网络安全成熟度模型认证(CMMC)

您需要成功的CMMC知识

什么是网络安全成熟度模型认证(CMMC)?

网络安全成熟度模型认证(CMMC)1.02版,最终确定于2020年1月,是美国国防部(国防部)新信息安全框架和审计计划。 CMMC旨在通过确保承包商和分包商可以充分保护控制的未分类信息(CUI)来改善国防工业基地(DIB)内的网络安全。

回到2016年10月,国防部指定的要求保护涵盖的国防信息(CDI)和报告其国防联邦收购监管补充剂(DFARS)252.204-7012的网络事件。 DFARS规定,国防部供应商实施与国家标准和技术研究所(NIST)特别出版物(SP)一致的安全控制权800-171。这项监管依赖于供应商自我证明的安全控制状态,并遵守NIST SP 800-171。

相比之下,CMMC采用审核,“trust but verify”遵守方法。对适当的CMMC级别的认证将是在2020年在2020年的选择合同开始的“Go / No-Go”要求,所有国防部授权CMMC认证到2026年。

在CMMC中挣扎着所有新术语?了解所有关键的CMMC术语& Acronyms here.

为什么CMMC重要?

CMMC.严重重要,因为保持CUI,CDI和FCI(联邦合同信息)安全对美国国家安全和美国经济至关重要。目前的自我证明方法已经证明无效,如多个高调违规关键国防部数据。

估计敏感的防御相关数据的灭绝估计美国经济每年6000亿美元,并有明显地缩小了美国武装部队技术优势的对手。决定国防部消除此数据泄漏。

CMMC.表示更高,更严格的保证级别,不仅强调符合性,还要强调数据安全性,并确保了更加一致的实施和执行控制。 CMMC将使对手违反DIB承包商的对手更加困难,包括子层供应商。这还包括保证政府和您的投资者您的组织都配备了识别和分类网络事件。

CMMC.如何与今天的要求不同?

CMMC.将显着影响国防部的收购流程和供应商的网络安全姿势。最重要的是:

  • 为实现五个CMMC级别中的任何一个认证,组织必须通过认可的C3PAO(认证第三方评估员组织)进行第三方评估。
  • CMMC.认证至少1级将是国防部合同奖励/参与的强制性。如果您有联邦合同信息(FCI),则必须实现1级。
  • 主要承包商及其分包商所需的CMMC认证水平将在DOD RFIS和RFPS中指定。
  • 供应商需要每三年重新认证。此外,CMMC将继续响应威胁景观而发展。
  • CMMC.甚至比NIST 800-171更全面。它定义了其他控件,并更强调管理环境的过程的操作(例如,策略,程序,文档)。
  • 与目前的“一种尺寸适合所有”自我证明,对NIST 800-171,CMMC定义了五个级别的要求,从“基本网络卫生”(1级)到“高级”(等级5)。第3级,“良好的网络卫生”只是NIST 800-171合规上面的一个档次。

对于最新的最新和完整的信息,请听取CMMC上的播客剧集虚拟CISO播客

CMMC.网络安全成熟度模型认证播客剧集

网络安全成熟模型认证(CMMC)水平,域,实践的摘要&流程(成熟程度)

CMMC.水平:

直接在Dod RFI上引用’s and RFP’S,这些层指定了每个域名的实践和流程数量,该公司需要认证,以便赢得RFI / RFP。级别概述:

  • 1级:意味着确保公司可以保护联邦合同信息(FCI)
  • 2级:这是一个临时级别,意味着“transaction step”从1级到3级
  • 3级:意味着确保公司可以保护受控的未分类信息(CUI)
  • 4-5级:意味着确保公司可以保护受控的未分类信息(CUI)和高级持久威胁(APTS)

网络安全成熟度模型认证CMMC网络卫生认证水平

CMMC.域:

