Cybersecurity Maturity Model Certification (CMMC): What You Need to Know

Il Dipartimento della Difesa degli Stati Uniti sta implementando la Cybersecurity Maturity Model Certification (CMMC) per normalizzare e standardizzare la preparazione alla cybersecurity nella base industriale della difesa (DIB) del governo federale. Questo pezzo coprirà il concetto di un modello di maturità nel contesto della cybersecurity, le rappresentazioni chiave del DIB, l’anatomia dei livelli CMMC e come Varonis può accelerare la certificazione.

• Che cos’è la Cybersecurity Maturity Model Certification?
• Il quadro CMMC e i 5 livelli
• Come ottenere la certificazione CMMC
• Mappatura dei prodotti Varonis ai domini CMMC

Cos’è un modello di maturità?

I modelli di maturità sono un insieme di buone pratiche, il cui grado di aderenza fa progredire le organizzazioni lungo una scala da livelli inferiori di adozione o “maturità” a livelli superiori di attitudine e certificazione. Certificare un modello di maturità significa che un’azienda o un’organizzazione si è impegnata a migliorare i suoi processi e le sue pratiche all’interno dei domini di un modello fino a un livello sostenibile e misurato di alte prestazioni.

Cos’è la certificazione Cybersecurity Maturity Model?

Cybersecurity Maturity Model Certification è un programma avviato dal Dipartimento della Difesa degli Stati Uniti (DoD) per misurare le capacità, la prontezza e la sofisticazione degli appaltatori della difesa nel campo della cybersecurity. Ad alto livello, il quadro è una raccolta di processi, altri quadri e input da standard di cybersecurity esistenti come NIST, FAR e DFARS.

A livello tattico, l’obiettivo primario della certificazione è quello di migliorare la sicurezza di Controlled Unclassified Information (CUI) e Federal Contract Information (FCI) che sono in possesso e uso dei loro appaltatori federali. Il programma CMMC è stato annunciato il 31 gennaio 2020.

Quando entra in vigore?

A partire da settembre 2020, il DoD ha iniziato a rilasciare un numero limitato di richieste di informazioni che contengono specifiche CMMC, e si prevede che il CMMC sarà un requisito di tutte le nuove richieste di proposte del DoD a partire dal 2026.

A chi si applica il CMMC?

La certificazione è applicabile sia agli appaltatori “prime” che si impegnano direttamente con il DoD, sia ai subappaltatori che contrattano con le prime per fornire l’adempimento e l’esecuzione di quei contratti. Anche se un certo livello di certificazione sarà un requisito di ogni contratto a partire dal 2026, il DoD ha indicato che intende emettere opportunità di contratto a tutti i livelli del modello di maturità, il che significa che ci sarà un certo numero di richieste emesse che richiederanno solo un basso livello di certificazione, e alcune che richiederanno livelli più alti di certificazione.

Perché CMMC è importante?

Si stima che il crimine informatico prosciughi oltre $600 miliardi all’anno dal PIL globale. Affidarsi alla vasta rete di appaltatori per eseguire la sua missione significa che il Dipartimento della Difesa sta affidando a ciascuno di loro dati critici che aumentano sistematicamente il profilo di rischio complessivo del DIB. Di conseguenza, il DoD comprende l’onere e la proporzione sproporzionata di rischio che il crimine informatico pone sulla loro base di subappaltatori, molti dei quali sono piccole imprese e non hanno le risorse delle loro controparti più grandi, prime.
È in questo contesto che il DoD ha rilasciato il CMMC, per facilitare l’adozione delle migliori pratiche di sicurezza informatica con una strategia di “difesa in profondità” in tutta la sua base globale di appaltatori.

Conoscere prima: Key CMMC Takeaways

• Si applica agli appaltatori e ai subappaltatori DoD
• Si applica ad alcuni nuovi contratti a partire dal 2020 e si applica a tutti i contratti a partire dal 2026
• Il modello progressivo copre livelli avanzati di processi e pratiche di cybersecurity con conseguente livello di certificazione
• Gli appaltatori devono iniziare al livello 1 e certificare ad ogni livello fino al livello superiore 5
• Varonis è un potente strumento per facilitare tutti i livelli di conformità CMMC

Il CMMC Framework e i 5 livelli

La certificazione Cybersecurity Maturity Model è basata su un livello ascendente di preparazione dal livello 1 (più basso) al livello 5 (avanzato).

