Az Egyesült Államok Védelmi Minisztériuma a kiberbiztonsági érettségi modell tanúsítást (CMMC) a kiberbiztonsági felkészültség normalizálása és szabványosítása érdekében vezeti be a szövetségi kormányzat védelmi ipari bázisán (DIB). Ebben a cikkben szó lesz az érettségi modell fogalmáról a kiberbiztonság kontextusában, a DIB legfontosabb ábrázolásairól, a CMMC szintek anatómiájáról és arról, hogy a Varonis hogyan gyorsíthatja fel a tanúsítást.
- Mi a kiberbiztonsági érettségi modell tanúsítás?
- A CMMC keretrendszer és az 5 szint
- Hogyan szerezzen CMMC tanúsítványt
- Varonis termék leképezése a CMMC tartományokra
Mi az érettségi modell?
Az érettségi modellek a legjobb gyakorlatok gyűjteménye, amelyek betartásának mértéke a szervezeteket az elfogadás vagy “érettség” alacsonyabb szintjeitől a magasabb alkalmassági és tanúsítási szintekig egy skálán halad előre. Egy érettségi modell tanúsítása azt jelenti, hogy egy vállalat vagy szervezet elkötelezte magát amellett, hogy a modell területein belüli folyamatait és gyakorlatát a magas teljesítmény fenntartható, mért szintjére fejleszti.
Fast Track CMMC with this Free Guide
Mi az a Cybersecurity Maturity Model Certification?
A Cybersecurity Maturity Model Certification az Egyesült Államok Védelmi Minisztériuma (DoD) által kezdeményezett program, amelynek célja, hogy felmérje a védelmi vállalkozóik képességeit, felkészültségét és kifinomultságát a kiberbiztonság területén. Magas szinten a keretrendszer folyamatok, más keretrendszerek és a meglévő kiberbiztonsági szabványok, például a NIST, a FAR és a DFARS inputjainak gyűjteménye.
Taktikai szinten a tanúsítás elsődleges célja a szövetségi vállalkozóik birtokában és használatában lévő, ellenőrzött, nem titkosított információk (CUI) és szövetségi szerződéses információk (FCI) biztonságának és védelmének javítása. A CMMC programot 2020. január 31-én jelentették be.
Mikor lép hatályba?
A DoD 2020 szeptemberétől korlátozott számban kezdte meg a CMMC előírásokat tartalmazó információkérések kibocsátását, és várhatóan 2026-tól a CMMC minden új DoD ajánlatkérés követelménye lesz.
Kire vonatkozik a CMMC?
A tanúsítás mind a DoD-vel közvetlenül szerződő “fővállalkozókra”, mind pedig azokra az alvállalkozókra vonatkozik, akik a fővállalkozókkal szerződnek az említett szerződések teljesítésére és végrehajtására. Bár 2026-tól kezdődően minden szerződésnek valamilyen szintű tanúsítás lesz a követelménye, a DoD jelezte, hogy az érettségi modell minden szintjén szándékozik szerződéskötési lehetőségeket kiadni, ami azt jelenti, hogy lesz néhány olyan kiadott kérelem, amelyhez csak alacsony szintű tanúsítás szükséges, és lesz néhány, amelyhez magasabb szintű tanúsítás szükséges.
Miért fontos a CMMC?
A becslések szerint a kiberbűnözés évente több mint 600 milliárd dollárt von el a globális GDP-ből. Az, hogy a küldetés végrehajtásában a vállalkozók hatalmas hálózatára támaszkodik, azt jelenti, hogy a Védelmi Minisztérium mindegyikükre olyan kritikus adatokat bíz, amelyek szisztematikusan növelik a DIB általános kockázati profilját. Ennek megfelelően a Védelmi Minisztérium tisztában van azzal, hogy a kiberbűnözés mekkora terhet és mekkora kockázatot ró az alvállalkozói bázisra, amelyek közül sokan kisvállalkozások, és nem rendelkeznek a nagyobb, elsődleges partnerek erőforrásaival.
Ezek fényében a Védelmi Minisztérium kiadta a CMMC-t, hogy megkönnyítse a kiberbiztonság legjobb gyakorlatainak elfogadását egy “mélységi védelem” stratégiával a teljes globális vállalkozói bázisán.
Know Before: A CMMC legfontosabb tudnivalói
- A DoD fővállalkozóira és alvállalkozóira vonatkozik
- A 2020-tól kezdődően néhány új szerződésre, 2026-tól pedig valamennyi szerződésre vonatkozik
- A fokozatos modell a kiberbiztonsági folyamatok és gyakorlatok egyre magasabb szintjeit foglalja magában, ami egy tanúsítási szintet eredményez
- A vállalkozóknak az 1. szinten kell kezdeniük, és minden szinten tanúsítaniuk kell. egészen a legfelső, 5. szintig
- A Varonis hatékony eszköz a CMMC-megfelelés minden szintjének elősegítésére
A CMMC-keretrendszer és az 5 szint
A kiberbiztonsági érettségi modell tanúsítása a felkészültség emelkedő szintjén alapul az 1. szinttől (legalacsonyabb) az 5. szintig (fejlett).
