چارلس آئی ٹی کے بانی، فوسٹر چارلس، DoD اصول سازی کے درمیان CMMC 2.0 سے بات کرتے ہیں

ہم جن 13 میں سے 2.0 انشورنس کیریئرز کو ٹریک کرتے ہیں وہ پالیسی نہیں لکھیں گے جب تک کہ آپ کے پاس MFA نہ ہو۔ سی ایم ایم سی XNUMX کے ساتھ بھی — اور اگر آپ کے پاس ایم ایف اے، اینٹی وائرس اور سیکیورٹی سے متعلق آگاہی کی تربیت جیسی بنیادی باتیں نہیں ہیں تو ایک پلان آف ایکشن اینڈ سنگ میل (POA&M) کو قبول نہیں کیا جائے گا۔ - فوسٹر چارلس، بانی اور سی ای او، چارلس آئی ٹی

مڈل ٹاؤن، کون۔ (PRWEB) مارچ 27، 2023

محکمہ دفاع (DoD) نے سائبرسیکیوریٹی میچورٹی ماڈل سرٹیفیکیشن کا اعلان کیا، CMMC 2.0نومبر 2021 میں۔ تبدیلی اس بات کے تعین کے بعد آئی کہ اصل CMMC 1.0 ماڈل ٹھیکیداروں کے لیے بہت بوجھل اور الجھا ہوا ہے۔ ارادہ، تاہم، وہی رہتا ہے: اس بات کو یقینی بنانے کے لیے کہ ڈیفنس انڈسٹریل بیس (DIB) کنٹریکٹرز کے پاس حساس معلومات کی حفاظت کے لیے مناسب اقدامات اور طریقہ کار موجود ہیں، بشمول کنٹرولڈ غیر درجہ بند معلومات (CUI) اور وفاقی معاہدہ کی معلومات (FCI)۔

جو بات سمجھنا ضروری ہے وہ یہ ہے کہ CMMC 2.0 دراصل کوئی نئی چیز نہیں ہے۔ ضروریات The National Institute of Standards and Technology (NIST) SP 800-171 پر مبنی ہیں اور یہ ڈیفنس فیڈرل ایکوزیشن ریگولیشن سپلیمنٹ (DFARS) کے ساتھ براہ راست منسلک ہیں، جو کچھ عرصے سے درکار ہے۔

اہم بات یہ ہے کہ آپ آئی ٹی سیکیورٹی کے لیے ان بہترین طریقوں پر کتنی سختی سے عمل درآمد کر رہے ہیں، کیونکہ نئے ضوابط 2023 میں مضبوطی سے نافذ کیے جائیں گے۔ کامیاب ہونے کے لیے، ٹھیکیداروں کو تعمیل کے لیے اپنا نقطہ نظر تبدیل کرنا چاہیے یا منافع بخش معاہدوں سے محروم ہونے یا بھاری جرمانے کا خطرہ لاحق ہونا چاہیے۔

CMMC 2.0 میں اعلیٰ سطحی تبدیلیاں

CMMC 1.0 کا مقصد وفاقی حکومت کے لیے مختلف حفاظتی تقاضوں کو ایک واحد تعمیل معیار میں جمع کرنا ہے۔ جب کہ نیت اچھی تھی، قوانین بہت پیچیدہ تھے۔ CMMC 2.0 CMMC 1.0 کا ایک آسان طریقہ ہے — جس سے DIB ٹھیکیداروں کے لیے وفاقی دفاعی سلامتی کو بہتر بنانے کے لیے تعمیل حاصل کرنا بہت آسان ہو جاتا ہے۔

لیول ون کے لیے 17 بہترین طریقوں کی خود تشخیص کی ضرورت ہے جو NIST کے سائبر سیکیورٹی فریم ورک (CSF) سے ملتی جلتی ہے۔ سطح دو NIST SP 800-171 کے ساتھ سیدھ میں ہے اور CMMC تھرڈ پارٹی اسیسمنٹ آرگنائزیشن (C3PAO) سے سرٹیفیکیشن کی ضرورت ہے۔ آخر میں، DIB ٹھیکیدار جو خفیہ معلومات کو ہینڈل کرتے ہیں، انہیں NIST 800-172 کی بنیاد پر تیسرے درجے کی تعمیل حاصل کرنی چاہیے۔