L’obiettivo finale del CMMC è quello di garantire la protezione di due tipi di informazioni dalla divulgazione o dall’uso non autorizzato:

• Controlled Unclassified Information (CUI): Informazioni che richiedono controlli di salvaguardia o divulgazione in conformità e in linea con le leggi, i regolamenti e le politiche governative applicabili, ma che non sono classificate ai sensi dell’ordine esecutivo 13526 o dell’Atomic Energy Act, come modificato.
• Federal Contract Information (FCI): Informazioni, non destinate al pubblico, che sono fornite o generate per il governo nell’ambito di un contratto per sviluppare o fornire un prodotto o un servizio al governo, ma non includono le informazioni fornite dal governo al pubblico.

Livelli di certificazione CMM (Sommario)

Ogni livello ha un insieme di processi e pratiche e un qualificatore o “obiettivo” per ciascuno di essi in relazione ai settori applicabili in quel livello. Per esempio, come si vede nell’immagine qui sotto, raggiungere il livello 2 di CMMC significa che l’obiettivo di un’organizzazione è di avere Processi che sono documentati e Pratiche che sono coerenti con un’igiene informatica intermedia.

Componenti del framework

I componenti CMMC in gioco sono:

• Domini
• Processi
• Capacità
• Pratiche

Come gli appaltatori avanzano nelle loro valutazioni in ognuno di questi componenti, si ottiene la certificazione complessiva di un livello.

Gli appaltatori e i subappaltatori federali sono valutati per la loro aderenza ai processi e alle pratiche in relazione a ciascuno dei domini applicabili ad ogni livello del modello.

NOTA: Non tutti i domini coprono tutti e cinque i livelli. I domini riguardano un minimo di 1 e un massimo di 5 livelli o qualsiasi numero contiguo di livelli in mezzo.

Comprensione dei livelli CMMC &Domini

Nel grafico qui sotto, guardando dall’alto in basso vediamo una lista dei 17 Domini. Guardando da sinistra a destra vediamo il numero di Pratiche per ogni Dominio e il numero di Pratiche in quel Dominio per Livello (il grafico a barre segmenta per colore).

Scendendo nel grafico, possiamo vedere che, per esempio, non tutti i Domini hanno una presenza nel livello 1 (L1).

Un appaltatore governativo prime o subprime che fornisce le 17 pratiche L1 contenute nei 6 domini applicabili a L1 dovrebbe ricevere la Cybersecurity Maturity Model Certification di livello 1.

Riferendoci al riepilogo dei livelli sopra, gli appaltatori con CMMC di livello 1 praticano un’igiene informatica di base e i loro processi sono semplicemente eseguiti. Ricordiamo che non c’è alcuna valutazione del processo al livello 1, quindi il ML 1 non è richiesto per la certificazione di livello 1.

Avanzando ulteriormente nel modello, un appaltatore raggiungerebbe il livello 3 del CMMC quando consegna le 130 pratiche L3 contenute nei 16 domini applicabili al L3 e guadagna una valutazione del processo di ML3 in ciascuno di quei domini.

NOTA: Le pratiche sono cumulative ad ogni livello. Gli appaltatori devono certificare ad ogni livello per passare al livello successivo.

Recap del Framework

Il CMMC ha molte parti interconnesse e in movimento, quindi può aiutare a riassumere le misure chiave e visualizzare le loro relazioni come visto nell’immagine sopra.

• Domini: 17
• Capacità: 43 (Queste sono collezioni di Pratiche)
• Pratiche: 171
• Processi: Livelli di maturità 1 – 5
• Livelli di certificazione: 5

I processi sono valutati per livelli di maturità corrispondenti al livello di certificazione. I domini sono costituiti da e Pratiche (organizzate per Capacità) e comprendono i Processi intrapresi in essi. La certificazione ad un livello richiede la padronanza dei domini in quel livello che include le loro pratiche e processi.

Come ottenere la certificazione CMMC

Il Dipartimento della Difesa ha creato l’Ente di Accreditamento CMMC (AB) che è un’organizzazione indipendente e senza scopo di lucro per accreditare le Organizzazioni di Valutazione di Terze Parti (3PAO) oltre ai singoli valutatori. I dettagli sulla meccanica della certificazione sono imminenti, ma il DoD prevede di stabilire un mercato per le 3PAO che saranno valutate e assunte dagli appaltatori che cercano la certificazione.

Fast-Track CMMC con Varonis

Iniziare con CMMC potrebbe sembrare un compito arduo, e la realtà è che la certificazione è semplicemente un programma troppo grande per essere gestito da una persona o forse anche da un team all’interno di un’organizzazione. Tuttavia, la certificazione sarà un requisito non negoziabile per gli appaltatori del DoD in futuro, e Varonis può aiutare gli appaltatori federali a iniziare subito.

