Departament Obrony Stanów Zjednoczonych wdraża Cybersecurity Maturity Model Certification (CMMC) w celu normalizacji i standaryzacji gotowości w zakresie cyberbezpieczeństwa w całej bazie przemysłu obronnego rządu federalnego (DIB). W tej części omówiona zostanie koncepcja modelu dojrzałości w kontekście cyberbezpieczeństwa, kluczowe obrazy DIB, anatomia poziomów CMMC oraz sposób, w jaki Varonis może przyspieszyć proces certyfikacji.
- Co to jest Cybersecurity Maturity Model Certification?
- Ramy CMMC i 5 poziomów
- Jak uzyskać certyfikat CMMC
- Mapowanie produktów Varonis do domen CMMC
Co to jest model dojrzałości?
Modele dojrzałości są zbiorem najlepszych praktyk, których przestrzeganie powoduje postęp organizacji wzdłuż skali od niższych poziomów przyjęcia lub „dojrzałości” do wyższych poziomów umiejętności i certyfikacji. Certyfikacja modelu dojrzałości oznacza, że firma lub organizacja zobowiązała się do poprawy swoich procesów i praktyk w domenach modelu do trwałego, mierzalnego poziomu wysokiej wydajności.
Szybka ścieżka CMMC z tym darmowym przewodnikiem
Co to jest certyfikacja Cybersecurity Maturity Model?
Cybersecurity Maturity Model Certification to program zainicjowany przez Departament Obrony Stanów Zjednoczonych (DoD) w celu zmierzenia możliwości, gotowości i zaawansowania wykonawców usług obronnych w obszarze cyberbezpieczeństwa. Na wysokim poziomie, ramy są zbiorem procesów, innych ram i danych wejściowych z istniejących standardów cyberbezpieczeństwa, takich jak NIST, FAR i DFARS.
Na poziomie taktycznym, głównym celem certyfikacji jest poprawa pewności i bezpieczeństwa Kontrolowanych Informacji Niejawnych (CUI) i Federalnych Informacji Kontraktowych (FCI), które są w posiadaniu i użytkowaniu kontrahentów federalnych. Program CMMC został ogłoszony 31 stycznia 2020 r.
Kiedy zacznie obowiązywać?
Od września 2020 r., DoD zaczęło wydawać ograniczoną liczbę wniosków o informacje, które zawierają specyfikacje CMMC, i oczekuje się, że CMMC będzie wymogiem wszystkich nowych wniosków DoD o wnioski począwszy od 2026 r.
Do kogo stosuje się CMMC?
Certyfikacja ma zastosowanie zarówno do głównych wykonawców, którzy angażują się bezpośrednio z DoD, jak i do podwykonawców, którzy zawierają umowy z głównymi wykonawcami w celu zapewnienia realizacji i wykonania tych umów. Chociaż pewien poziom certyfikacji będzie wymagany w każdej umowie począwszy od 2026 r., DoD wskazało, że zamierza wydawać zamówienia na wszystkich poziomach modelu dojrzałości, co oznacza, że będzie pewna liczba wniosków, które będą wymagały tylko niskiego poziomu certyfikacji, a niektóre będą wymagały wyższego poziomu certyfikacji.
Dlaczego CMMC ma znaczenie?
Oszacowano, że cyberprzestępczość drenuje ponad 600 miliardów dolarów rocznie z globalnego PKB. Poleganie na rozległej sieci wykonawców w celu realizacji swojej misji oznacza, że Departament Obrony powierza każdemu z nich krytyczne dane, które systematycznie zwiększają ogólny profil ryzyka DIB. W związku z tym DoD zdaje sobie sprawę z obciążenia i ogromnej części ryzyka, jakie cyberprzestępczość nakłada na ich bazę podwykonawców, z których wielu jest małymi firmami i nie posiada takich zasobów, jak ich więksi, główni kontrahenci.
To właśnie na tym tle DoD wydało CMMC, aby ułatwić przyjęcie najlepszych praktyk w zakresie bezpieczeństwa cybernetycznego ze strategią „obrony w głąb” w całej swojej globalnej bazie wykonawców.
Know Before: Key CMMC Takeaways
- Odnosi się do głównych wykonawców i podwykonawców DoD
- Odnosi się do niektórych nowych kontraktów rozpoczynających się w 2020 roku i odnosi się do wszystkich kontraktów rozpoczynających się w 2026 roku
- Model progresywny obejmuje coraz wyższe poziomy procesów i praktyk w zakresie bezpieczeństwa cybernetycznego, których wynikiem jest poziom certyfikacji
- Kontrahenci muszą rozpocząć od poziomu 1 i certyfikować się na każdym poziomie aż do najwyższego poziomu 5
- Varonis jest potężnym narzędziem ułatwiającym osiągnięcie wszystkich poziomów zgodności z CMMC
Ramy CMMC i 5 poziomów
Certyfikacja Cybersecurity Maturity Model opiera się na wzrastającym poziomie gotowości od poziomu 1 (najniższy) do poziomu 5 (zaawansowany).
