Cybersecurity Maturity Model Certification (CMMC): Det du behöver veta

av

Det amerikanska försvarsdepartementet inför Cybersecurity Maturity Model Certification (CMMC) för att normalisera och standardisera beredskapen för cybersäkerhet inom den federala regeringens försvarsindustriella bas (DIB). Den här artikeln kommer att behandla begreppet mognadsmodell i samband med cybersäkerhet, viktiga beskrivningar av DIB, CMMC-nivåernas anatomi och hur Varonis kan påskynda certifieringen.

  • Vad är Cybersecurity Maturity Model Certification?
  • M CMMC-ramverket och 5 nivåer
  • Hur man blir CMMC-certifierad
  • Varonis produktmappning till CMMC-domäner

Vad är en mognadsmodell?

Mognadsmodeller är en samling av bästa praxis, vars efterlevnad leder till att organisationer utvecklas längs en skala från lägre nivåer av antagande eller ”mognad” till högre nivåer av lämplighet och certifiering. Certifiering av en mognadsmodell innebär att ett företag eller en organisation har åtagit sig att förbättra sina processer och metoder inom en modells domäner till en hållbar, mätt nivå av hög prestanda.

Fast Track CMMC med den här kostnadsfria guiden

Vad är Cybersecurity Maturity Model Certification?

Cybersecurity Maturity Model Certification är ett program som initierats av det amerikanska försvarsdepartementet (DoD) för att mäta sina försvarsleverantörers kapacitet, beredskap och sofistikering inom området cybersäkerhet. På en hög nivå är ramverket en samling processer, andra ramverk och insatser från befintliga cybersäkerhetsstandarder som NIST, FAR och DFARS.

På en taktisk nivå är det primära målet med certifieringen att förbättra säkerheten för Controlled Unclassified Information (CUI) och Federal Contract Information (FCI) som innehas och används av deras federala entreprenörer. CMMC-programmet tillkännagavs den 31 januari 2020.

När det träder i kraft?

Från och med september 2020 började DoD utfärda ett begränsat antal förfrågningar om information som innehåller CMMC-specifikationer, och det förväntas att CMMC kommer att vara ett krav för alla nya DoD-förfrågningar om förslag från och med 2026.

Vem gäller CMMC?

Certifieringen gäller både för huvudentreprenörer som arbetar direkt med DoD och för underentreprenörer som ingår avtal med huvudentreprenörer för att uppfylla och genomföra dessa avtal. Även om en viss nivå av certifiering kommer att vara ett krav för varje kontrakt från och med 2026, har DoD angett att de har för avsikt att utfärda kontraktsmöjligheter på alla nivåer i mognadsmodellen, vilket innebär att det kommer att utfärdas ett visst antal förfrågningar som endast kräver en låg nivå av certifiering och andra som kräver högre nivåer av certifiering.

Varför är CMMC viktigt?

Detaljbeskrivning av viktig statistik: 600 miljarder dollar per år för cyberbrottslighet, 402 miljarder dollar per år för DoD:s kontraktsvärde, 300 000 företag i DIB, 54 procent av budgeten går till småföretag

Det uppskattas att cyberbrottslighet årligen drar över 600 miljarder dollar från den globala BNP. Att förlita sig på det stora nätverket av entreprenörer för att utföra sitt uppdrag innebär att försvarsdepartementet anförtror var och en av dem kritiska uppgifter som systematiskt ökar DIB:s övergripande riskprofil. DoD förstår därför den börda och den överdimensionerade risk som cyberbrottslighet innebär för deras bas av underleverantörer, av vilka många är små företag och saknar de resurser som deras större, primära motsvarigheter har.
Det är mot denna bakgrund som DoD har släppt CMMC, för att underlätta antagandet av bästa praxis inom cybersäkerhet med en ”försvar på djupet”-strategi i hela sin globala entreprenörsbas.

Vissa innan: Viktiga CMMC-kunskaper

  • Gäller DoD:s huvudentreprenörer och underentreprenörer
  • Gäller vissa nya kontrakt från och med 2020 och gäller alla kontrakt från och med 2026
  • Den progressiva modellen omfattar stigande nivåer av cybersäkerhetsprocesser och -rutiner som resulterar i en certifieringsnivå
  • Avtalsparter måste börja på nivå 1 och certifiera sig på varje nivå. hela vägen till den högsta nivån 5
  • Varonis är ett kraftfullt verktyg för att underlätta alla nivåer av CMMC-överensstämmelse

The CMMC Framework and 5 Levels

CMMC-illustration av en tabell som visar nivåkraven

Cybersecurity Maturity Model Certification bygger på en stigande nivå av beredskap från nivå 1 (lägsta) till nivå 5 (avancerad).

