Cybersecurity Maturity Model Certification (CMMC): Wat u moet weten

Het Amerikaanse ministerie van Defensie is bezig met de invoering van de Cybersecurity Maturity Model Certification (CMMC) om de paraatheid op het gebied van cyberbeveiliging binnen de defensie-industriële basis (DIB) van de federale overheid te normaliseren en standaardiseren. Dit stuk gaat over het concept van een volwassenheidsmodel in de context van cyberbeveiliging, belangrijke afbeeldingen van de DIB, de anatomie van CMMC-niveaus, en hoe Varonis de certificering kan versnellen.

• Wat is de Cybersecurity Maturity Model Certification?
• Het CMMC Framework en de 5 niveaus
• Hoe kunt u CMMC-gecertificeerd worden
• Varonis Product Mapping to CMMC Domains

Wat is een Maturity Model?

Volwassenheidsmodellen zijn een verzameling van best practices, waarvan de mate van naleving organisaties op een schaal van lagere niveaus van adoptie of “volwassenheid” naar hogere niveaus van bekwaamheid en certificering brengt. Certificering voor een volwassenheidsmodel betekent dat een bedrijf of organisatie zich heeft gecommitteerd aan het verbeteren van zijn processen en praktijken binnen de domeinen van een model tot een duurzaam, gemeten niveau van hoge prestaties.

Wat is de Cybersecurity Maturity Model Certification?

Certificering van het Cybersecurity Maturity Model is een programma dat is opgezet door het Amerikaanse ministerie van Defensie (DoD) om de capaciteiten, gereedheid en geavanceerdheid van hun defensieaannemers op het gebied van cyberbeveiliging te meten. Op hoog niveau is het kader een verzameling van processen, andere kaders en input van bestaande cyberbeveiligingsnormen zoals NIST, FAR en DFARS.

Op tactisch niveau is het primaire doel van de certificering om de zekerheid en beveiliging te verbeteren van Controlled Unclassified Information (CUI) en Federal Contract Information (FCI) die in het bezit en gebruik is van hun federale contractanten. Het CMMC-programma werd aangekondigd op 31 januari 2020.

Wanneer treedt het in werking?

Vanaf september 2020 begon het DoD met het uitgeven van een beperkt aantal verzoeken om informatie die CMMC-specificaties bevatten, en naar verwachting zal CMMC vanaf 2026 een vereiste zijn voor alle nieuwe DoD-verzoeken om voorstellen in te dienen.

Op wie is CMMC van toepassing?

De certificering is van toepassing op zowel “hoofd”-aannemers die rechtstreeks met het DoD in zee gaan, als op onderaannemers die met hoofdaannemers contracten sluiten om die contracten uit te voeren en uit te voeren. Hoewel vanaf 2026 een zekere mate van certificering een vereiste zal zijn voor elk contract, heeft het DoD aangegeven dat het van plan is om contractmogelijkheden te bieden op alle niveaus van het volwassenheidsmodel, wat betekent dat er een aantal aanvragen zal worden gedaan waarvoor slechts een laag certificeringsniveau vereist is, en een aantal waarvoor een hoger certificeringsniveau vereist is.

Waarom is CMMC van belang?

Geschat wordt dat cybercriminaliteit jaarlijks meer dan 600 miljard dollar van het mondiale bbp aftroggelt. Vertrouwen op het uitgebreide netwerk van contractanten om zijn missie uit te voeren, betekent dat het ministerie van Defensie aan elk van hen kritieke gegevens toevertrouwt die het algemene risicoprofiel van het DIB systematisch verhogen. Dienovereenkomstig begrijpt het DoD de last en het buitenproportionele risico dat cybercriminaliteit met zich meebrengt voor hun basis van onderaannemers, waarvan velen kleine bedrijven zijn en niet de middelen hebben van hun grotere, primaire tegenhangers.
Het is tegen deze achtergrond dat het DoD CMMC heeft uitgebracht, om de invoering van beste praktijken in cyberbeveiliging te vergemakkelijken met een “verdediging in de diepte”-strategie voor zijn gehele wereldwijde aannemersbestand.

Wees ervoor: Key CMMC Takeaways

• Geldt voor DoD-hoofdaannemers en onderaannemers
• Geldt voor sommige nieuwe contracten vanaf 2020 en geldt voor alle contracten vanaf 2026
• Het progressieve model omvat oplopende niveaus van cyberbeveiligingsprocessen en -praktijken die resulteren in een certificeringsniveau
• Aannemers moeten beginnen op niveau 1 en zich op elk niveau certificeren helemaal tot het hoogste niveau 5
• Varonis is een krachtig hulpmiddel voor het faciliteren van alle niveaus van CMMC-naleving

Het CMMC Framework en de 5 niveaus

De certificering op basis van het Cybersecurity Maturity Model is gebaseerd op een oplopend niveau van paraatheid, van niveau 1 (laagste) tot niveau 5 (geavanceerd).