Najważniejszym celem CMMC jest zapewnienie ochrony dwóch rodzajów informacji przed ujawnieniem lub nieuprawnionym użyciem:
- Controlled Unclassified Information (CUI): Informacje, które wymagają zabezpieczenia lub kontroli rozpowszechniania na mocy i zgodnie z obowiązującym prawem, przepisami i ogólnorządowymi politykami, ale nie są sklasyfikowane na mocy Rozporządzenia wykonawczego 13526 lub Ustawy o energii atomowej, z późniejszymi zmianami.
- Informacje o kontraktach federalnych (FCI): Informacje, nieprzeznaczone do publicznego ujawnienia, które są dostarczane lub generowane dla rządu w ramach umowy o opracowanie lub dostarczenie produktu lub usługi dla rządu, ale nie obejmują informacji dostarczanych przez rząd do wiadomości publicznej.
Poziomy certyfikacji CMMC (podsumowanie)
Każdy poziom posiada zestaw Procesów i Praktyk oraz kwalifikator lub „cel” dla każdego z nich w odniesieniu do odpowiednich Dziedzin na tym poziomie. Na przykład, jak widać na poniższym obrazku, osiągnięcie poziomu 2 CMMC oznacza, że celem organizacji jest posiadanie Procesów, które są udokumentowane i Praktyk, które są zgodne ze średnio zaawansowaną higieną cybernetyczną.
Komponenty ram
Komponenty CMMC w grze to:
- Domeny
- Procesy
- Kompetencje
- Praktyki
Wraz z postępem wykonawców w ich ocenach w każdym z tych komponentów, osiągana jest ogólna certyfikacja na poziomie.
Federalni główni wykonawcy i podwykonawcy są oceniani za przestrzeganie Procesów i Praktyk, które odnoszą się do każdej z odpowiednich Dziedzin na każdym poziomie modelu.
UWAGA: Nie wszystkie Dziedziny obejmują wszystkie pięć poziomów. Domeny odnoszą się do minimum 1 i maksimum 5 poziomów lub dowolnej liczby poziomów pomiędzy nimi.
Zrozumienie Poziomów CMMC &Domeny
Na poniższym wykresie, patrząc od góry do dołu, widzimy listę 17 Domen. Patrząc od lewej do prawej, widzimy liczbę praktyk w każdej domenie oraz liczbę praktyk w danej domenie według poziomu (wykres słupkowy podzielony jest kolorami).
Przesuwając się w dół wykresu, można zauważyć, że na przykład, nie wszystkie domeny są obecne na poziomie 1 (L1).
Wykonawca rządowy typu prime lub subprime, który realizuje 17 praktyk L1 zawartych w 6 domenach mających zastosowanie do L1, powinien otrzymać certyfikat Cybersecurity Maturity Model Certification na poziomie 1.
Wracając do powyższego podsumowania poziomów, wykonawcy z CMMC na poziomie 1 praktykują podstawową higienę cybernetyczną, a ich procesy są po prostu wykonywane. Przypomnijmy, że na poziomie 1 nie przeprowadza się oceny procesów, a zatem ML 1 nie jest wymagany do uzyskania certyfikatu na poziomie 1.
Podążając dalej w modelu, wykonawca osiągnie poziom 3 CMMC, gdy zrealizuje 130 praktyk L3 zawartych w 16 domenach mających zastosowanie do L3 i uzyska ocenę procesu ML3 w każdej z tych domen.
UWAGA: Praktyki kumulują się na każdym poziomie. Wykonawcy muszą uzyskać certyfikat na każdym poziomie, aby przejść na kolejny poziom.
Podsumowanie ram
CMMC ma wiele wzajemnie powiązanych i ruchomych części, dlatego pomocne może być podsumowanie kluczowych miar i wizualizacja ich relacji, jak widać na powyższym obrazku.
- Domeny: 17
- Capabilities: 43 (Są to zbiory Praktyk)
- Praktyki: 171
- Procesy: Poziomy dojrzałości 1 – 5
- Poziomy certyfikacji: 5
Procesy są oceniane pod kątem poziomów dojrzałości odpowiadających poziomowi certyfikacji. Domeny składają się z i Praktyk (zorganizowanych według Zdolności) i obejmują Procesy w nich realizowane. Certyfikacja na dany poziom wymaga opanowania Domeny na tym poziomie, co obejmuje ich Praktyki i Procesy.
