网络安全的好坏取决于澳门赌场官方下载最薄弱的环节. 网络供应链日益成为最薄弱的环节. 第三方供应商和商业伙伴,如云服务提供商(csp)或技术公司,长期以来一直在努力建立可靠的网络防御,以保护他们为客户处理的敏感和机密信息.
以帮助实现这一目标,并确保其供应链的网络弹性, 美国国防部(DoD)于2020年推出了网络安全成熟度模型认证(CMMC)框架. 该标准的最新版本是CMMC 2.0.1
CMMC框架不仅与国防部相关,而且与其他联邦和州政府机构相关, 以及为政府机构提供服务的组织. 进一步, 因为CMMC是建立在美国国家标准与技术研究院(NIST)系列标准之上的, CMMC适用于任何利用NIST标准实施其网络安全计划的组织. CMMC建立了网络安全认证要求, 因此,获得CMMC认证将为任何组织的网络安全计划带来可信度. 高级管理人员将受益于研究CMMC标准,并考虑通过获得CMMC认证来提高他们基于nist的项目的门槛.
CMMC框架的最新版本,CMMC 2.0, 是一个全面的框架,包括网络保护标准,旨在保护国防工业基地(DIB)免受高级持续性威胁(apt)的破坏。. CMMC 2.0框架包括对CMMC 1的几个更新.0模型,处理以下主题:
- 保护敏感信息,如美国联邦合同信息(FCI)和受控非机密信息(CUI)
- 加强问责制,同时最大限度地减少遵守国防部要求的障碍
- 动态增强DIB网络安全,以应对不断变化的威胁
通过合并CMMC 2.0标准纳入采购计划, 国防部确保承包商和分包商满足其网络安全要求.
DIB是对手和非国家行为者日益频繁和复杂的网络攻击的目标. 由成千上万的小, 大中型机构, DIB在全球扩张, 包括整个美国. 国防部的首要任务是动态增强DIB网络安全要求,以抵御这些不断发展的威胁,并保护支持和实现美国军事服务和行动的信息,如敏感信息的交换. CMMC是国防部扩展DIB网络安全工作的关键组成部分.
国防部的首要任务是动态增强DIB网络安全要求,以抵御不断演变的威胁,并保护支持美国军事服务和行动的信息,如敏感信息的交换.
“CMMC 2.将大大加强国防工业基地的网络安全,杰西·萨拉查说, 美国国防部负责工业政策的副助理部长. “通过与行业建立更紧密的合作关系, 这些更新将支持澳门赌场官方下载采用他们需要的实践来挫败网络威胁,同时最大限度地减少遵守国防部要求的障碍."
这些变化反映在CMMC 2中.0将通过CMMC规则制定过程实施.2 一旦即将出台的规定生效,澳门赌场官方下载将被要求遵守. 国防部打算在美国联邦法规(CFR)第32部分和CFR第48部分的美国国防联邦采办法规补充(DFARS)中进行规则制定.3
国防部正在探索在过渡时期为自愿获得CMMC认证的承包商提供激励的机会.
FCI和CUI是CMMC优先级
FCI is defined as information not intended for public release; that is, 由政府根据合约提供或为政府提供产品或服务的资讯, 但不是由政府提供给公众的(如存在于公共网站上的).4 简单的交易信息,如处理支付所必需的信息,也被定义为FCI.
CMMC模型旨在保护国防部承包商和分包商共享的FCI和CUI,以支持合同采购和性能.
CUI是政府创造或拥有的信息, 或一个实体为或代表政府创造或拥有, 这是一条定律, 法规或政府政策要求或允许一个机构使用保护或传播控制来处理.5
国防部在CMMC 2下的意图.0表示DIB澳门赌场官方下载不处理, 在其非机密网络上存储或传输CUI, 但是过程, 储存或处理FCI, 然后必须进行CMMC一级自我评估,并提交结果,并由澳门赌场官方下载高级管理人员每年肯定一次.
CMMC仅适用于DIB承包商处理的非机密网络, 存储或传输FCI或CUI.
