Departamentul Apărării al Statelor Unite implementează Certificarea modelului de maturitate în materie de securitate cibernetică (CMMC) pentru a normaliza și standardiza pregătirea în materie de securitate cibernetică în cadrul bazei industriale de apărare (DIB) a guvernului federal. Acest articol va acoperi conceptul de model de maturitate în contextul securității cibernetice, reprezentări cheie ale DIB, anatomia nivelurilor CMMC și modul în care Varonis poate accelera certificarea.
- Ce este Certificarea modelului de maturitate în domeniul securității cibernetice (Cybersecurity Maturity Model Certification)?
- Cadrul CMMC și cele 5 niveluri
- Cum să obțineți certificarea CMMC
- Cum să obțineți certificarea CMMC
- Corelarea produselor Varonis cu domeniile CMMC
Ce este un model de maturitate?
Modelurile de maturitate sunt o colecție de cele mai bune practici, al căror grad de aderență face ca organizațiile să progreseze de-a lungul unei scale de la niveluri inferioare de adoptare sau „maturitate” la niveluri superioare de aptitudine și certificare. Certificarea la un model de maturitate înseamnă că o companie sau o organizație s-a angajat să își îmbunătățească procesele și practicile din cadrul domeniilor unui model până la un nivel durabil și măsurat de înaltă performanță.
Certificarea CMMC cu acest ghid gratuit
Ce este certificarea Cybersecurity Maturity Model?
Certificarea modelului de maturitate în materie de securitate cibernetică este un program inițiat de Departamentul Apărării al Statelor Unite (DoD) pentru a măsura capacitățile, gradul de pregătire și sofisticarea contractorilor lor din domeniul apărării în domeniul securității cibernetice. La un nivel înalt, cadrul este o colecție de procese, alte cadre și contribuții din standardele existente în materie de securitate cibernetică, cum ar fi NIST, FAR și DFARS.
La nivel tactic, obiectivul principal al certificării este de a îmbunătăți siguranța și securitatea informațiilor neclasificate controlate (Controlled Unclassified Information – CUI) și a informațiilor contractuale federale (Federal Contract Information – FCI) care se află în posesia și utilizarea contractorilor lor federali. Programul CMMC a fost anunțat la 31 ianuarie 2020.
Când intră în vigoare?
Începând cu septembrie 2020, DoD a început să emită un număr limitat de cereri de informații care conțin specificații CMMC și se preconizează că CMMC va fi o cerință a tuturor noilor cereri de propuneri ale DoD începând cu 2026.
Cui se aplică CMMC?
Certificarea se aplică atât contractorilor „principali” care se angajează direct cu DoD, cât și subcontractorilor care încheie contracte cu principalii pentru a asigura îndeplinirea și executarea acestor contracte. Deși un anumit nivel de certificare va fi o cerință a fiecărui contract începând cu 2026, DoD a indicat că intenționează să emită oportunități de contracte la toate nivelurile modelului de maturitate, ceea ce înseamnă că va exista un anumit număr de cereri emise care vor necesita doar un nivel scăzut de certificare, iar altele care vor necesita niveluri mai ridicate de certificare.
De ce contează CMMC?
Se estimează că criminalitatea cibernetică drenează peste 600 de miliarde de dolari anual din PIB-ul global. Faptul că se bazează pe o rețea vastă de contractori pentru a-și executa misiunea înseamnă că Departamentul Apărării îi încredințează fiecăruia dintre ei date critice care cresc sistematic profilul general de risc al DIB. În consecință, DoD înțelege povara și proporția supradimensionată de risc pe care criminalitatea cibernetică o pune asupra bazei sale de subcontractanți, dintre care mulți sunt întreprinderi mici și nu dispun de resursele omologilor lor mai mari, principali.
În acest context, DoD a publicat CMMC, pentru a facilita adoptarea celor mai bune practici în materie de securitate cibernetică cu o strategie de „apărare în profunzime” în întreaga sa bază globală de contractanți.
Cunoașteți înainte: Key CMMC Takeaways
- Se aplică contractorilor principali și subcontractorilor DoD
- Se aplică la unele contracte noi începând cu 2020 și se aplică la toate contractele începând cu 2026
- Modelul progresiv acoperă niveluri de avansare a proceselor și practicilor de securitate cibernetică, rezultând un nivel de certificare
- Contractorii trebuie să înceapă de la nivelul 1 și să certifice la fiecare nivel până la nivelul superior 5
- Varonis este un instrument puternic pentru facilitarea tuturor nivelurilor de conformitate CMMC
Cadrul CMMC și cele 5 niveluri
Certificarea modelului de maturitate în materie de securitate cibernetică se bazează pe un nivel ascendent de pregătire, de la nivelul 1 (cel mai scăzut) la nivelul 5 (avansat).