Het uiteindelijke doel van CMMC is de bescherming van twee soorten informatie tegen openbaarmaking of ongeoorloofd gebruik:

• Controlled Unclassified Information (CUI): Informatie die beveiligings- of verspreidingscontroles vereist op grond van en in overeenstemming met de toepasselijke wet- en regelgeving en het overheidsbrede beleid, maar die niet is geclassificeerd onder Executive Order 13526 of de gewijzigde Atomic Energy Act.
• Federal Contract Information (FCI): Informatie, niet bedoeld voor openbaarmaking, die wordt verstrekt door of gegenereerd voor de overheid in het kader van een contract voor de ontwikkeling of levering van een product of dienst aan de overheid, maar exclusief informatie die door de overheid aan het publiek wordt verstrekt.

CMMC Certificeringsniveaus (Samenvatting)

Elk niveau heeft een reeks Processen en Praktijken en een kwalificator of “doel” voor elk van die zoals ze betrekking hebben op de toepasselijke Domeinen in dat niveau. Bijvoorbeeld, zoals te zien in de afbeelding hieronder, het bereiken van CMMC niveau 2 betekent dat een organisatie als doel heeft om Processen te hebben die zijn gedocumenteerd en Praktijken die consistent zijn met intermediaire cyber hygiëne.

Kadercomponenten

De CMMC-componenten waar het om gaat zijn:

• Domeinen
• Processen
• Capaciteiten
• Praktijken

Naarmate aannemers beter worden in hun beoordelingen van elk van deze componenten, wordt een algehele certificering op een niveau bereikt.

Federale hoofdaannemers en onderaannemers worden beoordeeld op hun naleving van de processen en praktijken zoals die betrekking hebben op elk van de toepasselijke Domeinen op elk niveau van het model.

NOOT: Niet alle Domeinen omvatten alle vijf niveaus. Domeinen hebben betrekking op minimaal 1 en maximaal 5 niveaus of elk aaneengesloten aantal niveaus daartussen.

Inzicht in CMMC-niveaus & Domeinen

In de onderstaande grafiek zien we, van boven naar beneden kijkend, een lijst met de 17 Domeinen. Van links naar rechts zien we het aantal praktijken voor elk domein en het aantal praktijken in dat domein per niveau (de staafdiagrammen segmenteren per kleur).

Aan de onderkant van de grafiek zien we dat, bijvoorbeeld, niet alle domeinen aanwezig zijn in niveau 1 (L1).

Een prime of subprime overheidsaannemer die de 17 L1-praktijken levert die zijn opgenomen in de 6 domeinen die van toepassing zijn op L1, zou Cybersecurity Maturity Model Certification-niveau 1 moeten ontvangen.

terugkomend op de samenvatting van de niveaus hierboven, oefenen aannemers met CMMC-niveau 1 elementaire cyberhygiëne uit en worden hun processen slechts uitgevoerd. Bedenk dat er geen Procesbeoordeling op niveau 1 is, daarom is ML 1 niet vereist voor de certificering op niveau 1.

Verder door het model, zou een aannemer CMMC-niveau 3 bereiken wanneer ze de 130 L3-praktijken leveren die zijn opgenomen in de 16 domeinen die van toepassing zijn op L3 en een Procesbeoordeling van ML3 verdienen in elk van die domeinen.

OPMERKING: Praktijken zijn cumulatief op elk niveau. Aannemers moeten op elk niveau certificeren om naar het volgende niveau te gaan.

Herhaling van het kader

De CMMC heeft veel onderling verbonden en bewegende delen, dus het kan helpen om de belangrijkste maatregelen samen te vatten en hun relaties te visualiseren, zoals te zien is in de afbeelding hierboven.

• Domeinen: 17
• Capabilities: 43 (Dit zijn verzamelingen van Practices)
• Practices: 171
• Processen: Volwassenheidsniveaus 1 – 5
• Certificeringsniveaus: 5

Processen worden beoordeeld op volwassenheidsniveaus die overeenkomen met het certificeringsniveau. Domeinen zijn samengesteld uit en Praktijken (georganiseerd door Mogelijkheden) en zij omvatten de Processen die daarin worden ondernomen. Certificering voor een niveau vereist beheersing van de Domeinen in dat niveau, inclusief hun Praktijken en Processen.

Hoe CMMC-gecertificeerd te worden

DoD heeft de CMMC Accreditatie-instantie (AB) in het leven geroepen, een onafhankelijke organisatie zonder winstoogmerk om Third Party Assessment Organizations (3PAO’s) te accrediteren, naast individuele beoordelaars. Details over de mechanismen van certificering worden nog verwacht, maar het DoD is van plan een marktplaats op te zetten waar 3PAO’s kunnen worden geëvalueerd en ingehuurd door aannemers die op zoek zijn naar certificering.

Fast-Track CMMC met Varonis

Met CMMC aan de slag gaan lijkt misschien een ontmoedigende taak, en de realiteit is dat certificering gewoon een te groot programma is om te worden afgehandeld door één persoon of misschien zelfs maar één team binnen een organisatie. Desalniettemin zal certificering in de toekomst een niet-onderhandelbare vereiste zijn voor DoD-aannemers, en Varonis kan federale aannemers helpen om meteen aan de slag te gaan.