Jak uzyskać certyfikat CMMC
DoD utworzył Organ Akredytacyjny CMMC (AB), który jest niezależną organizacją non-profit, mającą na celu akredytację Organizacji Oceniających Stron Trzecich (3PAO) oprócz indywidualnych asesorów. Szczegóły dotyczące mechaniki certyfikacji są dopiero opracowywane, ale DoD planuje stworzyć rynek dla organizacji 3PAO, które będą oceniane i zatrudniane przez wykonawców ubiegających się o certyfikację.
Przyspiesz CMMC z Varonis
Zaczęcie pracy z CMMC może wydawać się trudnym zadaniem, a rzeczywistość jest taka, że certyfikacja jest po prostu zbyt dużym programem, aby mogła się nim zająć jedna osoba lub nawet jeden zespół w organizacji. Niemniej jednak, certyfikacja będzie nienegocjowalnym wymogiem wykonawców DoD idących naprzód, a Varonis może pomóc wykonawcom federalnym w rozpoczęciu od razu.
Najlepszym miejscem do rozpoczęcia, gdy zaczyna się operacjonalizować CMMC są Domeny. Przypomnijmy, że są to „centra doskonałości” z zadaniami i zarządzaniem, które muszą być wykonywane i stale optymalizowane, aby organizacje mogły osiągać i rozwijać swoje poziomy certyfikacji. Przypomnijmy również, że głównym celem CMMC jest ochrona informacji niejawnych (Controlled Unclassified Information, CUI) oraz informacji zawartych w umowach federalnych (Federal Contract Information, FCI).
Platforma Bezpieczeństwa Danych Varonis może ułatwić, wykonać i zautomatyzować wiele z 171 Praktyk i powiązanych z nimi Procesów w ramach zbioru wymagań CMMC.
DatAdvantage
Uzyskaj widoczność w czasie rzeczywistym i ścieżki audytu plików, danych wrażliwych i serwerów w ekosystemach Microsoft i UNIX/Linux. Szybko dotrzyj do najmniejszych przywilejów dzięki pełnemu pakietowi raportowania, aby przyspieszyć – i utrzymać – certyfikację.
Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine
Umieść moc uczenia maszynowego za swoimi procesami CUI i FCI, aby szybko znaleźć i całkowicie oczyścić magazyny danych on-prem i w chmurze. Varonis posiada potężny zestaw produktów z wbudowanymi modelami klasyfikacji dla ponad 60 typów plików, które pomagają wykonawcom federalnym w wyrównaniu i utrzymaniu ich CMMC przy jednoczesnym zapewnieniu ciągłości biznesowej i dostępu do ważnych danych.
DatAlert + Edge
Zatrzymaj zagrożenia dla CUI i FCI na ich drodze dzięki alertom o wysokiej wierności na plikach, folderach, kontach i domenach. Użyj wbudowanych reguł lub utwórz własne działania, aby automatycznie zamknąć dostęp i naprawić narażenie w dowolnym punkcie łańcucha zabójstw.
Mapowanie produktów Varonis do domen CMMC
Klucz mapy produktów:
. |
. |
|
.
| Domena | Zdolności | Produkt(y)Varonis | |
| AC – Kontrola dostępu |
|
Data Classification Engine + Policy Pack | |
| AU – Audit & Accountability |
|
DatAdvantage
Data Transport Engine |
|
| AT – Awareness & Training |
. |
Usługi profesjonalne | |
| CM – Configuration Management |
|
DatAdvantage
DatAlert. + Edge DataPrivilege Automation Engine |
|
| IA – Identyfikacja &Uwierzytelnianie |
|
DatAdvantage
DataPrivilege |
|
| IR – ang. Incident Response |
|
DatAdvantage
DatAlert. + Edge Zespół reagowania na incydenty |
|
| MA – Konserwacja |
|
DatAlert + Edge | |
| MP – Media Protection |
|
DatAdvantage
DataPrivilege Data Classification Labels |
|
| PS – Personnel Security |
|
DatAdvantage
DataPrivilege |
|
| PE – Ochrona fizyczna Protection |
|
||
| RE – Recovery |
|
DatAlert + Edge
|
Data Transport Engine |
| RM – Risk Management |
|
DatAdvantage
DatAlert + Edge Automation Engine |
|
| CA – Security Assessment |
. |
DatAdvantage
DatAlert + Edge Professional Services |
|
| SA – Situational Awareness |
|
DatAlert + Edge | |
| SC – System & Ochrona komunikacji |
|
DatAdvantage
DatAlert + Edge |
|
| SI – System & Integralność informacji |
|
DatAdvantage
DatAlert + Edge |
.