Cybersecurity Maturity Model Certification (CMMC):

Szerző:

Az Egyesült Államok Védelmi Minisztériuma a kiberbiztonsági érettségi modell tanúsítást (CMMC) a kiberbiztonsági felkészültség normalizálása és szabványosítása érdekében vezeti be a szövetségi kormányzat védelmi ipari bázisán (DIB). Ebben a cikkben szó lesz az érettségi modell fogalmáról a kiberbiztonság kontextusában, a DIB legfontosabb ábrázolásairól, a CMMC szintek anatómiájáról és arról, hogy a Varonis hogyan gyorsíthatja fel a tanúsítást.

  • Mi a kiberbiztonsági érettségi modell tanúsítás?
  • A CMMC keretrendszer és az 5 szint
  • Hogyan szerezzen CMMC tanúsítványt
  • Varonis termék leképezése a CMMC tartományokra

Mi az érettségi modell?

Az érettségi modellek a legjobb gyakorlatok gyűjteménye, amelyek betartásának mértéke a szervezeteket az elfogadás vagy “érettség” alacsonyabb szintjeitől a magasabb alkalmassági és tanúsítási szintekig egy skálán halad előre. Egy érettségi modell tanúsítása azt jelenti, hogy egy vállalat vagy szervezet elkötelezte magát amellett, hogy a modell területein belüli folyamatait és gyakorlatát a magas teljesítmény fenntartható, mért szintjére fejleszti.

Fast Track CMMC with this Free Guide

Mi az a Cybersecurity Maturity Model Certification?

A Cybersecurity Maturity Model Certification az Egyesült Államok Védelmi Minisztériuma (DoD) által kezdeményezett program, amelynek célja, hogy felmérje a védelmi vállalkozóik képességeit, felkészültségét és kifinomultságát a kiberbiztonság területén. Magas szinten a keretrendszer folyamatok, más keretrendszerek és a meglévő kiberbiztonsági szabványok, például a NIST, a FAR és a DFARS inputjainak gyűjteménye.

Taktikai szinten a tanúsítás elsődleges célja a szövetségi vállalkozóik birtokában és használatában lévő, ellenőrzött, nem titkosított információk (CUI) és szövetségi szerződéses információk (FCI) biztonságának és védelmének javítása. A CMMC programot 2020. január 31-én jelentették be.

Mikor lép hatályba?

A DoD 2020 szeptemberétől korlátozott számban kezdte meg a CMMC előírásokat tartalmazó információkérések kibocsátását, és várhatóan 2026-tól a CMMC minden új DoD ajánlatkérés követelménye lesz.

Kire vonatkozik a CMMC?

A tanúsítás mind a DoD-vel közvetlenül szerződő “fővállalkozókra”, mind pedig azokra az alvállalkozókra vonatkozik, akik a fővállalkozókkal szerződnek az említett szerződések teljesítésére és végrehajtására. Bár 2026-tól kezdődően minden szerződésnek valamilyen szintű tanúsítás lesz a követelménye, a DoD jelezte, hogy az érettségi modell minden szintjén szándékozik szerződéskötési lehetőségeket kiadni, ami azt jelenti, hogy lesz néhány olyan kiadott kérelem, amelyhez csak alacsony szintű tanúsítás szükséges, és lesz néhány, amelyhez magasabb szintű tanúsítás szükséges.

Miért fontos a CMMC?

Fontos statisztikák bemutatása: $600B Éves kiberbűnözés hatása, $402B Éves DoD szerződéses érték, 300.000 vállalat a DIB-ben, 54%-os költségvetési allokáció a kisvállalkozásoknak

A becslések szerint a kiberbűnözés évente több mint 600 milliárd dollárt von el a globális GDP-ből. Az, hogy a küldetés végrehajtásában a vállalkozók hatalmas hálózatára támaszkodik, azt jelenti, hogy a Védelmi Minisztérium mindegyikükre olyan kritikus adatokat bíz, amelyek szisztematikusan növelik a DIB általános kockázati profilját. Ennek megfelelően a Védelmi Minisztérium tisztában van azzal, hogy a kiberbűnözés mekkora terhet és mekkora kockázatot ró az alvállalkozói bázisra, amelyek közül sokan kisvállalkozások, és nem rendelkeznek a nagyobb, elsődleges partnerek erőforrásaival.
Ezek fényében a Védelmi Minisztérium kiadta a CMMC-t, hogy megkönnyítse a kiberbiztonság legjobb gyakorlatainak elfogadását egy “mélységi védelem” stratégiával a teljes globális vállalkozói bázisán.