Det yttersta målet för CMMC är att säkerställa skyddet av två typer av information från avslöjande eller obehörig användning:

  • Controlled Unclassified Information (CUI): Information som kräver skydd eller spridningskontroller i enlighet med och i överensstämmelse med tillämpliga lagar, förordningar och policyer för hela regeringen, men som inte är sekretessbelagd enligt Executive Order 13526 eller Atomic Energy Act, i dess ändrade lydelse.
  • Federal Contract Information (FCI): Information som är skyddad och inte sekretessbelagd enligt Executive Order 13526 eller Atomic Energy Act, i dess ändrade lydelse: Information som inte är avsedd att offentliggöras och som tillhandahålls av eller genereras för staten inom ramen för ett kontrakt för att utveckla eller leverera en produkt eller tjänst till staten, men som inte omfattar information som tillhandahålls av staten till allmänheten.

CMMC-certifieringsnivåer (sammanfattning)

Varje nivå har en uppsättning processer och rutiner och en kvalifikation eller ett ”mål” för var och en av dessa i förhållande till de tillämpliga områdena på den nivån. Till exempel, som framgår av bilden nedan, innebär att uppnå CMMC-nivå 2 att organisationens mål är att ha processer som är dokumenterade och rutiner som är förenliga med en medelhög cyberhygien.

CMMC-illustration av ramverket

Ramverkskomponenter

De CMMC-komponenter som spelar in är:

  • Domäner
  • Processer
  • Förmågor
  • Färdigheter
  • Praktiker

När entreprenörerna avancerar i sina bedömningar i var och en av dessa komponenter uppnås en övergripande certifiering till en nivå.

Federala huvudentreprenörer och underentreprenörer bedöms för sin efterlevnad av processerna och metoderna i förhållande till vart och ett av de tillämpliga områdena på varje nivå i modellen.

OBS: Inte alla områden omfattar alla fem nivåer. Domäner avser minst 1 och högst 5 nivåer eller ett sammanhängande antal nivåer däremellan.

Förståelse av CMMC-nivåer &Domäner

I diagrammet nedan ser vi en lista över de 17 domänerna från toppen till botten. Från vänster till höger ser vi antalet metoder för varje område och antalet metoder inom det området per nivå (stapeldiagrammet är indelat efter färg).

Om vi rör oss nedåt i diagrammet kan vi se att till exempel inte alla områden har en närvaro på nivå 1 (L1).

En huvudentreprenör eller subprime-entreprenör som levererar de 17 L1-praktiker som ingår i de 6 domäner som är tillämpliga på L1 bör få Cybersecurity Maturity Model Certification nivå 1.

Om vi återknyter till sammanfattningen av nivåerna ovan, praktiserar entreprenörer med CMMC-nivå 1 en grundläggande cyberhygien och deras processer är bara utförda. Kom ihåg att det inte finns någon processbedömning på nivå 1, därför krävs inte ML 1 för certifiering på nivå 1.

Om man går vidare i modellen skulle en entreprenör uppnå CMMC-nivå 3 när han eller hon levererar de 130 L3-praktiker som ingår i de 16 domäner som är tillämpliga på L3 och får en processbedömning på ML3 i var och en av dessa domäner.

NOTAT: Praktiker är kumulativa på varje nivå. Entreprenörer måste certifiera sig på varje nivå för att kunna gå vidare till nästa nivå.

CMMC-illustration av de mest riskfyllda branscherna

Redogörelse av ramverket

CMMC har många sammankopplade och rörliga delar, så det kan vara till hjälp att sammanfatta nyckelmåtten och visualisera deras relationer, vilket framgår av bilden ovan.

  • Domäner: 17
  • Funktioner: 43 (Dessa är samlingar av metoder)
  • Metoder: 171
  • Processer: Maturitetsnivåer 1 – 5
  • Certifieringsnivåer: 5

Processer bedöms för mognadsnivåer som motsvarar certifieringsnivån. Domäner består av och metoder (organiserade efter förmågor) och omfattar de processer som genomförs inom dessa. Certifiering för en nivå kräver att man behärskar domänerna i den nivån, vilket inkluderar deras praxis och processer.

Hur man blir CMMC-certifierad

DoD har skapat CMMC Accreditation Body (AB) som är en ideell, oberoende organisation för att ackreditera tredjepartsbedömningsorganisationer (3PAOs) utöver enskilda bedömare. Detaljer om hur certifieringen ska gå till, men DoD planerar att skapa en marknadsplats för 3PAOs som ska utvärderas och anlitas av entreprenörer som vill bli certifierade.

Fast-Track CMMC med Varonis

Att komma igång med CMMC kan tyckas vara en skrämmande uppgift, och verkligheten är att certifiering helt enkelt är ett för stort program för att kunna hanteras av en person eller kanske till och med av ett team inom en organisation. Icke desto mindre kommer certifiering att vara ett icke förhandlingsbart krav för DoD-entreprenörer framöver, och Varonis kan hjälpa federala entreprenörer att komma igång direkt.

Det bästa stället att börja när man börjar operationalisera CMMC är i domäner. Kom ihåg att dessa är ”kompetenscentra” med uppgifter och hantering som måste utföras och kontinuerligt optimeras för att organisationer ska kunna uppnå och höja sina certifieringsnivåer. Kom också ihåg att det primära målet för CMMC är att skydda Controlled Unclassified Information (CUI) och Federal Contract Information (FCI).

