Certifikace modelu vyspělosti kybernetické bezpečnosti (CMMC):

Ministerstvo obrany Spojených států zavádí certifikaci modelu kybernetické bezpečnosti (CMMC) s cílem normalizovat a standardizovat připravenost na kybernetickou bezpečnost v rámci obranné průmyslové základny (DIB) federální vlády. Tento článek se bude zabývat konceptem modelu vyspělosti v kontextu kybernetické bezpečnosti, klíčovými zobrazeními DIB, anatomií úrovní CMMC a tím, jak může společnost Varonis urychlit certifikaci.

• Co je to certifikace modelu vyspělosti kybernetické bezpečnosti?
• Rámec CMMC a 5 úrovní
• Jak získat certifikaci CMMC
• Mapování produktů společnosti Varonis na domény CMMC

Co je model vyspělosti?

Modely vyspělosti jsou souborem osvědčených postupů, jejichž dodržováním postupují organizace na stupnici od nižších úrovní osvojení nebo „vyspělosti“ k vyšším úrovním způsobilosti a certifikace. Certifikace podle modelu vyspělosti znamená, že se společnost nebo organizace zavázala zlepšovat své procesy a postupy v doménách modelu na udržitelnou, měřitelnou úroveň vysoké výkonnosti.

Co je to certifikace modelu vyspělosti kybernetické bezpečnosti?

Certifikace modelu vyspělosti kybernetické bezpečnosti je program iniciovaný Ministerstvem obrany Spojených států (DoD) s cílem měřit schopnosti, připravenost a vyspělost jejich dodavatelů v oblasti kybernetické bezpečnosti. Na vysoké úrovni je tento rámec souborem procesů, dalších rámců a vstupů z existujících standardů kybernetické bezpečnosti, jako jsou NIST, FAR a DFARS.

Na taktické úrovni je hlavním cílem certifikace zlepšit jistotu a bezpečnost kontrolovaných neutajovaných informací (CUI) a federálních smluvních informací (FCI), které jsou v držení a užívání jejich federálních dodavatelů. Program CMMC byl vyhlášen 31. ledna 2020.

Kdy vstoupí v platnost?“

Od září 2020 začalo DoD vydávat omezený počet žádostí o informace, které obsahují specifikace CMMC, a očekává se, že od roku 2026 bude CMMC požadavkem všech nových žádostí DoD o nabídky.

Na koho se CMMC vztahuje?

Certifikace se vztahuje jak na „hlavní“ dodavatele, kteří přímo spolupracují s DoD, tak na subdodavatele, kteří uzavírají smlouvy s hlavními dodavateli za účelem zajištění plnění a realizace těchto smluv. Ačkoli určitá úroveň certifikace bude počínaje rokem 2026 vyžadována u každé zakázky, DoD uvedlo, že hodlá vydávat zakázky na všech úrovních modelu vyspělosti, což znamená, že bude vydáno určité množství žádostí, které budou vyžadovat pouze nízkou úroveň certifikace, a některé, které budou vyžadovat vyšší úroveň certifikace.

Proč je CMMC důležitá?

Odhaduje se, že kybernetická kriminalita odčerpává z celosvětového HDP více než 600 miliard dolarů ročně. Spoléhat se při plnění svých úkolů na rozsáhlou síť dodavatelů znamená, že ministerstvo obrany svěřuje každému z nich kritické údaje, což systematicky zvyšuje celkový rizikový profil DIB. V souladu s tím si ministerstvo obrany uvědomuje zátěž a nadměrný podíl rizika, které kybernetická kriminalita klade na jeho základnu subdodavatelů, z nichž mnozí jsou malými podniky a nemají takové zdroje jako jejich větší, hlavní partneři.
V této souvislosti ministerstvo obrany vydalo metodu CMMC, aby usnadnilo přijetí osvědčených postupů v oblasti kybernetické bezpečnosti se strategií „obrany do hloubky“ v celé své globální dodavatelské základně.

Vědět dříve: Klíčové informace o CMMC

• Platí pro hlavní dodavatele a subdodavatele DoD
• Platí pro některé nové smlouvy počínaje rokem 2020 a platí pro všechny smlouvy počínaje rokem 2026
• Postupný model zahrnuje postupující úrovně procesů a postupů kybernetické bezpečnosti, jejichž výsledkem je úroveň certifikace
• Dodavatelé musí začít na úrovni 1 a certifikovat se na každé úrovni. až po nejvyšší úroveň 5
• Varonis je výkonný nástroj pro usnadnění všech úrovní shody s CMMC

Rámec CMMC a 5 úrovní

Certifikace podle modelu vyspělosti kybernetické bezpečnosti je založena na vzestupné úrovni připravenosti od úrovně 1 (nejnižší) po úroveň 5 (pokročilá).