De beste plaats om te beginnen bij het operationaliseren van CMMC is in Domeinen. Bedenk dat dit “centers of excellence” zijn met taken en management die moeten worden uitgevoerd en voortdurend geoptimaliseerd voor organisaties om hun certificeringsniveaus te bereiken en te verbeteren. Bedenk ook dat het primaire doel van CMMC de bescherming van Controlled Unclassified Information (CUI) en Federal Contract Information (FCI) is.

Het Varonis Data Security Platform kan een groot aantal van de 171 Praktijken en hun gerelateerde Processen binnen de CMMC-lichaam van eisen faciliteren, uitvoeren en automatiseren.

DatAdvantage

Krijg real-time zichtbaarheid en audit trails van bestanden, gevoelige gegevens en servers in de Microsoft- en UNIX/Linux-ecosystemen. Kom snel tot de least privilege met een volledige reeks rapportages om de certificering te versnellen – en bij te houden.

Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine

Geef de kracht van machine learning achter uw CUI- en FCI-processen om datastores on-prem en in de cloud snel te vinden en volledig op te schonen. Varonis heeft een krachtige set producten met ingebouwde classificatiemodellen voor meer dan 60 bestandstypen die federale aannemers helpen hun CMMC op peil te brengen en te houden en tegelijkertijd de bedrijfscontinuïteit en de toegang tot belangrijke gegevens te waarborgen.

DatAlert + Edge

Stop bedreigingen voor CUI en FCI in hun sporen met high-fidelity waarschuwingen voor bestanden, mappen, accounts en domeinen. Gebruik ingebouwde regels of maak aangepaste acties om automatisch toegang te sluiten en blootstelling te verhelpen op elk punt in de kill chain.

Varonis Product Mapping to CMMC Domains

Product map key:

DatAdvantage DatAlert + Edge DataPrivilege DatAnswers

Data Classification Engine + Policy Pack Data Classification Labels Data Transport Engine Automation Engine

Professional Services Incident Response Team

DataPrivilege

Asset Management

Incident Response

Domain	Capabilities	Varonis-product(en)
AC – Toegangscontrole	Toegangsvereisten voor systemen vaststellen Controle interne systeemtoegang Controle externe systeemtoegang Limiteer gegevenstoegang tot geautoriseerde gebruikers en processen	DatAdvantage DataPrivilege
AM – Asset Management
AM – Asset Management	Identificeer en documenteer assets Beheer asset inventory	Data Classification Engine + Policy Pack
AU – Audit &Accountability	Stel auditvereisten vast Voer uit auditing auditinformatie identificeren en beschermen auditlogs bekijken en beheren	DatAdvantage Data Transport Engine
AT – Bewustmaking & Opleiding	Beveiligingsbewustzijnsactiviteiten uitvoeren Opleiding geven	Professionele diensten
CM – Configuratiebeheer	Opstellen van configuratiebasislijnen Verrichten van configuratie- en wijzigingsbeheer	DatAdvantage DatAlert + Edge DataPrivilege Automation Engine
IA – Identificatie & Authenticatie	Toegang verlenen aan geauthenticeerde entiteiten	DatAdvantage DataPrivilege
IR – Incident Response
IA – Identificatie& Authenticatie	Plan incident response Ontdek en rapporteer gebeurtenissen Ontwikkel en implementeer een reactie op een gemeld incident Voer post-incident reviews uit Test incident response	DatAdvantage DatAlert + Edge Incident Response Team
MA – Onderhoud	Beheer onderhoud	DatAlert + Edge
MP – Mediabescherming	Identificeer en markeer media Bescherm en controleer media Sanitizeer media Bescherm media tijdens transport	DatAdvantage DataPrivilege Data Classification Labels
PS – Personnel Security	Screen personnel Bescherm CUI tijdens personeelsacties	DatAdvantage DataPrivilege
PE – Fysieke Bescherming	Limiteer fysieke toegang
RE – Herstel	Beheer back-ups Beheer continuïteit informatiebeveiliging	DatAlert + Edge Data Transport Engine
RM – Risicobeheer	Identificeer en evalueer risico Beheer risico Beheer toeleveringsketen risico	DatAdvantage DatAlert + Edge Automation Engine
CA – Beveiligingsbeoordeling	Ontwikkelen en beheren van een systeembeveiligingsplan Bepalen en beheren van controles Uitvoeren van code reviews	DatAdvantage DatAlert + Edge Professional Services
SA – Situational Awareness	Implementeren van threat monitoring	DatAlert + Edge
SC – System & Communicatiebeveiliging	Beveiligingseisen voor systemen en communicatie Controleer communicatie op systeemgrenzen	DatAdvantage DatAlert + Edge
SI – Systeem & Informatie-integriteit	Identificeer en beheer fouten in informatiesystemen Identificeer schadelijke inhoud Voer netwerk- en systeembewaking uit Implementeer geavanceerde e-mailbeveiliging	DatAdvantage DatAlert + Edge