Know Before: A CMMC legfontosabb tudnivalói

  • A DoD fővállalkozóira és alvállalkozóira vonatkozik
  • A 2020-tól kezdődően néhány új szerződésre, 2026-tól pedig valamennyi szerződésre vonatkozik
  • A fokozatos modell a kiberbiztonsági folyamatok és gyakorlatok egyre magasabb szintjeit foglalja magában, ami egy tanúsítási szintet eredményez
  • A vállalkozóknak az 1. szinten kell kezdeniük, és minden szinten tanúsítaniuk kell. egészen a legfelső, 5. szintig
  • A Varonis hatékony eszköz a CMMC-megfelelés minden szintjének elősegítésére

A CMMC-keretrendszer és az 5 szint

CMMC illusztrációja a szintkövetelményeket bemutató táblázat

A kiberbiztonsági érettségi modell tanúsítása a felkészültség emelkedő szintjén alapul az 1. szinttől (legalacsonyabb) az 5. szintig (fejlett).

A CMMC végső célja, hogy kétféle információtípus védelmét biztosítsa a nyilvánosságra hozatal vagy a jogosulatlan felhasználás ellen:

  • Ellenőrzött, nem minősített információk (CUI): Olyan információ, amely a vonatkozó törvények, rendeletek és kormányzati szintű irányelvek alapján és azokkal összhangban védelmet vagy terjesztési ellenőrzést igényel, de nem minősül a 13526. számú végrehajtási rendelet vagy a módosított atomenergiatörvény szerint.
  • Szövetségi szerződéses információ (FCI): Nem nyilvános közzétételre szánt információ, amelyet a kormányzat nyújt vagy hoz létre a kormányzat számára egy termék vagy szolgáltatás fejlesztésére vagy szállítására vonatkozó szerződés alapján, de nem tartalmazza a kormányzat által a nyilvánosságnak nyújtott információt.

CMMC tanúsítási szintek (összefoglaló)

Minden szinthez tartozik egy sor folyamat és gyakorlat, valamint egy minősítő vagy “cél” ezek mindegyikéhez, ahogyan azok az adott szint alkalmazandó tartományaihoz kapcsolódnak. Például, ahogy az alábbi képen látható, a CMMC 2. szintjének elérése azt jelenti, hogy a szervezet célja, hogy olyan folyamatokkal rendelkezzen, amelyek dokumentáltak, és olyan gyakorlatokkal, amelyek megfelelnek a középszintű kiberhigiéniának.

CMMC illusztráció a keretrendszerről

Keretrendszer elemei

A CMMC elemei a következők:

  • Domains
  • Processes
  • Capabilities
  • Practices

Amint a vállalkozók előrehaladnak az egyes komponensek értékelésében, úgy érik el az átfogó tanúsítást egy szintre.

A szövetségi fővállalkozókat és alvállalkozókat a modell minden egyes szintjén az alkalmazandó területekhez kapcsolódó folyamatok és gyakorlatok betartása szempontjából értékelik.

MEGJEGYZÉS: Nem minden terület terjed ki mind az öt szintre. A tartományok legalább 1 és legfeljebb 5 szintre vagy a kettő közötti bármely összefüggő számú szintre vonatkoznak.

A CMMC-szintek megértése & Tartományok

A lenti ábrán felülről lefelé haladva láthatjuk a 17 tartomány listáját. Balról jobbra tekintve látjuk az egyes Tartományokhoz tartozó Gyakorlatok számát, valamint az adott Tartományban található Gyakorlatok számát szintek szerint (az oszlopdiagram szín szerint szegmentál).

A diagramon lefelé haladva láthatjuk, hogy például nem minden Tartomány van jelen az 1. szinten (L1).

Egy olyan elsődleges vagy másodlagos kormányzati vállalkozó, amely az L1-re vonatkozó 6 tartományban található 17 L1 gyakorlatot teljesíti, megkapja a Kiberbiztonsági Érettségi Modell 1. szintű tanúsítását.