CMMC的结构.0
CMMC 2.0与美国国家标准与技术研究院(NIST)的标准保持一致, 特别是NIST特别出版物(SP) SP 800-171 Rev 2, 保护非联邦系统和组织中的CUI,以及NIST SP 800-172; 增强的CUI安全保护要求. 随着NIST SP 800-171和NIST SP 800-172要求的变化,国防部的要求将继续发展.
CMMC 2.0标准分为3个具体层次:
- 一级基础-表示CMMC 2的入口级别.0框架,包括17个实践.
- 二级高级-包括符合SP 800-171 Rev 2的110个实践. 第2级可能包括:
- CUI(非优先收购)
- CUI(优先收购)
- 三级专家-包括基于SP 800-172的110多个实践,是最高水平.
第1级适用于处理FCI但不处理CUI的组织. 2级组织处理FCI和CUI,并需要实现额外的网络安全功能. 此外,2级组织必须满足SP 800-171 Rev 2中规定的所有安全要求.
CMMC 2.0评估与认证
DIB组织全权负责获得必要的CMMC认证, 包括协调和计划他们参与CMMC评估.
第1级和第2级的组织子集可以证明符合CMMC 2.0需求通过自我评估. 与一级课程相关的自我评估和二级课程的子集(如.g.(CUI,非优先收购)将需要每年进行一次.
第三方和政府主导的评估,与一些2级(e).g.(CUI,优先采购)和所有3级项目,将每三年进行一次. 评估要求将适用于受影响的组织及其相关承包商.
曾经的CMMC 2.0已完全实现, 国防部将只接受由授权和认可的CMMC第三方评估机构(C3PAO)提供并由认证的CMMC评估人员进行的CMMC评估.
在某些情况下,国防部允许澳门赌场官方下载制定行动计划和里程碑&获得CMMC认证.
在CMMC评估完成后,C3PAO将向国防部提供评估报告. 作为CMMC 2的一部分.0实现, 国防部将批准所有适用于CMMC生态系统的与CMMC认证机构(AB)利益冲突相关的政策.
结论
CMMC 2.0被组织成3个等级. 2级(高级)相当于SP 800-171. 3级(专家)将基于SP 800-172要求的一个子集.
各行各业的网络安全专业人员和高级管理人员都应该注意CMMC 2.0框架. 这是未来十年及以后的网络安全标准. 跨行业的组织可以利用CMMC 2.0要求改善自身网络防御态势,建立更加可信的网络防御体系, 循证安全计划.
未来需要积极的网络防御. 澳门赌场官方下载面临的威胁将要求领导者重新思考和重新构想网络安全. 有远见的组织应该以CMMC 2为目标.根据对其业务和相关资产的风险,在适当的级别进行认证.
尾注
1 采购和维持,国防部副部长办公室,"保障国防工业基础:CMMC 2.0,美国国防部,美国,2021年
2 采购和维持,国防部副部长办公室,"CMMC常见问题,美国国防部,美国,2021年
3 采购和维持,国防部副部长办公室,"关于CMMC,美国国防部,美国,2021年
4 卡耐基梅隆大学, 匹兹堡, 宾西法尼亚, USA, 约翰霍普金斯大学应用物理实验室有限责任公司, 巴尔的摩, 马里兰, USA, CMMC术语和缩略语第2版.2021年12月
5 Ibid.
编者按
想了解更多作者对这个话题的看法,请收听“CMMC和CUI:火箭燃料ISACA的一集® 播客.
Uday Ali Pabrai, CISSP, CMMC PA, CMMC PI, CMMC RP, HITRUST CCSFP, MSEE, Security+
首席执行官是 ecfirst, CMMC第三方评估机构(C3PAO)候选人和CMMC许可合作伙伴出版商(LPP), 持牌培训机构(LTP)及注册培训机构(RPO). Pabrai已经在全球范围内成功交付了数千个网络防御解决方案. 他的职业生涯是从费米国家加速器实验室开始的, 美国能源部的核研究设施. 他曾担任纳斯达克公司的副董事长和多个高级官员职位,并在全球网络安全会议上担任主题演讲和特邀演讲者. Pabrai也是 InfraGard, 美国联邦调查局(FBI)与私营部门成员之间的伙伴关系. 可以联系到他 Pabrai@ecfirst.com.