Konečným cílem CMMC je zajistit ochranu dvou typů informací před vyzrazením nebo neoprávněným použitím:

• Kontrolované neutajované informace (CUI):
• Federální smluvní informace (Federal Contract Information – FCI): Informace, které vyžadují kontrolu ochrany nebo šíření v souladu s platnými zákony, předpisy a vládními politikami, ale nejsou klasifikovány podle nařízení 13526 nebo zákona o atomové energii v platném znění:

CMMC Certification Levels (Summary)

Každá úroveň má soubor procesů a postupů a kvalifikátor nebo „cíl“ pro každý z nich, jak se vztahují k příslušným doménám v dané úrovni. Například, jak je vidět na obrázku níže, dosažení úrovně CMMC 2 znamená, že cílem organizace je mít zdokumentované Procesy a Praktiky, které jsou v souladu se středně pokročilou kybernetickou hygienou.

Složky rámce

Složky CMMC ve hře jsou:

• Domény
• Procesy
• Schopnosti
• Praktiky

Pokud dodavatelé postupují ve svém hodnocení v každé z těchto složek, je dosaženo celkové certifikace na určitou úroveň.

Federální hlavní dodavatelé a subdodavatelé jsou hodnoceni z hlediska dodržování procesů a postupů, které se vztahují ke každé z příslušných domén na každé úrovni modelu.

Poznámka: Ne všechny domény pokrývají všech pět úrovní. Domény se týkají minimálně 1 a maximálně 5 úrovní nebo jakéhokoli přilehlého počtu úrovní mezi nimi.

Podle úrovní CMMC &Domény

V níže uvedeném grafu při pohledu shora dolů vidíme seznam 17 domén. Při pohledu zleva doprava vidíme počet praktik pro každou doménu a počet praktik v dané doméně podle úrovně (sloupcový graf segmentuje podle barvy).

Pohybem dolů po grafu vidíme, že například ne všechny domény mají zastoupení na úrovni 1 (L1).

Primární nebo subprime vládní dodavatel, který poskytuje 17 praktik L1 obsažených v 6 doménách platných pro L1, by měl získat certifikaci modelu kybernetické bezpečnosti úrovně 1.

Vrátíme-li se k výše uvedenému shrnutí úrovní, dodavatelé s úrovní CMMC 1 praktikují základní kybernetickou hygienu a jejich procesy jsou pouze prováděny. Připomeňme, že na úrovni 1 se neprovádí hodnocení procesů, proto se pro certifikaci úrovně 1 nevyžaduje hodnocení ML 1.

Pokračuje-li dodavatel dále v modelu, dosáhne úrovně CMMC 3, když splní 130 praktik L3 obsažených v 16 doménách platných pro L3 a získá hodnocení procesů ML3 v každé z těchto domén.

Poznámka: Praktiky se na každé úrovni kumulují. Dodavatelé musí získat osvědčení na každé úrovni, aby mohli přejít na následující úroveň.

Recap of the Framework

CMMC má mnoho vzájemně propojených a pohyblivých částí, proto může pomoci shrnutí klíčových opatření a vizualizace jejich vztahů, jak je vidět na obrázku výše.

• Domény: 17
• Schopnosti: 43 (Jedná se o soubory praktik)
• Praktiky: 171
• Procesů: Úrovně vyspělosti 1 – 5
• Úrovně certifikace: 5

Procesy jsou hodnoceny pro úrovně vyspělosti odpovídající úrovni certifikace. Domény jsou tvořeny a praktikami (uspořádanými podle schopností) a zahrnují procesy v nich prováděné. Certifikace na určité úrovni vyžaduje zvládnutí domén v dané úrovni, které zahrnují jejich praktiky a procesy.

Jak získat certifikaci CMMC

DoD vytvořil akreditační orgán CMMC (AB), což je nezisková, nezávislá organizace, která kromě jednotlivých posuzovatelů akredituje i organizace pro posuzování třetích stran (3PAO). Podrobnosti o mechanice certifikace se teprve chystají, ale DoD plánuje vytvořit trh pro 3PAO, které budou hodnoceny a najímány dodavateli usilujícími o certifikaci.

Rychlý postup CMMC s Varonisem

Začít s CMMC se může zdát jako náročný úkol a skutečnost je taková, že certifikace je prostě příliš rozsáhlý program na to, aby jej zvládl jeden člověk nebo snad dokonce jeden tým v rámci organizace. Nicméně certifikace bude v budoucnu neoddiskutovatelným požadavkem dodavatelů DoD a společnost Varonis může federálním dodavatelům pomoci začít ihned.