Obiectivul final al CMMC este de a asigura protecția a două tipuri de informații împotriva divulgării sau utilizării neautorizate:
- Informații neclasificate controlate (CUI): Informații care necesită controale de salvgardare sau de diseminare în conformitate cu și în concordanță cu legile, regulamentele și politicile aplicabile la nivel guvernamental, dar care nu sunt clasificate în conformitate cu Ordinul executiv 13526 sau cu Legea energiei atomice, cu modificările ulterioare.
- Informații contractuale federale (FCI): Informații, care nu sunt destinate comunicării publice, care sunt furnizate de către sau generate pentru guvern în cadrul unui contract de dezvoltare sau de furnizare a unui produs sau serviciu pentru guvern, dar care nu includ informațiile furnizate de către guvern publicului.
Niveluri de certificare CMMC (rezumat)
Care nivel are un set de procese și practici și un calificativ sau „obiectiv” pentru fiecare dintre acestea în ceea ce privește domeniile aplicabile în acel nivel. De exemplu, după cum se vede în imaginea de mai jos, atingerea nivelului 2 CMMC înseamnă că obiectivul unei organizații este de a avea Procese care sunt documentate și Practici care sunt în concordanță cu igiena cibernetică intermediară.
Componente ale cadrului
Componentele CMMC în joc sunt:
Componentele CMMC în joc sunt:
- Domenii
- Procese
- Capacități
- Practici
Pe măsură ce contractanții avansează în evaluările lor în fiecare dintre aceste componente, se obține certificarea globală la un anumit nivel.
Antreprenorii principali și subcontractanții federali sunt evaluați pentru respectarea proceselor și practicilor în ceea ce privește fiecare dintre domeniile aplicabile la fiecare nivel al modelului.
NOTA: Nu toate domeniile acoperă toate cele cinci niveluri. Domeniile se referă la un minim de 1 și un maxim de 5 niveluri sau la orice număr contiguu de niveluri intermediare.
Înțelegerea nivelurilor CMMC & Domenii
În graficul de mai jos, privind de sus în jos, vedem o listă cu cele 17 Domenii. Privind de la stânga la dreapta, vedem numărul de Practici pentru fiecare Domeniu și numărul de Practici din acel Domeniu în funcție de Nivel (graficul cu bare segmentează prin culoare).
Mutând în josul graficului, putem vedea că, de exemplu, nu toate Domeniile au o prezență în nivelul 1 (L1).
Un contractant guvernamental principal sau secundar care oferă cele 17 Practici L1 cuprinse în cele 6 Domenii aplicabile la L1 ar trebui să primească nivelul 1 de certificare a modelului de maturitate în materie de securitate cibernetică.
Referindu-ne la rezumatul nivelurilor de mai sus, contractanții cu CMMC de nivel 1 practică o igienă cibernetică de bază și procesele lor sunt pur și simplu efectuate. Reamintim că nu există o evaluare a Procesului la nivelul 1, prin urmare ML 1 nu este necesar pentru certificarea de nivel 1.
Avansând mai departe în cadrul modelului, un contractant ar obține nivelul CMMC 3 atunci când furnizează cele 130 de Practici L3 cuprinse în cele 16 Domenii aplicabile la L3 și obține o evaluare a Procesului de ML3 în fiecare dintre aceste Domenii.
NOTA: Practicile sunt cumulative la fiecare Nivel. Antreprenorii trebuie să se certifice la fiecare nivel pentru a trece la nivelul următor.
Recapitulare a Cadrului
Commisionul CMMC are o mulțime de părți interconectate și în mișcare, astfel încât poate fi de ajutor să rezumăm măsurile cheie și să vizualizăm relațiile dintre ele, așa cum se vede în imaginea de mai sus.
- Domenii: 17
- Capacități: 43 (Acestea sunt colecții de Practici)
- Practici: 171
- Procese: Niveluri de maturitate 1 – 5
- Niveluri de certificare: 5
Procesele sunt evaluate pentru nivelurile de maturitate care corespund nivelului de certificare. Domeniile sunt alcătuite din și Practici (organizate în funcție de Capacități) și înglobează Procesele întreprinse în cadrul acestora. Certificarea la un nivel necesită stăpânirea domeniilor din acel nivel, care include practicile și procesele acestora.