Varonis Data Security Platform kan underlätta, utföra och automatisera ett stort antal av de 171 metoderna och deras relaterade processer inom CMMC-kraven.

DatAdvantage

Få synlighet och verifieringsspår i realtid av filer, känsliga data och servrar i hela Microsoft- och UNIX/Linux-ekosystemen. Få till minsta privilegium snabbt med en komplett uppsättning rapporter för att påskynda – och hålla sig uppdaterad – certifiering.

Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine

Sätt kraften i maskininlärning bakom dina CUI- och FCI-processer för att snabbt hitta och helt städa upp datalager on-prem och i molnet. Varonis har en kraftfull uppsättning produkter med inbyggda klassificeringsmodeller för över 60 filtyper som hjälper federala entreprenörer att nivellera upp och underhålla sin CMMC samtidigt som de säkerställer affärskontinuitet och tillgång till viktiga data.

DatAlert + Edge

Stoppa hoten mot CUI och FCI med högkvalitativ varning för filer, mappar, konton och domäner. Använd inbyggda regler eller skapa egna åtgärder för att automatiskt stänga av åtkomst och åtgärda exponering vid vilken punkt som helst i kill chain.

Varonis Product Mapping to CMMC Domains

Nyckel för produktmappning:

  • DatAdvantage
  • DatAlert + Edge
  • DataPrivilege
  • DatAnswers
  • Data Classification Engine + Policy Pack
  • Data Classification Labels
  • Data Transport Engine
  • Automation Engine
  • Professionella tjänster
  • Incident Response Team
Domän Funktioner Varonis produkt(er)
AC – Åtkomstkontroll
  • Utforma krav på systemåtkomst
  • Kontrollera intern systemåtkomst
  • Kontrollera fjärrsystemåtkomst
  • Begränsar dataåtkomst till auktoriserade användare och processer
 DatAdvantage

DataPrivilege
AM – Systemåtkomst för att hantera data. Asset Management
  • Identifiera och dokumentera tillgångar
  • Hantera inventering av tillgångar
 Data Classification Engine + Policy Pack
AU – Audit & Accountability
  • Definiera revisionskrav
  • Uppföra revision
  • Identifiera och skydda revisionsinformation
  • Se och hantera revisionsloggar
 DatAdvantage

Data Transport Engine
AT – Medvetenhet & Utbildning
  • Uppför aktiviteter för att öka medvetenheten om säkerheten
  • Göra utbildning
 Proffessionella tjänster
CM – Konfigurationshantering
  • Utforma baslinjer för konfigurationen
  • Göra konfigurations- och ändringshantering
 DatAdvantage

DatAlert + Edge

DataPrivilege

Automation Engine
IA – Identifiering & Autentisering
  • Ge tillgång till autentiserade enheter
 DatAdvantage

DataPrivilege
IR – Incident Response
  • Planera incidentrespons
  • Detektera och rapportera händelser
  • Utveckla och genomföra en respons på en deklarerad incident
  • Upprätta granskningar efter incidenten
  • Testa incidentresponsen
 DatAdvantage

DatAlert + Edge

Incident Response Team
MA – Underhåll
  • Hantera underhåll
 DatAlert + Edge
MP – Skydd av media
  • Identifiera och märka media
  • Beskydda och kontrollera medier
  • Sanitisera medier
  • Skydda medier under transport
 DatAdvantage

DataPrivilege

Dataklassificeringsetiketter
PS – Personalsäkerhet
  • Skydda personal
  • Skydda CUI vid personalåtgärder
 DatAdvantage

DataPrivilege
PE – Fysisk säkerhet Protection
  • Begränsar fysisk åtkomst
RE – Recovery
  • Hantera säkerhetskopior
  • Hantera kontinuitet i informationssäkerheten
 DatAlert + Edge

Data Transport Engine
RM – Riskhantering
  • Identifiera och utvärdera risker
  • Hantera risker
  • Hantera försörjningskedjan.
DatAdvantage

DatAlert + Edge

Automation Engine
CA – Säkerhetsbedömning
  • Utarbeta och förvalta en plan för systemsäkerhet
  • Utforma och förvalta kontroller
  • Utföra kodgranskningar
 DatAdvantage

DatAlert + Edge

Professionella tjänster
SA – Situationsmedvetenhet
  • Inför övervakning av hot
 DatAlert + Edge
SC – System & Kommunikationsskydd
  • För att fastställa säkerhetskrav för system och kommunikation
  • Kontrollera kommunikation vid systemgränser
 DatAdvantage

DatAlert + Edge
SI – System & Informationsintegritet
  • Identifiera och hantera brister i informationssystem
  • Identifiera skadligt innehåll
  • Upprätta nätverks- och systemövervakning
  • Installera avancerat e-postskydd
 DatAdvantage

DatAlert + Edge

Lämna en kommentar