Nejlepším místem, kde začít při zavádění CMMC do provozu, jsou domény. Připomeňme, že se jedná o „centra excelence“ s úkoly a řízením, které musí být prováděny a průběžně optimalizovány, aby organizace dosáhly své úrovně certifikace a postoupily v ní. Připomeňme si také, že hlavním cílem CMMC je ochrana kontrolovaných neutajovaných informací (CUI) a federálních smluvních informací (FCI).

Platforma Varonis pro zabezpečení dat může usnadnit, provést a automatizovat velké množství 171 postupů a s nimi souvisejících procesů v rámci souboru požadavků CMMC.

DatAdvantage

Získejte přehled v reálném čase a auditní stopy souborů, citlivých dat a serverů v ekosystémech Microsoft a UNIX/Linux. Dostaňte se rychle k nejmenšímu oprávnění díky kompletní sadě reportů, které urychlí – a udrží – certifikaci.

Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine

Využijte sílu strojového učení pro procesy CUI a FCI, abyste rychle našli a kompletně vyčistili datová úložiště on-prem i v cloudu. Varonis má výkonnou sadu produktů s vestavěnými klasifikačními modely pro více než 60 typů souborů, které pomáhají federálním dodavatelům vyrovnávat a udržovat jejich CMMC a zároveň zajišťují kontinuitu provozu a přístup k důležitým datům.

DatAlert + Edge

Zastavte hrozby pro CUI a FCI v jejich počátcích pomocí vysoce věrného upozorňování na soubory, složky, účty a domény. Použijte vestavěná pravidla nebo vytvořte vlastní akce k automatickému uzavření přístupu a nápravě expozice v jakémkoli bodě řetězce zničení.

Mapování produktů Varonis na domény CMMC

Klíč k mapování produktů:

DatAdvantage DatAlert + Edge DataPrivilege DatAnswers .

Data Classification Engine + Policy Pack Data Classification Labels Data Transport Engine Automation Engine

Profesionální služby Incident Response Team

.

.

Doména	Schopnosti	Produkt(y) Varonis
AC – Řízení přístupu	Stanovení požadavků na přístup k systému Kontrola interního přístupu k systému Kontrola vzdáleného přístupu k systému Omezení přístupu k datům pro oprávněné uživatele a procesy	DatAdvantage DataPrivilege
AM – Asset Management	Identifikace a dokumentace majetku Správa inventáře majetku	Data Classification Engine + Policy Pack
AU – Audit & Accountability	Definice požadavků na audit Provedení auditu auditů Identifikovat a chránit auditované informace Prohlížet a spravovat auditní protokoly	DatAdvantage Data Transport Engine
AT – Awareness & Školení	Provádět aktivity v oblasti bezpečnostního povědomí . Provádět školení	Profesionální služby
CM – Správa konfigurace	Vytvářet základní konfigurace Provádět správu konfigurace a změn	DatAdvantage DatAlert + Edge DataPrivilege Automation Engine
IA – Identification & Authentication	Přiznání přístupu ověřovaným subjektům	DatAdvantage DataPrivilege
IR – Reakce na incident	Plánování reakce na incident Detekce a hlášení událostí Vypracování a realizace reakce na vyhlášený incident Provádění revizí po incidentu Testování reakce na incident	DatAdvantage DatAlert. + Edge Incident Response Team
MA – Maintenance	Řízení údržby	DatAlert + Edge
MP – Ochrana médií	Identifikace a označení médií Ochrana. a kontrola médií Sanitizace médií Ochrana médií při přepravě	DatAdvantage DataPrivilege Štítky pro klasifikaci dat
PS – Bezpečnost personálu	Prověřování personálu Ochrana CUI při personálních činnostech	DatAdvantage DataPrivilege
PE – Fyzické Protection	Omezit fyzický přístup
RE – Recovery	Řízení zálohování Řízení kontinuity bezpečnosti informací	DatAlert + Edge Data Transport Engine
RM – Risk Management	Identifikace a vyhodnocení rizik Řízení rizik Řízení dodavatelského řetězce. rizika	DatAdvantage DatAlert + Edge Automation Engine
CA – Posouzení bezpečnosti	Vypracovat a řídit plán zabezpečení systému Definovat a řídit kontroly Provádět revize kódu	DatAdvantage DatAlert + Edge Profesionální služby
SA – Situační povědomí	Zavádět monitorování hrozeb	DatAlert + Edge
SC – Systém &. Ochrana komunikace	Definice bezpečnostních požadavků na systémy a komunikaci Kontrola komunikace na hranicích systému	DatAdvantage DatAlert + Edge
SI – Systém & Integrita informací	Identifikace a správa nedostatků informačního systému Identifikace škodlivého obsahu Provádění monitorování sítě a systému Zavádění pokročilé ochrany elektronické pošty	DatAdvantage DatAlert + Edge

.