CMMC 2.0 ان تقاضوں کو ہٹاتا ہے جو NIST SP 800-171 میں شامل نہیں ہیں تاکہ تعمیل کے حصول اور نفاذ کو مزید عملی بنایا جا سکے۔ یہ پوری سپلائی چین میں سیکیورٹی کو یقینی بنانے کے لیے DIB کے ذیلی ٹھیکیداروں کا بھی احاطہ کرتا ہے کیونکہ زیادہ بدنیتی پر مبنی اداکار چھوٹی کمپنیوں کو نشانہ بناتے ہیں جو صنعت کے بڑے بڑے اداروں (مثلاً، لاک ہیڈ مارٹن) کے ساتھ معاہدہ کرتی ہیں۔ "ہیکرز کو ایک سپلائر سے CUI کا صرف ایک ٹکڑا مل سکتا ہے۔ لیکن اگر وہ ان میں سے ایک گروپ کو اکٹھا کرتے ہیں، تو وہ ایک مکمل تصویر حاصل کر سکتے ہیں - اس طرح راز افشا ہوتے ہیں۔ CMMC 2.0 ریاستی رازوں کو محفوظ کرنے کے بارے میں ہے،" چارلس کہتے ہیں۔

سائبر جنگ تازہ ترین تشویش ہے، اور اچھی وجوہات کی بناء پر۔ مثال کے طور پر، دھمکی دینے والے عناصر بنیادی ڈھانچے پر سائبر حملہ کر سکتے ہیں (مثلاً، نوآبادیاتی پائپ لائن حملہ)، پھر مزید تباہ کن جسمانی حملہ کرنے کے لیے توسیع شدہ وقت کا فائدہ اٹھا سکتے ہیں — جو پوری قوم کو روک سکتا ہے۔

ان تبدیلیوں کا اہم راستہ کیا ہے، اور اپنے عمل کو اپ ڈیٹ کرتے وقت آپ کو کیا جاننے کی ضرورت ہے؟

CMMC 2.0 کا ایک اہم مقصد وضاحت لانا اور پیچیدگی کو دور کرنا ہے۔ مثال کے طور پر، اسے سطح دو اور تین کی تعمیل کے لیے ہر تین سال بعد (سالانہ تشخیص کے بجائے) فریق ثالث کا سرٹیفیکیشن درکار ہوتا ہے۔

مزید برآں، طریقہ کار کو سمجھنا آسان ہے، اس لیے آپ کی توجہ اپنی حفاظتی کرنسی کو تازہ ترین بنانے پر مرکوز ہو سکتی ہے۔

کس طرح CMMC 2.0 DIB ٹھیکیداروں کو فائدہ پہنچاتا ہے۔

CMMC 2.0 ڈیٹا لیک اور جاسوسی کو روکنے کے لیے CUI کے بہتر تحفظ کو قابل بناتا ہے۔ یہ قومی سلامتی کو مضبوط کرتا ہے اور سپلائی چین یا ریاست کے زیر اہتمام حملوں سے تحفظ فراہم کرتا ہے۔ تاہم، یہ سمجھیں کہ اس سے DIB ٹھیکیداروں کو بھی ان کے کاموں میں فائدہ ہوتا ہے: "مینوفیکچرنگ انڈسٹری آئی ٹی اور سیکیورٹی میں بہت پیچھے ہے۔ کمپنیاں اب بھی بہت سے عمل کو دستی طور پر چلاتی ہیں، جو کہ بہت غیر محفوظ ہے۔ ان کی ناقص آئی ٹی سیکیورٹی حفظان صحت اکثر مہنگے رینسم ویئر اور دیگر حملوں کا باعث بنتی ہے۔ CMMC 2.0 ان ٹھیکیداروں کو اچھی کاروباری عادات قائم کرنے پر مجبور کرتا ہے جو بالآخر ان کی تنظیموں کے لیے اچھی ہوں،" چارلس کہتے ہیں۔

ایک اور ضابطے کے بارے میں سوچنا خوفناک ہو سکتا ہے۔ اچھی خبر یہ ہے کہ CMMC 2.0 کا نصف حصہ پہلے سے ہی NIST SP 800-171 میں ہے - سائبر سیکیورٹی کے طریقوں کی تفصیلات جن کی DIB ٹھیکیداروں کو پہلے سے ہی پیروی کرنی چاہیے، مثلاً، اینٹی وائرس سافٹ ویئر کا استعمال، ملٹی فیکٹر توثیق (MFA) کو لاگو کرنا، اور تمام CUI کی نقشہ سازی اور لیبل لگانا۔ .

