ لائن حملہ)، پھر مزید تباہ کن جسمانی حملہ کرنے کے لیے توسیع شدہ وقت کا فائدہ اٹھا سکتے ہیں — جو پوری قوم کو روک سکتا ہے۔
ان تبدیلیوں کا اہم راستہ کیا ہے، اور اپنے عمل کو اپ ڈیٹ کرتے وقت آپ کو کیا جاننے کی ضرورت ہے؟
CMMC 2.0 کا ایک اہم مقصد وضاحت لانا اور پیچیدگی کو دور کرنا ہے۔ مثال کے طور پر، اسے سطح دو اور تین کی تعمیل کے لیے ہر تین سال بعد (سالانہ تشخیص کے بجائے) فریق ثالث کا سرٹیفیکیشن درکار ہوتا ہے۔
مزید برآں، طریقہ کار کو سمجھنا آسان ہے، اس لیے آپ کی توجہ اپنی حفاظتی کرنسی کو تازہ ترین بنانے پر مرکوز ہو سکتی ہے۔
کس طرح CMMC 2.0 DIB ٹھیکیداروں کو فائدہ پہنچاتا ہے۔
CMMC 2.0 ڈیٹا لیک اور جاسوسی کو روکنے کے لیے CUI کے بہتر تحفظ کو قابل بناتا ہے۔ یہ قومی سلامتی کو مضبوط کرتا ہے اور سپلائی چین یا ریاست کے زیر اہتمام حملوں سے تحفظ فراہم کرتا ہے۔ تاہم، یہ سمجھیں کہ اس سے DIB ٹھیکیداروں کو بھی ان کے کاموں میں فائدہ ہوتا ہے: "مینوفیکچرنگ انڈسٹری آئی ٹی اور سیکیورٹی میں بہت پیچھے ہے۔ کمپنیاں اب بھی بہت سے عمل کو دستی طور پر چلاتی ہیں، جو کہ بہت غیر محفوظ ہے۔ ان کی ناقص آئی ٹی سیکیورٹی حفظان صحت اکثر مہنگے رینسم ویئر اور دیگر حملوں کا باعث بنتی ہے۔ CMMC 2.0 ان ٹھیکیداروں کو اچھی کاروباری عادات قائم کرنے پر مجبور کرتا ہے جو بالآخر ان کی تنظیموں کے لیے اچھی ہوں،" چارلس کہتے ہیں۔
ایک اور ضابطے کے بارے میں سوچنا خوفناک ہو سکتا ہے۔ اچھی خبر یہ ہے کہ CMMC 2.0 کا نصف حصہ پہلے سے ہی NIST SP 800-171 میں ہے - سائبر سیکیورٹی کے طریقوں کی تفصیلات جن کی DIB ٹھیکیداروں کو پہلے سے ہی پیروی کرنی چاہیے، مثلاً، اینٹی وائرس سافٹ ویئر کا استعمال، ملٹی فیکٹر توثیق (MFA) کو لاگو کرنا، اور تمام CUI کی نقشہ سازی اور لیبل لگانا۔ .
تنقیدی طور پر، کمپنیاں CMMC 2.0 میں بیان کردہ بہت سے اقدامات کو لاگو کیے بغیر سائبر سیکیورٹی انشورنس کوریج بھی حاصل نہیں کر سکتیں۔ "ہم 13 میں سے نو انشورنس کیریئرز کو ٹریک کرتے ہیں جب تک کہ آپ کے پاس MFA نہ ہو پالیسی نہیں لکھیں گے۔ سی ایم ایم سی 2.0 کے ساتھ بھی — اور اگر آپ کے پاس ایم ایف اے، اینٹی وائرس اور سیکیورٹی سے متعلق آگاہی کی تربیت جیسی بنیادی باتیں نہیں ہیں تو ایک پلان آف ایکشن اینڈ سنگ میل (POA&M) کو قبول نہیں کیا جائے گا۔
CMMC 2.0 پوری دفاعی صنعت کے لیے ٹیکنالوجی کے نقطہ نظر سے تیزی سے آگے بڑھنے کے لیے ایک ضروری قدم ہے۔
اپنے نقطہ نظر کو تبدیل کرنا کیوں اہم ہے۔
جیسا کہ ذکر کیا گیا ہے، CMMC 2.0 کے بارے میں سب سے عام غلط فہمی یہ ہے کہ یہ تعمیل کا ایک نیا معیار ہے جب کہ حقیقت میں ایسا نہیں ہے۔