A fenti szintek összefoglalójára visszatérve, az 1. szintű CMMC-vel rendelkező vállalkozók alapvető kiberhigiéniát gyakorolnak, és folyamataikat pusztán végrehajtják. Emlékezzünk vissza, hogy az 1. szinten nincs folyamatértékelés, ezért az ML 1 nem szükséges az 1. szintű tanúsításhoz.

A modellben továbbhaladva a szerződő fél akkor éri el a CMMC 3. szintjét, ha teljesíti az L3-ra vonatkozó 16 területhez tartozó 130 L3 gyakorlatot, és minden egyes területen ML3-as folyamatértékelést kap.

MEGJEGYZÉS: A gyakorlatok minden szinten halmozódnak. A vállalkozóknak minden szinten tanúsítania kell a következő szintre lépéshez.

CMMC illusztráció a legveszélyeztetettebb iparágakról

A keretrendszer összefoglalása

A CMMC sok egymással összefüggő és mozgó részből áll, ezért segíthet összefoglalni a legfontosabb intézkedéseket és szemléltetni azok összefüggéseit, ahogy a fenti képen látható.

  • Tartományok: 17
  • Capabilities: (Ezek a Gyakorlatok gyűjteményei)
  • Gyakorlatok: 171
  • Folyamatok:
  • Tanúsítási szintek: 5

A folyamatokat a tanúsítási szintnek megfelelő érettségi szintekre értékelik. A tartományokat és gyakorlatok alkotják (képességek szerint rendszerezve), és magukban foglalják a bennük végzett folyamatokat. Egy szint tanúsítása megköveteli az adott szinthez tartozó tartományok elsajátítását, amely magában foglalja a gyakorlatokat és folyamatokat.

Hogyan szerezzen CMMC tanúsítást

A DoD létrehozta a CMMC akkreditációs testületet (AB), amely egy nonprofit, független szervezet, amely az egyéni értékelők mellett a harmadik fél értékelő szervezeteket (3PAO) is akkreditálja. A tanúsítás mechanizmusának részletei még nem ismertek, de a DoD azt tervezi, hogy létrehoz egy piacot a 3PAO-k számára, amelyeket a tanúsítást igénylő vállalkozók értékelhetnek és alkalmazhatnak.

Fast-Track CMMC with Varonis

A CMMC elindítása ijesztő feladatnak tűnhet, és a valóság az, hogy a tanúsítás egyszerűen túl nagy program ahhoz, hogy egy személy vagy akár egy szervezeten belüli csapat kezelje. Mindazonáltal a tanúsítás a DoD vállalkozói számára a jövőben nem lesz megkerülhetetlen követelmény, és a Varonis segíthet a szövetségi vállalkozóknak az azonnali kezdésben.

A CMMC operacionalizálásának megkezdésekor a legjobb kiindulópont a tartományok. Emlékezzünk vissza, hogy ezek “kiválósági központok”, olyan feladatokkal és irányítással, amelyeket el kell végezni és folyamatosan optimalizálni kell ahhoz, hogy a szervezetek elérjék és fejlesszék a tanúsítási szintjüket. Emlékezzünk arra is, hogy a CMMC elsődleges célja az ellenőrzött, nem minősített információk (CUI) és a szövetségi szerződéses információk (FCI) védelme.

A Varonis Data Security Platform képes megkönnyíteni, végrehajtani és automatizálni a CMMC követelményrendszerén belül a 171 gyakorlat és a hozzájuk kapcsolódó folyamatok nagy részét.

DatAdvantage

A Microsoft és UNIX/Linux ökoszisztémákban a fájlok, érzékeny adatok és szerverek valós idejű láthatósága és ellenőrzési nyomvonala. A teljes körű jelentéskészlet segítségével gyorsan eljuthat a legkevesebb jogosultsághoz, így felgyorsíthatja – és fenntarthatja – a tanúsítást.

Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine

A gépi tanulás erejét a CUI és FCI folyamatok mögé helyezve gyorsan megtalálhatja és teljesen megtisztíthatja a helyben és a felhőben lévő adattárolókat. A Varonis több mint 60 fájltípushoz beépített osztályozási modellekkel rendelkező hatékony termékkészlettel rendelkezik, amelyek segítenek a szövetségi vállalkozóknak a CMMC kiegyenlítésében és karbantartásában, miközben biztosítják az üzletmenet folyamatosságát és a fontos adatokhoz való hozzáférést.