تنقیدی طور پر، کمپنیاں CMMC 2.0 میں بیان کردہ بہت سے اقدامات کو لاگو کیے بغیر سائبر سیکیورٹی انشورنس کوریج بھی حاصل نہیں کر سکتیں۔ "ہم 13 میں سے نو انشورنس کیریئرز کو ٹریک کرتے ہیں جب تک کہ آپ کے پاس MFA نہ ہو پالیسی نہیں لکھیں گے۔ سی ایم ایم سی 2.0 کے ساتھ بھی — اور اگر آپ کے پاس ایم ایف اے، اینٹی وائرس اور سیکیورٹی سے متعلق آگاہی کی تربیت جیسی بنیادی باتیں نہیں ہیں تو ایک پلان آف ایکشن اینڈ سنگ میل (POA&M) کو قبول نہیں کیا جائے گا۔

CMMC 2.0 پوری دفاعی صنعت کے لیے ٹیکنالوجی کے نقطہ نظر سے تیزی سے آگے بڑھنے کے لیے ایک ضروری قدم ہے۔

اپنے نقطہ نظر کو تبدیل کرنا کیوں اہم ہے۔

جیسا کہ ذکر کیا گیا ہے، CMMC 2.0 کے بارے میں سب سے عام غلط فہمی یہ ہے کہ یہ تعمیل کا ایک نیا معیار ہے جب کہ حقیقت میں ایسا نہیں ہے۔

دوسری اہم غلط فہمی یہ ہے کہ بہت سے ٹھیکیدار یہ سمجھتے ہیں کہ وہ کارروائی کرنے سے پہلے CMMC 2.0 کے حکم کی منظوری تک انتظار کر سکتے ہیں۔ بہت سے ٹھیکیدار اس بات کو کم سمجھتے ہیں کہ ان کی حفاظتی پوزیشن کا اندازہ لگانے، تدارک کے اقدامات کو نافذ کرنے اور تیسرے فریق کی تشخیص حاصل کرنے میں کتنا وقت لگے گا۔ کچھ لوگ یہ بھی غلط اندازہ لگاتے ہیں کہ تکنیکی طور پر ان کے نظام اور عمل کتنے پیچھے ہیں اور تعمیل حاصل کرنے کے لیے درکار سرمایہ کاری۔ یہ یاد رکھنا بھی ضروری ہے کہ ان معیارات کو پورا کرنے کے لیے دکانداروں کے ساتھ ہم آہنگی کی ضرورت ہوتی ہے، جسے مکمل ہونے میں وقت لگ سکتا ہے۔ "بہت سے ٹھیکیدار اپنی سپلائی چین کی پیچیدگی اور تیسری پارٹی کے دکانداروں کی تعداد کو نظر انداز کرتے ہیں جو وہ استعمال کرتے ہیں۔ مثال کے طور پر، آپ کو معلوم ہو سکتا ہے کہ چند سپلائر اب بھی Windows 7 استعمال کرتے ہیں اور اپ گریڈ کرنے سے انکار کرتے ہیں۔ لہذا آپ اپنے آپ کو ایک اچار میں پا سکتے ہیں اگر آپ کے دکاندار تعمیل نہیں کر رہے ہیں، اور آپ کو ان کی ٹیکنالوجی کو اپ گریڈ کرنے کا انتظار کرنا پڑے گا،" چارلس کہتے ہیں۔