دوسری اہم غلط فہمی یہ ہے کہ بہت سے ٹھیکیدار یہ سمجھتے ہیں کہ وہ کارروائی کرنے سے پہلے CMMC 2.0 کے حکم کی منظوری تک انتظار کر سکتے ہیں۔ بہت سے ٹھیکیدار اس بات کو کم سمجھتے ہیں کہ ان کی حفاظتی پوزیشن کا اندازہ لگانے، تدارک کے اقدامات کو نافذ کرنے اور تیسرے فریق کی تشخیص حاصل کرنے میں کتنا وقت لگے گا۔ کچھ لوگ یہ بھی غلط اندازہ لگاتے ہیں کہ تکنیکی طور پر ان کے نظام اور عمل کتنے پیچھے ہیں اور تعمیل حاصل کرنے کے لیے درکار سرمایہ کاری۔ یہ یاد رکھنا بھی ضروری ہے کہ ان معیارات کو پورا کرنے کے لیے دکانداروں کے ساتھ ہم آہنگی کی ضرورت ہوتی ہے، جسے مکمل ہونے میں وقت لگ سکتا ہے۔ "بہت سے ٹھیکیدار اپنی سپلائی چین کی پیچیدگی اور تیسری پارٹی کے دکانداروں کی تعداد کو نظر انداز کرتے ہیں جو وہ استعمال کرتے ہیں۔ مثال کے طور پر، آپ کو معلوم ہو سکتا ہے کہ چند سپلائر اب بھی Windows 7 استعمال کرتے ہیں اور اپ گریڈ کرنے سے انکار کرتے ہیں۔ لہذا آپ اپنے آپ کو ایک اچار میں پا سکتے ہیں اگر آپ کے دکاندار تعمیل نہیں کر رہے ہیں، اور آپ کو ان کی ٹیکنالوجی کو اپ گریڈ کرنے کا انتظار کرنا پڑے گا،" چارلس کہتے ہیں۔
چارلس نے بتایا کہ بادل کی تعمیل میں بھی مسائل ہیں۔ بہت سے ٹھیکیداروں کو یہ بھی احساس نہیں ہے کہ وہ کسی بھی کلاؤڈ پر CUI پر کارروائی نہیں کر سکتے — آپ کے پلیٹ فارم کو فیڈرامپ میڈیم یا فیڈرامپ ہائی کلاؤڈ پر بیٹھنا چاہیے۔ مثال کے طور پر، Office 365 کے بجائے، آپ کو Microsoft 365 Government Community Cloud High (GCC High) استعمال کرنا چاہیے۔
CMMC 2.0 کی تیاری کیسے کریں۔
جتنی جلدی ہو سکے تیاری شروع کریں اگر آپ نے پہلے سے نہیں کیا ہے اور اس عمل میں ایک یا دو سال لگنے کی توقع ہے۔ CMMC 2.0 ممکنہ طور پر 2023 میں نافذ ہو جائے گا، اور جیسے ہی یہ ہوتا ہے، یہ 60 دنوں کے اندر تمام معاہدوں پر ظاہر ہو جائے گا۔ آپ آخری لمحے تک انتظار کرنے کے متحمل نہیں ہو سکتے۔
دوسرے لفظوں میں، ٹھیکیداروں کو عجلت کے احساس سے فائدہ ہوگا۔ "ایک ہی بار میں تعمیل حاصل کرنا کسی تنظیم اور اس کے روزمرہ کے کاروباری عمل کے لیے ایک بڑا جھٹکا ہو سکتا ہے۔ میں ایک تشخیص کرنے اور ایک کثیر سالہ روڈ میپ ڈیزائن کرنے کی تجویز کرتا ہوں،" چارلس کہتے ہیں۔ اس منصوبے میں سوالات کا جواب ہونا چاہیے جیسے: آپ کو کون سی مشینیں/ہارڈ ویئر تبدیل کرنے کی ضرورت ہے؟ کس تھرڈ پارٹی وینڈرز کو اپ گریڈ کی ضرورت ہے؟ کیا ان کے پاس اگلے تین سالوں میں ایسا کرنے کا منصوبہ ہے؟"