DatAlert + Edge

A fájlokra, mappákra, fiókokra és tartományokra vonatkozó nagy pontosságú riasztással megállítja a CUI-t és FCI-t fenyegető veszélyeket. Használja a beépített szabályokat vagy hozzon létre egyéni műveleteket a hozzáférés automatikus leállításához és a kitettség orvoslásához a kill chain bármely pontján.

Varonis Product Mapping to CMMC Domains

Product map key:

  • DatAdvantage
  • DatAlert + Edge
  • DataPrivilege
  • DatAnswers
  • Data Classification Engine + Policy Pack
  • Data Classification Labels
  • Data Transport Engine
  • Automation Engine
  • Professzionális szolgáltatások
  • Incident Response Team

.

Domain Capabilities Varonis Product(s)
AC – Access Control
  • Rendszer-hozzáférési követelmények megállapítása
  • Belső rendszer-hozzáférés ellenőrzése
  • Távoli rendszer-hozzáférés ellenőrzése
  • Adathozzáférés korlátozása az engedélyezett felhasználókra és folyamatokra
 DatAdvantage

DataPrivilege
AM – VARONIS – Eszközkezelés
  • Identifikálja és dokumentálja az eszközöket
  • Vagyonleltár kezelése
 Data Classification Engine + Policy Pack
AU – Audit & Elszámoltathatóság
  • Auditkövetelmények meghatározása
  • Elvégrehajtás ellenőrzés
  • Az ellenőrzési információk azonosítása és védelme
  • Az ellenőrzési naplók áttekintése és kezelése
 DatAdvantage

Data Transport Engine
AT – Awareness & Training
  • Végezze a biztonsági tudatossággal kapcsolatos tevékenységeket

    • .

  • Képzések tartása
 Szakmai szolgáltatások
CM – Konfigurációkezelés
  • Konfigurációs alapvonalak létrehozása
  • Konfiguráció- és változáskezelés
 DatAdvantage

DatAlert. + Edge

DataPrivilege

Automation Engine
IA – Azonosítás & Hitelesítés
  • Hitelesített entitásokhoz való hozzáférés engedélyezése
 DatAdvantage

DataPrivilege
IR – Incidensreakció
  • Incidensreakció megtervezése
  • Előfordulások felderítése és jelentése
  • Elhelyezett incidensre adott válasz kidolgozása és végrehajtása
  • Előfordulást követő felülvizsgálatok elvégzése
  • Előfordulásra adott válasz tesztelése
 DatAdvantage

DatAlert. + Edge

Incident Response Team
MA – Maintenance
  • Manage maintenance
 DatAlert + Edge
MP – Media Protection
  • Identification and mark media
  • Protect és ellenőrzése
  • Médiumok fertőtlenítése
  • Médiumok védelme szállítás közben
 DatAdvantage

DataPrivilege

Adatok osztályozási címkék
PS – Személyzetbiztonság
  • Személyzet ellenőrzése

    • .

  • CUI védelme a személyzeti műveletek során
 DatAdvantage

DataPrivilege
PE – Fizikai Protection
  • Fizikai hozzáférés korlátozása
RE – Recovery
  • Biztonsági mentések kezelése
  • Az információbiztonság folyamatosságának kezelése
 DatAlert + Edge

Data Transport Engine
RM – Kockázatkezelés
  • Kockázat azonosítása és értékelése
  • Kockázat kezelése
  • Létesítési lánc irányítása kockázat
 DatAdvantage

DatAlert + Edge

Automation Engine
CA – Biztonsági értékelés
  • Rendszerbiztonsági terv kidolgozása és kezelése
  • Kontrollok meghatározása és kezelése
  • Kódvizsgálatok elvégzése

    • .

DatAdvantage

DatAlert + Edge

Professional Services
SA – Situational Awareness
  • Veszélyfigyelés megvalósítása
 DatAlert + Edge
SC – System &. Kommunikációvédelem
  • A rendszerek és a kommunikáció biztonsági követelményeinek meghatározása
  • A kommunikáció ellenőrzése a rendszer határain
 DatAdvantage

DatAlert + Edge
SI – System & Information Integrity
  • Az információs rendszer hibáinak azonosítása és kezelése
  • A rosszindulatú tartalmak azonosítása
  • Hálózati és rendszerfelügyelet végzése
  • Korszerű e-mail védelem megvalósítása
 DatAdvantage

DatAlert + Edge

.

Szólj hozzá!