چارلس نے بتایا کہ بادل کی تعمیل میں بھی مسائل ہیں۔ بہت سے ٹھیکیداروں کو یہ بھی احساس نہیں ہے کہ وہ کسی بھی کلاؤڈ پر CUI پر کارروائی نہیں کر سکتے — آپ کے پلیٹ فارم کو فیڈرامپ میڈیم یا فیڈرامپ ہائی کلاؤڈ پر بیٹھنا چاہیے۔ مثال کے طور پر، Office 365 کے بجائے، آپ کو Microsoft 365 Government Community Cloud High (GCC High) استعمال کرنا چاہیے۔

CMMC 2.0 کی تیاری کیسے کریں۔

جتنی جلدی ہو سکے تیاری شروع کریں اگر آپ نے پہلے سے نہیں کیا ہے اور اس عمل میں ایک یا دو سال لگنے کی توقع ہے۔ CMMC 2.0 ممکنہ طور پر 2023 میں نافذ ہو جائے گا، اور جیسے ہی یہ ہوتا ہے، یہ 60 دنوں کے اندر تمام معاہدوں پر ظاہر ہو جائے گا۔ آپ آخری لمحے تک انتظار کرنے کے متحمل نہیں ہو سکتے۔

دوسرے لفظوں میں، ٹھیکیداروں کو عجلت کے احساس سے فائدہ ہوگا۔ "ایک ہی بار میں تعمیل حاصل کرنا کسی تنظیم اور اس کے روزمرہ کے کاروباری عمل کے لیے ایک بڑا جھٹکا ہو سکتا ہے۔ میں ایک تشخیص کرنے اور ایک کثیر سالہ روڈ میپ ڈیزائن کرنے کی تجویز کرتا ہوں،" چارلس کہتے ہیں۔ اس منصوبے میں سوالات کا جواب ہونا چاہیے جیسے: آپ کو کون سی مشینیں/ہارڈ ویئر تبدیل کرنے کی ضرورت ہے؟ کس تھرڈ پارٹی وینڈرز کو اپ گریڈ کی ضرورت ہے؟ کیا ان کے پاس اگلے تین سالوں میں ایسا کرنے کا منصوبہ ہے؟"

CMMC 2.0 کی تعمیل کے لیے سسٹم سیکیورٹی پلان (SSP) جمع کرنا ضروری ہے۔ ایس ایس پی بھی ایک ضروری دستاویز ہے کہ اے منظم سروس فراہم کنندہ (MSP) تعمیل میں آپ کی کمپنی کی مدد کے لیے استعمال کر سکتے ہیں۔ سکور شیٹ CMMC کی حفاظتی ضروریات کا خاکہ پیش کرتی ہے اور آپ کو ان اپ گریڈز کا جائزہ لینے میں مدد کرتی ہے جن کی آپ کو ضرورت ہے۔ "پہلی چیز جو میں عام طور پر پوچھتا ہوں، 'کیا آپ اپنے SSP سکور کو جانتے ہیں؟'،" چارلس کہتے ہیں۔ دوسری کمپنیاں شاید اتنی دور نہ ہوں۔ اس صورت میں، چارلس IT ہمارے کلائنٹس کے لیے SSP اور ایک پلان آف ایکشن اینڈ سنگ میل (POA&M) لکھنے کے لیے پہلے قدم کے طور پر ایک خلا یا خطرے کی تشخیص کر سکتا ہے۔ "ہم اسے کہتے ہیں ایک فرق کی تشخیص. ہمیں یہ جاننے کی ضرورت ہے کہ پانی کتنا گہرا ہے، اور پھر ہم اس کی نشاندہی کریں گے اور SSP لکھنے میں ان کی مدد کریں گے،" چارلس مشورہ دیتے ہیں۔

اگر آپ کے پاس نسبتاً پختہ سیکیورٹی پوزیشن ہے اور آپ سائبر سیکیورٹی کے جدید ترین طریقوں پر عمل کرتے ہیں، تو CMMC 2.0 کی تعمیل کو حاصل کرنے میں تقریباً چھ سے نو ماہ لگنے چاہئیں۔ اگر نہیں، تو آپ 18 ماہ کی ٹائم لائن دیکھ سکتے ہیں۔ ایک بار پھر، کوئی معاہدہ میز پر آنے تک انتظار نہ کریں — کاروبار کو کھونے سے بچنے کے لیے ابھی شروع کریں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.prweb.com/releases/2023/3/prweb19246469.htm