Cum să obțineți certificarea CMMC
DoD a creat organismul de acreditare (AB) CMMC, care este o organizație independentă, fără scop lucrativ, pentru a acredita organizațiile de evaluare a părților terțe (3PAO), pe lângă evaluatorii individuali. Urmează să se ofere detalii despre mecanismul de certificare, dar DoD intenționează să stabilească o piață pentru ca 3PAO-urile să fie evaluate și angajate de contractanții care doresc să obțină certificarea.
Fast-Track CMMC cu Varonis
Începerea CMMC poate părea o sarcină descurajantă, iar realitatea este că certificarea este pur și simplu un program prea mare pentru a fi gestionat de o singură persoană sau poate chiar de o singură echipă din cadrul unei organizații. Cu toate acestea, certificarea va fi o cerință nenegociabilă a contractorilor DoD în viitor, iar Varonis poate ajuta contractorii federali să înceapă imediat.
Cel mai bun loc pentru a începe să operaționaliza CMMC este în Domenii. Reamintim că acestea sunt „centre de excelență” cu sarcini și management care trebuie efectuate și optimizate continuu pentru ca organizațiile să atingă și să avanseze nivelurile de certificare. Reamintiți-vă, de asemenea, că obiectivul principal al CMMC este protecția informațiilor neclasificate controlate (Controlled Unclassified Information – CUI) și a informațiilor contractuale federale (Federal Contract Information – FCI).
Platforma de securitate a datelor Varonis poate facilita, executa și automatiza un număr mare de 171 de practici și procesele aferente acestora din cadrul corpului de cerințe CMMC.
DatAdvantage
Obțineți vizibilitate în timp real și trasee de audit ale fișierelor, datelor sensibile și serverelor din ecosistemele Microsoft și UNIX/Linux. Ajungeți rapid la cel mai mic privilegiu cu o suită completă de rapoarte pentru a accelera – și a ține pasul – cu certificarea.
Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine
Puneți puterea învățării automate în spatele proceselor CUI și FCI pentru a găsi rapid și a curăța complet stocurile de date pe site și în cloud. Varonis are un set puternic de produse cu modele de clasificare încorporate pentru peste 60 de tipuri de fișiere, care ajută contractorii federali să își niveleze și să își mențină CMMC, asigurând în același timp continuitatea afacerii și accesul la datele importante.
DatAlert + Edge
Stopați în fașă amenințările la adresa CUI și FCI cu alerte de înaltă fidelitate asupra fișierelor, folderelor, conturilor și domeniilor. Folosiți regulile încorporate sau creați acțiuni personalizate pentru a închide automat accesul și a remedia expunerea în orice punct din lanțul de distrugere.
Varonis Product Mapping to CMMC Domains
Cheie de hartă a produselor:
. |
. |
|
.
| Domeniu | Capacități | Produs(e) Varonis | |
| AC – Control acces |
|
DatAdvantage
DataPrivilege |
|
| AM – Asset Management |
|
Data Classification Engine + Policy Pack | |
| AU – Audit & Accountability |
|
DatAdvantage
Data Transport Engine |
|
| AT – Conștientizare & Instruire |
. |
Servicii profesionale | |
| CM – Managementul configurației |
|
DatAdvantage
DatAlert + Edge DataPrivilege Automation Engine |
|
| IA – Identificare & Autentificare |
|
DatAdvantage
DataPrivilege |
|
| IR – Răspuns la incidente |
|
DatAdvantage
DatAlert + Edge Echipa de răspuns la incidente |
|
| MA – Mentenanță |
|
DatAlert + Edge | |
| MP – Media Protection |
|
DatAdvantage
DataPrivilege Etichete de clasificare a datelor |
|
| PS – Securitatea personalului |
. |
DatAdvantage
DataPrivilege |
|
| PE – Fizic Protection |
|
||
| RE – Recovery |
|
DatAlert + Edge
|
Data Transport Engine |
| RM – Risk Management |
|
DatAdvantage
DatAlert + Edge Motor de automatizare |
|
| CA – Evaluarea securității |
. |
DatAdvantage
DatAlert + Edge Servicii profesionale |
|
| SA – Situational Awareness |
|
DatAlert + Edge | |
| SC – Sistem &. Protecția comunicațiilor |
|
DatAdvantage
DatAlert + Edge |
|
| SI – Sistem & Integritatea informațiilor |
|
DatAdvantage
DatAlert + Edge |
.