CMMC.域是一系列实践。 CMMC具有17个总域,每个域都有自己的一组功能。

领域
能力
访问控制(AC) ·建立系统访问要求
·控制内部系统访问
·控制远程系统访问
·将数据访问限制为授权用户和进程
资产管理(AM) ·识别和文件资产
审计和问责制(AU) ·定义审计要求
·执行审计
·识别和保护审计信息
·查看和管理审计日志
意识和培训(AT) ·进行安全意识活动
·进行培训
配置管理(cm) ·建立配置基线
·执行配置和更改管理
识别和认证(IA) ·授予对经过身份验证实体的访问权限
事件响应(IR) ·计划入射响应
·检测和报告事件
·制定并实施对宣布事件的回应
·执行岗后的评论
·测试事件响应
维护(MA) ·管理维护
媒体保护(MP) ·识别和标记媒体
·保护和控制媒体
·消毒媒体
·在运输过程中保护媒体
个人安全 ·屏幕人员
·在人事行动期间保护CUI
物理保护(PE) ·限制物理访问
恢复(重新) ·管理备份
风险管理(RM) ·确定和评估风险
·管理风险
安全评估(CA) ·开发和管理系统安全计划
·定义和管理控件
·执行代码评论
情境意识(SA) ·实施威胁监控
系统和通信保护(SC) ·定义系统和通信的安全要求
·控制系统边界的通信
系统和信息完整性(SI) ·确定和管理信息系统缺陷
·确定恶意内容
·执行网络和系统监控
·实施高级电子邮件保护

 

CMMC.实践:

CMMC.实践是大多数信息安全标准呼叫“controls”。它们是您需要到位获得认证的具体措施。这些示例是多因素认证(MFA),CUI的端到端加密,实现了通过警报的日志记录(通常是通过安全事件和事件管理(SIEM)解决方案),电子邮件垃圾邮件保护和沙拳等。

CMMC.流程:

CMMC.使用1-5个成熟度水平刻度,这允许标准为不同风险水平的不同类型信息定义“适当的安全性”(ML.2.999,ML.2.998,ML.2.999,ML.3.997,ML.4.996, ML.5.995.

网络安全成熟度模型认证CMMC 5五个过程

5网络安全成熟度模型认证CMMC流程简化

您的业​​务何时需要符合CMMC?

CMMC.要求已经出现在Select RFIS中,并且在2020年10月完成DFARS规则变更后将出现在RFP中。国防部将逐步应用与2021年的合同子集(约1,500)的合同子集开始申请CMMC要求。

从那里,CMMC.卷展栏将加速到2022年的大约7,500家公司,在2025年增加到50,000岁。预计整个国防部供应链(约350,000个企业)将是CMMC,到2026年。公司必须继续遵守当前的DFARS法规,而这两套要求共存。

由于CMMC认证公司只能参加授权CMMC的合同,因此有一个明确的竞争优势,可以迅速实现CMMC认证而不是以后实现。

如何获得CMMC认证?

国防部 in cooperation with the defense industry has “self-formed” a nonprofit accreditation body, called the CMMC Accreditation Body (CMMC.-AB)。此实体将在船上登上认证的第三方评估组织(C3PAOs)需要在DIB上证明供应商。反过来,C3PAOS将培训和证明众多审计员审核审计。

国防部预计将经过认证的审计师将培训并准备到2020年底开始评估供应商,符合其当时发布RFI指定CMMC的计划。 DIB中寻求CMMC评估的任何人都应与C3PAO联系,以安排审计。

CMMC.如何与NIST 800-171比较?

因为它定义了五个合规级别,CMMC比NIST 800-171更灵活,并且“右尺寸”提供者的合规性占用脚印,基于其处理的数据。

这是描述五个cmmc“网络卫生的简单方法 ”认证水平:

对于不会处理敏感数据的供应商,CMMC级别1的认证仅指定17个控件,而级别2指定63个控件。这些级别应该是直截了当的,以实现今天对NIST 800-171合规性的自我证明的业务。

将处理CUI的供应商需要认证到CMMC级别3或更高级别。 3级包括所有110 NIST 800-171控件,加上20个额外的控制,使其与当前的DFARS指导相媲美。

CMMC.级别4和5旨在保护CUI与高级持久威胁和国家行为者的高价值资产有关。这些级别定义了更多的控制(分别和过程156和171);实现它们将需要一个严格的审计过程。

 

什么认证水平你的组织应该追求吗??

这取决于您公司在DIB中的角色,以及您当前的网络安全成熟度水平。 CMMC级别3相当于当前规定,并且需要处理CUI。例如,当时续签这些合同时,将需要在其当前合同中具有第7012条条款的供应商需要是CMMC级别3认证。

你应该接下来怎么办?

CMMC.认证指南 下载我们的CMMC认证指南!

一个简单的指南,遵守国防部’S网络安全成熟度模型认证(CMMC)

此EBRIFIEC将为您提供快速且易于消化的CMMC和我们用于帮助我们客户符合CMMC的过程的简介。

 

需要帮助转向CMMC认证?

拍摄我们一封电子邮件([email protected])或联系我们:

想谈谈吗?点击此处与CMMC专家安排时间