A CMMC végső célja, hogy kétféle információtípus védelmét biztosítsa a nyilvánosságra hozatal vagy a jogosulatlan felhasználás ellen:
- Ellenőrzött, nem minősített információk (CUI): Olyan információ, amely a vonatkozó törvények, rendeletek és kormányzati szintű irányelvek alapján és azokkal összhangban védelmet vagy terjesztési ellenőrzést igényel, de nem minősül a 13526. számú végrehajtási rendelet vagy a módosított atomenergiatörvény szerint.
- Szövetségi szerződéses információ (FCI): Nem nyilvános közzétételre szánt információ, amelyet a kormányzat nyújt vagy hoz létre a kormányzat számára egy termék vagy szolgáltatás fejlesztésére vagy szállítására vonatkozó szerződés alapján, de nem tartalmazza a kormányzat által a nyilvánosságnak nyújtott információt.
CMMC tanúsítási szintek (összefoglaló)
Minden szinthez tartozik egy sor folyamat és gyakorlat, valamint egy minősítő vagy “cél” ezek mindegyikéhez, ahogyan azok az adott szint alkalmazandó tartományaihoz kapcsolódnak. Például, ahogy az alábbi képen látható, a CMMC 2. szintjének elérése azt jelenti, hogy a szervezet célja, hogy olyan folyamatokkal rendelkezzen, amelyek dokumentáltak, és olyan gyakorlatokkal, amelyek megfelelnek a középszintű kiberhigiéniának.
Keretrendszer elemei
A CMMC elemei a következők:
- Domains
- Processes
- Capabilities
- Practices
Amint a vállalkozók előrehaladnak az egyes komponensek értékelésében, úgy érik el az átfogó tanúsítást egy szintre.
A szövetségi fővállalkozókat és alvállalkozókat a modell minden egyes szintjén az alkalmazandó területekhez kapcsolódó folyamatok és gyakorlatok betartása szempontjából értékelik.
MEGJEGYZÉS: Nem minden terület terjed ki mind az öt szintre. A tartományok legalább 1 és legfeljebb 5 szintre vagy a kettő közötti bármely összefüggő számú szintre vonatkoznak.
A CMMC-szintek megértése & Tartományok
A lenti ábrán felülről lefelé haladva láthatjuk a 17 tartomány listáját. Balról jobbra tekintve látjuk az egyes Tartományokhoz tartozó Gyakorlatok számát, valamint az adott Tartományban található Gyakorlatok számát szintek szerint (az oszlopdiagram szín szerint szegmentál).
A diagramon lefelé haladva láthatjuk, hogy például nem minden Tartomány van jelen az 1. szinten (L1).
Egy olyan elsődleges vagy másodlagos kormányzati vállalkozó, amely az L1-re vonatkozó 6 tartományban található 17 L1 gyakorlatot teljesíti, megkapja a Kiberbiztonsági Érettségi Modell 1. szintű tanúsítását.
A fenti szintek összefoglalójára visszatérve, az 1. szintű CMMC-vel rendelkező vállalkozók alapvető kiberhigiéniát gyakorolnak, és folyamataikat pusztán végrehajtják. Emlékezzünk vissza, hogy az 1. szinten nincs folyamatértékelés, ezért az ML 1 nem szükséges az 1. szintű tanúsításhoz.
A modellben továbbhaladva a szerződő fél akkor éri el a CMMC 3. szintjét, ha teljesíti az L3-ra vonatkozó 16 területhez tartozó 130 L3 gyakorlatot, és minden egyes területen ML3-as folyamatértékelést kap.
MEGJEGYZÉS: A gyakorlatok minden szinten halmozódnak. A vállalkozóknak minden szinten tanúsítania kell a következő szintre lépéshez.
A keretrendszer összefoglalása
A CMMC sok egymással összefüggő és mozgó részből áll, ezért segíthet összefoglalni a legfontosabb intézkedéseket és szemléltetni azok összefüggéseit, ahogy a fenti képen látható.
- Tartományok: 17
- Capabilities: (Ezek a Gyakorlatok gyűjteményei)
- Gyakorlatok: 171
- Folyamatok:
- Tanúsítási szintek: 5
A folyamatokat a tanúsítási szintnek megfelelő érettségi szintekre értékelik. A tartományokat és gyakorlatok alkotják (képességek szerint rendszerezve), és magukban foglalják a bennük végzett folyamatokat. Egy szint tanúsítása megköveteli az adott szinthez tartozó tartományok elsajátítását, amely magában foglalja a gyakorlatokat és folyamatokat.