CMMC 2.0 کی تعمیل کے لیے سسٹم سیکیورٹی پلان (SSP) جمع کرنا ضروری ہے۔ ایس ایس پی بھی ایک ضروری دستاویز ہے کہ اے منظم سروس فراہم کنندہ (MSP) تعمیل میں آپ کی کمپنی کی مدد کے لیے استعمال کر سکتے ہیں۔ سکور شیٹ CMMC کی حفاظتی ضروریات کا خاکہ پیش کرتی ہے اور آپ کو ان اپ گریڈز کا جائزہ لینے میں مدد کرتی ہے جن کی آپ کو ضرورت ہے۔ "پہلی چیز جو میں عام طور پر پوچھتا ہوں، 'کیا آپ اپنے SSP سکور کو جانتے ہیں؟'،" چارلس کہتے ہیں۔ دوسری کمپنیاں شاید اتنی دور نہ ہوں۔ اس صورت میں، چارلس IT ہمارے کلائنٹس کے لیے SSP اور ایک پلان آف ایکشن اینڈ سنگ میل (POA&M) لکھنے کے لیے پہلے قدم کے طور پر ایک خلا یا خطرے کی تشخیص کر سکتا ہے۔ "ہم اسے کہتے ہیں ایک فرق کی تشخیص. ہمیں یہ جاننے کی ضرورت ہے کہ پانی کتنا گہرا ہے، اور پھر ہم اس کی نشاندہی کریں گے اور SSP لکھنے میں ان کی مدد کریں گے،" چارلس مشورہ دیتے ہیں۔
اگر آپ کے پاس نسبتاً پختہ سیکیورٹی پوزیشن ہے اور آپ سائبر سیکیورٹی کے جدید ترین طریقوں پر عمل کرتے ہیں، تو CMMC 2.0 کی تعمیل کو حاصل کرنے میں تقریباً چھ سے نو ماہ لگنے چاہئیں۔ اگر نہیں، تو آپ 18 ماہ کی ٹائم لائن دیکھ سکتے ہیں۔ ایک بار پھر، کوئی معاہدہ میز پر آنے تک انتظار نہ کریں — کاروبار کو کھونے سے بچنے کے لیے ابھی شروع کریں۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- : ہے
- $UP
- 1
- 2021
- 2023
- 7
- a
- ہمارے بارے میں
- حاصل
- حصول
- حصول
- کے پار
- عمل
- اعمال
- اداکار
- اصل میں
- فائدہ
- کے بعد
- کے خلاف
- منسلک
- سیدھ میں لائیں
- تمام
- پہلے ہی
- کے ساتھ
- اور
- کا اعلان کیا ہے
- سالانہ
- ایک اور
- جواب
- ینٹیوائرس
- ظاہر
- نقطہ نظر
- مناسب
- کی منظوری دے دی
- کیا
- ارد گرد
- AS
- تشخیص
- مدد
- At
- حملہ
- حملے
- کی توثیق
- کے بارے میں شعور
- بیس
- کی بنیاد پر
- مبادیات
- BE
- اس سے پہلے
- پیچھے
- فائدہ
- فوائد
- BEST
- بہترین طریقوں
- بہتر
- لانے
- گچرچھا
- کاروبار
- کاروبار
- فون
- کر سکتے ہیں
- حاصل کر سکتے ہیں
- کیریئرز
- کیس
- سی ای او
- تصدیق
- چین
- زنجیروں
- تبدیل
- تبدیلیاں
- تبدیل کرنے
- چارلس
- وضاحت
- کلائنٹس
- بادل
- کامن
- کمیونٹی
- کمپنیاں
- کمپنی کے
- مکمل
- پیچیدگی
- تعمیل
- شکایت
- پیچیدہ
- اندیشہ
- سلوک
- چل رہا ہے
- مبہم
- کنٹریکٹ
- ٹھیکیداروں
- معاہدے
- کنٹرول
- سمنوی
- سکتا ہے
- کوریج
- کا احاطہ کرتا ہے
- اہم
- سائبر حملہ
- سائبر سیکیورٹی
- اعداد و شمار
- تاریخ
- دن بہ دن
- دن
- گہری
- دفاع
- شعبہ
- محکمہ دفاع
- ڈیزائننگ
- تفصیل
- کا تعین
- تباہ کن
- براہ راست
- دریافت
- دستاویز
- ٹائم ٹائم
- e
- آسان
- اثر
- کے قابل بناتا ہے
- نافذ کرنا
- کو یقینی بنانے کے
- پوری
- جاسوسی
- ضروری
- قائم کرو
- اندازہ
- بھی
- ہر کوئی
- مثال کے طور پر
- توقع ہے
- وفاقی
- وفاقی حکومت
- چند
- مل
- سروں
- مضبوطی سے
- پہلا
- توجہ مرکوز
- پر عمل کریں
- کے بعد
- کے لئے
- افواج
- آگے
- رضاعی
- بانی
- فریم ورک
- سے
- حاصل کرنا
