Certyfikacja modelu dojrzałości cyberbezpieczeństwa

Model certyfikacji dojrzałości cyberbezpieczeństwa (CMMC) to ramy oceny i program certyfikacji asesorów zaprojektowany w celu zwiększenia zaufania do środków zgodności z różnymi normami publikowanymi przez Narodowy Instytut Standardów i Technologii

Departamentu Obrony Stanów Zjednoczonych na podstawie istniejących kontraktów z Carnegie Mellon University, The Johns Hopkins University Applied, Physics Laboratory LLC, and Futures, Inc. Jednostka akredytująca model certyfikacji dojrzałości cyberbezpieczeństwa nadzoruje program na podstawie bezpłatnej umowy.

CMMC, które często wymaga oceny przez stronę trzecią, jeśli wykonawca zajmuje się kontrolowanymi informacjami jawnymi , wpłynie na przemysł obronny o wartości 768 miliardów dolarów – 3,2% produktu krajowego brutto Stanów Zjednoczonych Ameryki.

Celem CMMC jest weryfikacja, czy systemy informatyczne wykorzystywane przez kontrahentów Departamentu Obrony Stanów Zjednoczonych do przetwarzania, przesyłania lub przechowywania danych wrażliwych są zgodne z obowiązkowymi wymogami bezpieczeństwa informacji. Celem jest zapewnienie odpowiedniej ochrony kontrolowanych informacji jawnych (CUI) i federalnych informacji kontraktowych (FCI), które są przechowywane i przetwarzane przez partnera lub dostawcę.

Model

Obronnej Bazie Przemysłowej model spełnienia wymagań bezpieczeństwa z NIST SP 800-171 Rev 2, Ochrona kontrolowanych informacji jawnych w systemach i organizacjach niefederalnych. Niektóre kontrakty będą również zawierać podzbiór wymagań z NIST SP 800-172, Zwiększone wymagania bezpieczeństwa dla ochrony kontrolowanych informacji niesklasyfikowanych: dodatek do specjalnej publikacji NIST. 800–171.

CMMC organizuje te praktyki w zestaw domen, które odwzorowują bezpośrednio rodziny NIST SP 800-171 Rev 2 i NIST SP 800-172. Istnieją trzy poziomy w CMMC — poziom 1, poziom 2 i poziom 3

Poziom	Opis	praktyki	Cele	Ocena	Strefa zainteresowania
1	Podstawowy	14 na podstawie FAR 52.204-21 odsyłacz do NIST SP800-171 rev 2	59	Roczna samoocena	Chroń informacje o kontrakcie federalnym (FCI)
2	Zaawansowany	110 praktyk zgodnych z NIST SP800-171	320	Co trzy lata przeprowadzane przez strony trzecie oceny krytycznych informacji dotyczących bezpieczeństwa narodowego. Roczna samoocena dla wybranych programów	Ochrona kontrolowanych informacji jawnych (CUI)
3	Ekspert	Ponad 110 praktyk opartych na NIST SP800-171 oraz podzbiór wymagań bezpieczeństwa w NIST SP800-172	Ponad 320 celów ogółem czeka na ostateczne wytyczne Departamentu Obrony (który kontroluje z NIST SP800-172)	Oceny przeprowadzane co trzy lata przez rząd	Wzmocniona ochrona kontrolowanych informacji niesklasyfikowanych (CUI)

CMMC nie będzie egzekwowane w umowach federalnych, dopóki ostateczne przepisy nie zostaną zakończone i włączone do 32 i 48 Kodeksu przepisów federalnych (CFR). [1] .

Nadchodzące wytyczne zostały obiecane przez biuro CMMC, aby pomóc określić oczekiwania firm z Przemysłowej Bazy Obronnej co do tego, jakiego poziomu akredytacji należy szukać, w zależności od ich roli jako głównego lub podrzędnego w różnych kontraktach.

Dodatkowe informacje można znaleźć w oficjalnym FAQ.

Historia

W 2002 r. Federalna ustawa o zarządzaniu bezpieczeństwem informacji wymagała od każdej agencji federalnej w Stanach Zjednoczonych opracowania, udokumentowania i wdrożenia programu obejmującego całą agencję w celu zapewnienia bezpieczeństwa informacji i systemów informatycznych.

W 2002 Cybersecurity Research and Development Act zatwierdziła środki dla National Science Foundation (NSF) i Sekretarza Handlu Narodowego Instytutu Standardów i Technologii (NIST) na ustanowienie nowych programów i zwiększenie finansowania niektórych bieżących programów, programów komputerowych i bezpieczeństwa sieci (CNS) badania i rozwój oraz stypendia badawcze CNS. Doprowadziło to do opracowania wymagań bezpieczeństwa w ramach modelu certyfikacji dojrzałości cyberbezpieczeństwa.