Il posto migliore per iniziare a rendere operativo il CMMC è nei Domini. Ricordiamo che questi sono “centri di eccellenza” con compiti e gestione che devono essere eseguiti e continuamente ottimizzati per le organizzazioni per raggiungere e avanzare i loro livelli di certificazione. Ricordiamo inoltre che l’obiettivo primario del CMMC è la protezione delle informazioni non classificate controllate (CUI) e delle informazioni contrattuali federali (FCI).

La piattaforma Varonis Data Security può facilitare, eseguire e automatizzare un gran numero di 171 pratiche e i relativi processi all’interno del corpo di requisiti CMMC.

DatAdvantage

Ottieni visibilità in tempo reale e audit trail di file, dati sensibili e server negli ecosistemi Microsoft e UNIX/Linux. Arriva rapidamente al minimo privilegio con una suite completa di reporting per accelerare – e tenere il passo – con la certificazione.

Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine

Metti la potenza del machine learning dietro i tuoi processi CUI e FCI per trovare rapidamente e pulire completamente gli archivi di dati on-prem e nel cloud. Varonis ha un potente set di prodotti con modelli di classificazione integrati per oltre 60 tipi di file che aiutano gli appaltatori federali a livellare e mantenere il loro CMMC garantendo al contempo la continuità aziendale e l’accesso a dati importanti.

DatAlert + Edge

Fermate le minacce a CUI e FCI con avvisi ad alta fedeltà su file, cartelle, account e domini. Utilizza le regole integrate o crea azioni personalizzate per bloccare automaticamente l’accesso e porre rimedio all’esposizione in qualsiasi punto della catena di eliminazione.

Varonis Product Mapping to CMMC Domains

Chiave della mappa dei prodotti:

DatAdvantage DatAlert + Edge DataPrivilege DatAnswers

Data Classification Engine + Policy Pack Data Classification Labels Data Transport Engine Motore di automazione

Servizi professionali Squadra di risposta agli incidenti

Dominio	Capacità	Prodotti Varonis
AC – Controllo Accessi	Stabilire i requisiti di accesso al sistema Controllare l’accesso al sistema interno Controllare l’accesso al sistema remoto Limitare l’accesso ai dati a utenti e processi autorizzati	DatAdvantage DataPrivilege
AM – Gestione delle risorse	Identificare e documentare le risorse Gestire l’inventario delle risorse	Data Classification Engine + Policy Pack
AU – Audit & Accountability	Definire i requisiti di audit Eseguire auditing Identificare e proteggere le informazioni di audit Rivedere e gestire i log di audit	DatAdvantage Data Transport Engine
AT – Awareness & Training	Condurre attività di sicurezza Condurre la formazione	Servizi professionali
CM – Gestione della configurazione	Stabilire le basi di configurazione Eseguire la gestione della configurazione e del cambiamento	DatAdvantage DatAlert + Edge DataPrivilege Automation Engine
IA – Identificazione & Autenticazione	Consente l’accesso alle entità autenticate	DatAdvantage DataPrivilege
IR – Risposta agli incidenti	Pianifica la risposta agli incidenti Rileva e segnala gli eventi Sviluppa e implementa una risposta ad un incidente dichiarato Effettua revisioni post incidente Testa la risposta agli incidenti	DatAdvantage DatAlert + Edge Squadra di risposta agli incidenti
MA – Manutenzione	Gestire la manutenzione	DatAlert + Edge
MP – Protezione dei media	Identificare e contrassegnare i media Proteggere e controllare i media Sanitizzare i media Proteggere i media durante il trasporto	DatAdvantage DataPrivilege Etichette di classificazione dei dati
PS – Sicurezza del personale	Screenare il personale Proteggere CUI durante le azioni del personale	DatAdvantage DataPrivilege
PE – Protezione fisica Protezione	Limitare l’accesso fisico
RE – Recupero	Gestire i backup Gestire la continuità della sicurezza delle informazioni	DatAlert + Edge Data Transport Engine
RM – Risk Management	Identificare e valutare il rischio Gestire il rischio Gestire la catena di fornitura rischio	DatAdvantage DatAlert + Edge Automation Engine
CA – Valutazione della sicurezza	Sviluppare e gestire un piano di sicurezza del sistema Definire e gestire controlli Eseguire revisioni del codice	DatAdvantage DatAlert + Edge Servizi professionali
SA – Situational Awareness	Implementare il monitoraggio delle minacce	DatAlert + Edge
SC – Sistema & Protezione delle comunicazioni	Definire i requisiti di sicurezza per i sistemi e le comunicazioni Controllare le comunicazioni ai confini del sistema	DatAdvantage DatAlert + Edge
SI – Sistema & Integrità delle informazioni	Identificare e gestire le falle del sistema informativo Identificare il contenuto dannoso Effettuare il monitoraggio della rete e del sistema Implementare la protezione avanzata delle e-mail	DatAdvantage DatAlert + Edge