美国国防部(DoD)网络安全标准, 网络安全成熟度模型认证(CMMC), 建立5个成熟度级别.1 The core objective of the certification is to ensure that vendors providing products and services to the DoD have an appropriate level of implemented cybersecurity capabilities; hence, CMMC标准. CMMC成熟度级别越高,确保组织安全的需求就越大. CMMC结合了各种网络安全标准,并将这些最佳实践和流程映射到相应的成熟度级别, 从基本的网络卫生到高度先进的实践.
CMMC定义了5个不同的成熟度级别,包括:2
- Level 1-执行(基本网络卫生)
- Level 2-文件化(中级网络卫生)
- Level 3-管理(良好的网络卫生)
- Level 4综述了(主动)
- Level 5优化(先进/进步)
组织需要检查CMMC模型及其适用性,以确保网络安全供应链的安全. 成熟度等级1 (ML1), 在网络安全供应链中建立弹性基础的第一步是什么. 获得ML1认证为随后的CMMC级别建立了可靠的基础.
组织需要检查CMMC模型及其适用性,以确保网络安全供应链的安全.
ML1解决了美国联邦合同信息(FCI)的保护. 这一级别包括FCI的基本保障要求, 哪些是美国联邦收购条例(FAR)第52条规定的.204-21.3 FCI是“信息”, 不打算公开发布, 由政府根据为政府发展或提供产品或服务的合约而提供或为政府产生的资料, 但不包括政府向公众提供的资料(例如在公共网站上)或简化的交易资料, 例如处理付款所必需的.“指定承包商需要处理的国防部合同, 存储或传输FCI要求组织遵守CMMC成熟度1级实践. 在第1级没有评估过程成熟度.
CMMC框架的组织
CMMC框架将网络安全流程和最佳实践组织到一组域中. 在CMMC中定义了17个能力域. 过程成熟度, 或者过程制度化, 描述一项活动在组织运作中嵌入的程度. 实践是在领域的每个级别上执行的活动. 每个级别包括实践和过程,以及在较低级别中指定的实践和过程. 除了评估组织对网络安全实践的实施, CMMC还评估组织的网络安全流程制度化.
ML1领域、实践和能力
ML1包括与以下领域相关的实务要求:
- 域1-访问控制(AC), 4个实践
- 域6-识别和认证(IA), 2个实践
- 域9-媒体保护(MP), 1个实践
- 域11-物理防护(PE), 4个实践
- 域16-系统和通信保护(SC), 2个实践
- 域17-系统和信息完整性(SI), 4个实践
ML1需求包括跨6个领域的17个实践. 这个级别建立了16个功能的需求,并要求组织执行其中指定的实践. 由于组织可能只能在特定的环境中执行这些实践 ad hoc 方式,可能或可能不依赖于文件,过程成熟度不评估ML1.
跨领域的CMMC成熟度级别和相关的过程和实践集是累积的. 为组织达到特定的CMMC级别, 它还必须证明达到了前面较低的水平. ML1是CMMC模型中定义的起点. 处理FCI数据和受控非机密信息(CUI)的组织需要满足更高成熟度级别的标准, 例如成熟度等级2或成熟度等级3. 组织可以达到的最高成熟度级别是成熟度级别5 (ML5)。. ML5的目标是确保组织准备好使用实现的功能来解决高级持续性威胁(apt).
对于任何对CMMC感兴趣的组织来说,ML1是一个很好的起点. 开始并执行准备评估,以处理与ML1相关的需求.
尾注
1 Office of the Under Secretary of Defense for Acquisition and Sustainment—网络安全 Maturity Model Certification; CMMC Model, USA, 2020
2 PreVeil; “CMMC的5个级别是什么?美国,2020年
3 卡耐基梅隆大学, 匹兹堡, 宾西法尼亚, USA, 约翰霍普金斯大学应用物理实验室有限责任公司, 巴尔的摩, 马里兰, USA, 网络安全成熟度模型认证(CMMC.02,2020年3月18日
Uday Ali Pabrai, CMMC RP, CISSP, HITRUST CCSFP, MSEE, Security+
首席执行官是 ecfirst,一家公司. 500年业务. 他的职业生涯始于美国能源部的核研究机构, 费米国家加速器实验室, 在芝加哥, 伊利诺斯州, USA. 他曾担任纳斯达克(nasdaq)公司的副董事长和多个高级管理职位. Pabrai也是 InfraGard, 美国联邦调查局(FBI)与私营部门成员之间的伙伴关系. Pabrai可以联系到 Pabrai@ecfirst.com.