Charles IT 创始人 Foster Charles 在国防部规则制定过程中谈论 CMMC 2.0

由柏拉图重新发布

关注： 0

我们跟踪的 13 家保险公司中有 2.0 家不会写保单，除非您拥有 MFA。与 CMMC XNUMX 相同 — 如果您没有 MFA、防病毒和安全意识培训等基础知识，行动计划和里程碑 (POA&M) 将不会被接受。 – Charles IT 创始人兼首席执行官 Foster Charles

康涅狄格州米德尔敦 (PRWEB) 2023 年 3 月 27 日

美国国防部 (DoD) 宣布了新的网络安全成熟度模型认证，移动电源2.0，2021 年 1.0 月。在确定原始 CMMC XNUMX 模型对于承包商来说过于繁琐和混乱之后，发生了变化。然而，其意图保持不变：确保国防工业基地 (DIB) 承包商采取适当的措施和程序来保护敏感信息，包括受控非机密信息 (CUI) 和联邦合同信息 (FCI)。

重要的是要了解 CMMC 2.0 实际上并不是什么新鲜事。这些要求基于美国国家标准与技术研究院 (NIST) SP 800-171，并直接与国防联邦采购法规补充文件 (DFARS) 保持一致，该补充文件已经有一段时间了。

重要的是您实施这些 IT 安全最佳实践的严格程度，因为新法规将在 2023 年得到严格执行。要取得成功，承包商必须改变他们的合规方法，否则就有失去利润丰厚的合同或招致巨额罚款的风险。

CMMC 2.0 中的高级更改

CMMC 1.0 旨在将各种安全要求聚合到一个适用于联邦政府的合规标准中。虽然用意很好，但规则非常复杂。 CMMC 2.0 是 CMMC 1.0 的简化版——使 DIB 承包商更容易实现合规性，以提高联邦国防安全。

一级要求对 17 项类似于 NIST 网络安全框架 (CSF) 的最佳实践进行自我评估。二级符合 NIST SP 800-171，需要 CMMC 第三方评估组织 (C3PAO) 的认证。最后，处理绝密信息的 DIB 承包商必须达到基于 NIST 800-172 的三级合规性。

CMMC 2.0 删除了 NIST SP 800-171 中未包含的要求，使实现和执行合规性更加切实可行。它还涵盖 DIB 分包商，以确保整个供应链的安全，因为越来越多的恶意行为者瞄准与行业巨头（例如洛克希德马丁）签订合同的小公司。 “黑客可能只从一家供应商那里获得一块 CUI。但如果他们把一堆堆在一起，他们就能得到一幅相当完整的图——这就是泄露秘密的方式。 CMMC 2.0 是关于保护国家机密的，”查尔斯说。

网络战是最新的关注点，并且有充分的理由。例如，威胁行为者可以对基础设施发起网络攻击（例如 Colonial Pipeline 攻击），然后利用延长的停机时间发起更具破坏性的物理攻击——这可能会使整个国家陷入停顿。

这些变化的关键点是什么？在更新流程时您需要了解什么？

CMMC 2.0 的一个关键目标是带来清晰度并消除复杂性。例如，它要求每三年（而不是年度评估）对二级和三级合规性进行第三方认证。

此外，这些程序更容易理解，因此您的重点可以放在让您的安全状况保持最新。

CMMC 2.0 如何让 DIB 承包商受益

CMMC 2.0 可以更好地保护 CUI，以防止数据泄露和间谍活动。它加强了国家安全，并有助于防止供应链或国家支持的攻击。但是，要明白这也有利于 DIB 承包商的运营：“制造业在 IT 和安全方面远远落后。公司仍然手动运行许多流程，这是非常不安全的。他们糟糕的 IT 安全卫生通常会导致代价高昂的勒索软件和其他攻击。 CMMC 2.0 迫使这些承包商养成良好的商业习惯，最终对他们的组织有利，”查尔斯说。

又一项规定的想法可能令人生畏。好消息是 CMMC 2.0 的一半已经在 NIST SP 800-171 中——详细说明了 DIB 承包商应该已经遵循的网络安全实践，例如，使用防病毒软件、实施多因素身份验证 (MFA) 以及映射和标记所有 CUI .

至关重要的是，如果不实施 CMMC 2.0 中概述的许多措施，公司甚至无法获得网络安全保险。 “我们追踪的 13 家保险公司中有 2.0 家不会写保单，除非你有 MFA。与 CMMC XNUMX 相同——如果您没有 MFA、防病毒和安全意识培训等基础知识，行动计划和里程碑 (POA&M) 将不会被接受，”Charles 说。

CMMC 2.0是整个国防工业从技术角度跟上时代的必要一步。

为什么改变你的方法是关键

如前所述，关于 CMMC 2.0 最常见的误解是它是一个新的合规标准，而实际上它不是。

另一个严重的误解是，许多承包商认为他们可以等到 CMMC 2.0 裁决获得批准后再采取行动。许多承包商低估了评估其安全态势、实施补救措施和获得第三方评估所需的时间。有些人还错误判断了他们的系统和流程在技术上的落后程度以及实现合规性所需的投资。同样重要的是要记住，满足这些标准需要与供应商进行协调，这可能需要一些时间才能完成。 “许多承包商忽视了他们供应链的复杂性以及他们使用的第三方供应商的数量。例如，您可能会发现一些供应商仍在使用 Windows 7 并拒绝升级。因此，如果您的供应商不合规，您可能会陷入困境，您必须等待他们升级他们的技术，”Charles 说。

查尔斯指出，云合规性也存在问题。许多承包商也没有意识到他们无法在任何云上处理 CUI——您的平台必须位于 Fedramp 中等或 Fedramp 高云上。例如，您必须使用 Microsoft 365 Government Community Cloud High (GCC High) 而不是 Office 365。

如何为 CMMC 2.0 做准备

如果您还没有开始准备，请尽快开始准备，预计该过程需要一两年时间。 CMMC 2.0 可能会在 2023 年生效，一旦生效，它将在 60 天内出现在所有合同上。你不能等到最后一分钟。

换句话说，承包商将从紧迫感中受益。 “一次性实现合规性可能会对组织及其日常业务流程造成重大冲击。我建议进行评估并设计多年路线图，”查尔斯说。该计划应回答以下问题：您需要更换哪些机器/硬件？哪些第三方供应商需要升级？他们有计划在未来三年这样做吗？”

提交系统安全计划 (SSP) 对于 CMMC 2.0 合规性至关重要。 SSP 也是一个必不可少的文件托管服务提供商 (MSP) 可用于协助您的公司合规。评分表概述了 CMMC 的安全要求，可帮助您大致了解所需的升级。 “我通常问的第一件事是，'你知道你的 SSP 分数吗？'”，查尔斯说。其他公司可能不会走得太远。在这种情况下，Charles IT 可以为我们的客户进行差距或风险评估，作为编写 SSP 以及行动计划和里程碑 (POA&M) 的第一步。 “我们称之为差距评估. 我们需要知道水的深度，然后我们将确定它的位置并帮助他们编写 SSP，”Charles 建议。

如果您拥有相对成熟的安全态势并遵循最新的网络安全最佳实践，那么实现 CMMC 2.0 合规性应该需要大约六到九个月的时间。如果没有，您可能会查看 18 个月的时间表。同样，不要等到合同摆在桌面上——现在就开始，以避免失去业务。