- فرق
- جی سی سی
- حاصل
- حاصل کرنے
- Go
- اچھا
- حکومت
- ہیکروں
- نصف
- ہینڈل
- ہے
- مدد
- مدد کرتا ہے
- ہائی
- کس طرح
- تاہم
- HTTPS
- i
- تصویر
- پر عملدرآمد
- پر عمل درآمد
- اہم
- کو بہتر بنانے کے
- in
- شامل
- سمیت
- صنعتی
- صنعت
- معلومات
- انفراسٹرکچر
- مثال کے طور پر
- کے بجائے
- انسٹی ٹیوٹ
- انشورنس
- ارادے
- ارادہ
- دھمکی
- سرمایہ کاری
- مسائل
- IT
- یہ سیکیورٹی
- میں
- صرف ایک
- کلیدی
- جان
- لیبل
- آخری
- تازہ ترین
- شروع
- لیڈز
- لیک
- سطح
- سطح
- امکان
- لاک ہیڈ مارٹن
- تلاش
- کھونے
- منافع بخش
- اہم
- بنا
- بنانا
- دستی طور پر
- مینوفیکچرنگ
- پیداواری صنعت
- بہت سے
- تعریفیں
- مارٹن
- معاملات
- عقلمند و سمجھدار ہو
- پختگی
- پختگی کا ماڈل
- اقدامات
- درمیانہ
- اجلاس
- ذکر کیا
- MFA
- مائیکروسافٹ
- سنگ میل
- منٹ
- ماڈل
- ماہ
- زیادہ
- سب سے زیادہ
- کثیر سال
- قوم
- قومی
- قومی سلامتی
- ضروری
- ضرورت ہے
- نئی
- خبر
- اگلے
- نیسٹ
- نومبر
- نومبر 2021
- تعداد
- مقصد
- of
- دفتر
- on
- ایک
- آپریشنز
- حکم
- تنظیم
- تنظیمیں
- اصل
- دیگر
- بیان کیا
- خطوط
- مجموعی جائزہ
- پارٹی
- نقطہ نظر
- جسمانی
- تصویر
- ٹکڑا
- پائپ لائن
- منصوبہ
- کی منصوبہ بندی
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹس
- پالیسی
- غریب
- عملی
- طریقوں
- تیار
- کی تیاری
- کی روک تھام
- طریقہ کار
- عمل
- عمل
- حفاظت
- تحفظ
- فراہم کنندہ
- سوالات
- ransomware کے
- بلکہ
- احساس
- وجوہات
- سفارش
- ریگولیشن
- ضابطے
- نسبتا
- باقی
- یاد
- ہٹا
- کی جگہ
- کی ضرورت
- ضرورت
- ضروریات
- کی ضرورت ہے
- رسک
- خطرے کی تشخیص
- سڑک موڈ
- قوانین
- حکمران
- رن
- s
- اسی
- کا کہنا ہے کہ
- سکور
- محفوظ
- سیکورٹی
- سیکیورٹی بیداری
- احساس
- حساس
- سروس
- سروس فراہم کرنے والے
- ہونا چاہئے
- اسی طرح
- ایک
- چھ
- چھوٹے
- So
- سافٹ ویئر کی
- کچھ
- تیزی
- ڈھیر لگانا
- معیار
- معیار
- شروع
- حالت
- مرحلہ
- ابھی تک
- مضبوط کرتا ہے
- کامیاب
- اس طرح
- سپلائرز
- فراہمی
- فراہمی کا سلسلہ
- سپلائی چین
- کے نظام
- سسٹمز
- ٹیبل
- لے لو
- لینے
- مذاکرات
- ہدف
- ٹیکنالوجی
- کہ
- ۔
- مبادیات
- ان
- ان
- یہ
- بات
- تھرڈ
- تیسری پارٹی
- سوچا
- خطرہ
- دھمکی دینے والے اداکار
- تین
- وقت
- ٹائم لائن
- کرنے کے لئے
- مل کر
- بھی
- ٹریک
- ٹریننگ
- آخر میں
- سمجھ
- اپ ڈیٹ
- اپ گریڈ
- اپ گریڈ
- فوری طور پر
- استعمال کی شرائط
- عام طور پر
- مختلف
- دکانداروں
- انتظار
- پانی
- کیا
- جس
- جبکہ
- گے
- کھڑکیاں
- ساتھ
- کے اندر
- بغیر
- وون
- الفاظ
- لکھنا
- تحریری طور پر
- سال
- سال
- تم
- اور
- اپنے آپ کو
- زیفیرنیٹ