Hogyan szerezzen CMMC tanúsítást
A DoD létrehozta a CMMC akkreditációs testületet (AB), amely egy nonprofit, független szervezet, amely az egyéni értékelők mellett a harmadik fél értékelő szervezeteket (3PAO) is akkreditálja. A tanúsítás mechanizmusának részletei még nem ismertek, de a DoD azt tervezi, hogy létrehoz egy piacot a 3PAO-k számára, amelyeket a tanúsítást igénylő vállalkozók értékelhetnek és alkalmazhatnak.
Fast-Track CMMC with Varonis
A CMMC elindítása ijesztő feladatnak tűnhet, és a valóság az, hogy a tanúsítás egyszerűen túl nagy program ahhoz, hogy egy személy vagy akár egy szervezeten belüli csapat kezelje. Mindazonáltal a tanúsítás a DoD vállalkozói számára a jövőben nem lesz megkerülhetetlen követelmény, és a Varonis segíthet a szövetségi vállalkozóknak az azonnali kezdésben.
A CMMC operacionalizálásának megkezdésekor a legjobb kiindulópont a tartományok. Emlékezzünk vissza, hogy ezek “kiválósági központok”, olyan feladatokkal és irányítással, amelyeket el kell végezni és folyamatosan optimalizálni kell ahhoz, hogy a szervezetek elérjék és fejlesszék a tanúsítási szintjüket. Emlékezzünk arra is, hogy a CMMC elsődleges célja az ellenőrzött, nem minősített információk (CUI) és a szövetségi szerződéses információk (FCI) védelme.
A Varonis Data Security Platform képes megkönnyíteni, végrehajtani és automatizálni a CMMC követelményrendszerén belül a 171 gyakorlat és a hozzájuk kapcsolódó folyamatok nagy részét.
DatAdvantage
A Microsoft és UNIX/Linux ökoszisztémákban a fájlok, érzékeny adatok és szerverek valós idejű láthatósága és ellenőrzési nyomvonala. A teljes körű jelentéskészlet segítségével gyorsan eljuthat a legkevesebb jogosultsághoz, így felgyorsíthatja – és fenntarthatja – a tanúsítást.
Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine
A gépi tanulás erejét a CUI és FCI folyamatok mögé helyezve gyorsan megtalálhatja és teljesen megtisztíthatja a helyben és a felhőben lévő adattárolókat. A Varonis több mint 60 fájltípushoz beépített osztályozási modellekkel rendelkező hatékony termékkészlettel rendelkezik, amelyek segítenek a szövetségi vállalkozóknak a CMMC kiegyenlítésében és karbantartásában, miközben biztosítják az üzletmenet folyamatosságát és a fontos adatokhoz való hozzáférést.
DatAlert + Edge
A fájlokra, mappákra, fiókokra és tartományokra vonatkozó nagy pontosságú riasztással megállítja a CUI-t és FCI-t fenyegető veszélyeket. Használja a beépített szabályokat vagy hozzon létre egyéni műveleteket a hozzáférés automatikus leállításához és a kitettség orvoslásához a kill chain bármely pontján.
Varonis Product Mapping to CMMC Domains
Product map key:
|
|
|
Domain | Capabilities | Varonis Product(s) |
AC – Access Control |
|
DatAdvantage
DataPrivilege |
AM – VARONIS – Eszközkezelés |
|
Data Classification Engine + Policy Pack |
AU – Audit & Elszámoltathatóság |
|
DatAdvantage
Data Transport Engine |
AT – Awareness & Training |
. |
Szakmai szolgáltatások |
CM – Konfigurációkezelés |
|
DatAdvantage
DatAlert. + Edge DataPrivilege Automation Engine |
IA – Azonosítás & Hitelesítés |
|
DatAdvantage
DataPrivilege |
IR – Incidensreakció |
|
DatAdvantage
DatAlert. + Edge Incident Response Team |
MA – Maintenance |
|
DatAlert + Edge |
MP – Media Protection |
|
DatAdvantage
DataPrivilege Adatok osztályozási címkék |
PS – Személyzetbiztonság |
. |
DatAdvantage
DataPrivilege |
PE – Fizikai Protection |
|
|
RE – Recovery |
|
DatAlert + Edge
Data Transport Engine |
RM – Kockázatkezelés |
|
DatAdvantage
DatAlert + Edge Automation Engine |
CA – Biztonsági értékelés |
. |
DatAdvantage
DatAlert + Edge Professional Services |
SA – Situational Awareness |
|
DatAlert + Edge |
SC – System &. Kommunikációvédelem |
|
DatAdvantage
DatAlert + Edge |
SI – System & Information Integrity |
|
DatAdvantage
DatAlert + Edge |
.