W 2003 r. projekt FISMA, Now the Risk Management Project, uruchomił i opublikował wymagania, takie jak FIPS 199, FIPS 200 i publikacje specjalne NIST 800–53, 800–59 i 800–6. Następnie publikacje specjalne NIST 800–37, 800– 39, 800-171, 800-53A.

W 2010 r. Rozporządzenie wykonawcze 13556 – Kontrolowane informacje jawne unieważniło poprzednie rozporządzenie i stworzyło standard etykietowania danych w całym rządzie.

W 2011 Defence Federal Acquisition Regulation Supplemental (DFARS) w sprawie 2011-D039 zaproponowano proponowaną regułę 7000 w celu ustanowienia wymagań dotyczących ochrony informacji jawnych, w szczególności w odniesieniu do badań podstawowych.

W 2013 roku wchodzi w życie przepis DFARS 252.204-7000, który wymagał ochrony wrażliwych danych w systemach niefederalnych.

W 2016 r. wchodzi w życie klauzula DFARS 7012 zobowiązująca wszystkich zleceniobiorców do samooceny spełnienia wymagań bezpieczeństwa NIST-SP-800-171.

W 2019 roku Departament Obrony ogłosił utworzenie modelu certyfikacji dojrzałości cyberbezpieczeństwa (CMMC) w celu przejścia z mechanizmu samopoświadczania podstawowej higieny cybernetycznej organizacji, który był używany do zarządzania obronną bazą przemysłową. Od 2017 roku wszyscy kontrahenci z sektora obronnego byli zobowiązani do samooceny i zgłaszania swojej gotowości w zakresie cyberbezpieczeństwa względem standardu NIST SP-800-171.

Po serii naruszeń w łańcuchu dostaw Departament Obrony we współpracy z przemysłem stworzył model CMMC.

W 2019 r. tymczasowa zasada zezwalająca na włączenie CMMC do zamówień publicznych, dodatek do rozporządzenia w sprawie zamówień publicznych w sektorze obrony ( DFARS ) 2019-D041, została opublikowana 29 września 2020 r. z datą wejścia w życie 30 listopada 2020 r.

8 grudnia 2020 r. Rada Akredytacyjna CMMC i Departament Obrony opublikowały zaktualizowany harmonogram, zgodnie z którym model zostanie w pełni wdrożony do września 2021 r.

W dniu 8 grudnia 2020 r. Departament Obrony ogłasza siedem grantów pionierskich, które będą pilotować ramy CMMC i będą wymagać od każdego wykonawcy grantu posiadania przez certyfikowanego rzeczoznawcę zewnętrznego oceny zgodności firmy

31 grudnia 2020 r. General Services Administration opublikowała zapytanie ofertowe dotyczące swojego programu Polaris, w którym zauważono, że chociaż CMMC dotyczy obecnie tylko Departamentu Obrony, wszyscy kontrahenci rządowi, cywilni lub wojskowi, powinni przygotować się do spełnienia wymagań CMMC.

4 listopada 2021 roku Departament Obrony ogłosił wydanie CMMC 2.0. Ta nowa wersja została zaprojektowana w celu usprawnienia jej wymagań.

29 września 2022 r. Cyber AB (jednostka akredytująca CMMC dla Departamentu Obrony) powołała spółkę zależną do zarządzania szkoleniami i certyfikacją pod nazwą „Cybersecurity Assessor and Instructor Certification” (CAICO).

25 października 2022 roku Organizacja Certyfikacji Asesorów i Instruktorów Cyberbezpieczeństwa (CAICO) ogłosiła rozpoczęcie egzaminu Certified CMMC Professional (CCP). Egzamin ten weryfikuje wiedzę kandydata na temat ram CMMC Departamentu Obrony oraz ról i obowiązków związanych z różnymi stanowiskami w ramach tego programu.

Krytyka

Specjaliści z branży wyrazili poważne zaniepokojenie brakiem scentralizowanej oficjalnej komunikacji i przyspieszonym harmonogramem wdrożenia. Sama liczba dotkniętych firm w bazie przemysłowej sektora obronnego tworzy poziom wolumenu dla wciąż nieakredytowanych organizacji CMMC Third Party Assessment Organizations (C3PAO), który wydaje się nierealny w proponowanych terminach i był szeroko dyskutowany na LinkedIn. Arrington odpowiedział, twierdząc, że wzajemność z istniejącymi programami certyfikacji, takimi jak FedRAMP i FIPS 140 , usunie powielanie pracy i utrzyma minimalny poziom pracy dla firm, które już przestrzegają.

Przewodniczący organu akredytacyjnego CMMC, Ty Schieber, opuścił zarząd wraz z Markiem Bermanem, dyrektorem ds. komunikacji, w trakcie najwyraźniej nieusankcjonowanego programu sponsorskiego „Pay to Play” publikowanego na stronie internetowej CMMC-AB. Karlton Johnson objął stanowisko przewodniczącego.

Zobacz też

Linki zewnętrzne