网络安全

美国国防部供应链网络安全成熟度模型认证(CMMC)

网络安全漏洞和入侵给国防部(DoD)及其供应链带来了重大风险,这就是为什么国防部要求遵守CMMC

由Resiliant 2021年8月17日
礼貌:Resiliant

美国国防部(DoD)的供应链受到了攻击。今年的勒索软件事件,比如美国一个海军基地遭遇的,导致摄像头、门禁控制系统和关键监控系统宕机30小时,以及CPI、EWA、Westech International、Garmin、ST Engineering、维瑟对所有组织都是一个警告。国防工业基地(DIB)的各种类型和规模的组织都面临着网络攻击。事实上,像DMI这样为美国国家航空航天局(NASA)和《财富》100强企业提供管理IT和网络安全服务的企业也遭到了黑客入侵。网络安全漏洞和入侵以业务中断、国家安全和对政府和公司的信任等形式给国防部及其供应链带来重大风险。根据IBM的数据,2019年针对工业目标的网络攻击增加了一倍。这些事件加强了国防部要求遵守网络安全成熟度模型认证(CMMC)的决定。

虽然一段时间以来,网络安全要求一直以NIST 800-171符合性的形式成为国防采购过程的一部分,但CMMC符合性通过更全面的实践和更高程度的成熟度对网络安全要求的遵守进行了标准化,如下部分所强调。

认证:

NIST 800-171要求强制性的自评估和自认证的符合性。另一方面,CMMC需要第三方审核员来证明组织已经满足了为业务概述的需求。认证有效期为三年。CMMC认证机构(CMMC- ab)是一个非营利性组织,被特许为审核员制定培训、审核和认证标准。该实体正在发布临时认证审核员等级(C3PAO)。

礼貌:Resiliant

礼貌:Resiliant

根据联邦合同信息(FCI)和/或受控非机密信息(CUI)的披露情况,组织必须遵守五个级别中的一个。级别越高,对组织中的网络安全实践的要求就越多,这些实践的成熟度也就越高。

全面性:

CMMC法规遵循要求制度化多达171个实践,大约比NIST SP 800-171多55%,跨越17个不同的业务领域,具有适当的跨职能参与和治理水平。CMMC整合了NIST SP 800-171、英国网络要素、澳大利亚网络安全中心核心8个成熟度模型、航空航天工业协会NAS9933等机构的实践。

成熟:

成熟度需求通常不被组织很好地理解。仅仅将实践制度化是不够的;组织必须在实践中表现出适当的卓越水平。例如,第一级要求实践的特别使用,而第三级要求为实践提供适当的资源和适当的计划。要求第四级法规遵循的组织必须有适当的实践的定量度量,并由管理团队频繁地审查绩效。这需要持续的差距评估、及时的补救和以规划的方法进行治理。

礼貌:Resiliant

礼貌:Resiliant

谁需要遵守,在什么层面上?

国防部直接和延伸供应链(DFARS流程向下)中所有暴露于FCI和/或CUI的组织都必须遵守CMMC。只暴露于FCI的组织只需要遵守一级要求。另一方面,一个暴露于国防部敏感CUI的组织将必须保护CUI并减少高级持续威胁的风险。

  • 一级:FCI基本保障
  • 第2级:保护CUI的过渡步骤
  • 第三级:保护CUI
  • 4-5级:保护CUI,降低高级持续性威胁风险

从企业风险管理的角度来看,所有组织都可以从网络安全实践中拥有更高程度的过程成熟度中受益。

预计时间:

CMMC要求预计将在2020年秋季的rfp中出现,实际条款将在2021年冬季/春季开始的合同中出现。估计的时间轴总结如下图。

建议:

所有希望在2021年冬/春之前获得认证的组织现在应该根据CMMC要求开始间隙评估过程,弥补差距,并证明过程成熟度以获得认证。尽早开始可以让组织及时获得认证。由于需求的广度和深度,强烈建议组织采取规划方法并密切参与合规过程。CMMC合规不仅有助于一个组织赢得新的国防业务,而且有助于提高组织的整体安全和风险管理。

-本文最初发表于Resiliant的网站Resiliant是CFE Media的内容合作伙伴。由CFE Media Christina Miller编辑,cmiller@cfemedia.com


Resiliant