CMMC 2.0:Основное руководство для малых и средних производителей оборонной промышленности

Для малых и средних производителей (SMM) на оборонно-промышленной базе (DIB) сертификация модели зрелости кибербезопасности (CMMC) больше не является требованием будущего, теперь это стандарт.

В декабре Министерство обороны США завершило работу над CMMC 2.0. , официально включив его в контракты Министерства обороны. Если вы поставляете, заключаете субподряд или планируете выполнять работы, связанные с обороной, это касается и вас.

Из примерно 300 000 компаний, входящих в DIB, значительной части потребуется пройти сертификацию 2-го уровня. чтобы продолжить обработку контролируемой несекретной информации (CUI).

Вот почему это срочно:

• Внедрение может занять от 6 месяцев до 3 лет.
• Затраты могут варьироваться от 20 000 до 200 000 долларов США , в зависимости от сложности
• Ваш ИТ-провайдер может не обладать необходимыми знаниями в области кибербезопасности.
• Сертифицированные сторонние оценочные организации (C3PAO) все еще появляются, настолько новая экосистема

CMMC — это не просто обновление ИТ. Это операционный и культурный сдвиг.

Хорошие новости? Вам не обязательно перемещаться по нему в одиночку. IMEC может помочь производителям пройти этот сложный процесс.

Понимание структуры CMMC

CMMC 2.0 – это система Министерства обороны для защиты конфиденциальной оборонной информации по всей цепочке поставок.

Ключевой термин, который нужно понимать:Контролируемая несекретная информация (CUI). , конфиденциальные правительственные данные, требующие защиты, но не засекреченные.

CMMC 2.0 состоит из трех уровней:

• Уровень 1 – Базовый: Базовая гигиена кибербезопасности.
• Уровень 2 – продвинутый: Соответствие NIST SP 800-171 (наиболее распространенное требование производителей, работающих с CUI).
• Уровень 3 – Эксперт: Расширенная защита для высокоприоритетных программ.

Большинство SMM, поддерживающих DIB, должны будут соответствовать Уровню 2. .

Как узнать, какой уровень вам нужен?

Начните с анализа своих контрактов и общения с клиентами. Видите ли вы, что язык CMMC включен в:

• Премьер-контракты?
• Требования клиентов к потоку вниз?
• Запросы предложений со ссылкой на NIST 800-171 или CMMC Level 2?

Если да, то подготовка должна начаться прямо сейчас.

Вы также можете подумать, можно ли отделить работу, связанную с CMMC, от остальной вашей деятельности. В некоторых случаях отделение рабочих процессов CUI от других бизнес-систем может сократить объем и стоимость.

Для получения официальной информации об аккредитации и сертифицированных оценщиков посетите Cyber AB, уполномоченный орган по аккредитации CMMC.

Определите необходимые ресурсы

Одно из самых больших заблуждений относительно CMMC заключается в том, что это «ИТ-проект».

Это не так.

CMMC – это организационные обязательства, которые касаются:

• Исполнительное руководство
• Человеческие ресурсы
• Операции
• Инжиниринг
• Покупка
• Продажи
• ИТ

Высшее руководство несет максимальную ответственность, но для успешной реализации требуется межфункциональное участие.

Внутренняя и внешняя экспертиза

У большинства мелких производителей нет собственных специалистов по кибербезопасности. Хотя многие компании работают с поставщиками управляемых услуг (MSP), важно понимать:

ИТ-поддержка и кибербезопасность взаимосвязаны, но не одно и то же.

Вам может понадобиться:

• Поставщик управляемых услуг безопасности (MSSP)
• Консультант CMMC
• Зарегистрированный практикующий врач (RP)
• Эксперт в области кибербезопасности (SME)

Дополнительные соображения по стоимости включают в себя:

• Обновления в области киберстрахования.
• Обновление системы
• Программное обеспечение безопасности и инструменты мониторинга.
• Обучение сотрудников.
• Разработка документации

И, пожалуй, самое главное:время. Руководство должно выделять достаточно времени и ресурсов для достижения устойчивого прогресса.

Проведите анализ пробелов и задокументируйте свою оценку SPRS

Прежде чем внедрять элементы управления, вам необходимо понять свое текущее положение.

В ходе анализа пробелов ваш существующий уровень кибербезопасности сравнивается с необходимыми средствами контроля для вашего целевого уровня CMMC, обычно NIST SP 800-171. для уровня 2.

Многие организации переоценивают свою готовность. Структурированная самооценка часто выявляет упущенные из виду уязвимости.

Ключевые шаги включают в себя:

• Оценить текущие политики, процессы и технические средства контроля.
• Оцените свое соответствие требованиям NIST 800-171.
• Введите свою оценку в Систему рисков производительности поставщиков (SPRS)
• Выявить недостатки в документации и технических средствах защиты.

Если внутренний опыт ограничен, внешнее МСП может предоставить более объективную и точную базовую оценку.

Ваша оценка SPRS становится видна Министерству обороны, точность имеет значение.

Планирование, внедрение, мониторинг и сертификация

Как только пробелы выявлены, начинается настоящая работа.

Реализация должна следовать структурированному плану действий с четким указанием ответственности и сроков.

Приоритизация внедрения контроля

Сначала сосредоточьтесь на наиболее важных областях, таких как:

• Физическая защита: Обеспечение безопасности объектов и ограничение физического доступа к CUI.
• Многофакторная аутентификация (MFA)
• Шифрование конфиденциальных данных
• Обнаружение и защита конечных точек
• Управление контролем доступа

Определите и составьте схему вашего процесса CUI

Документируйте, как CUI входит, проходит и выходит из ваших систем.

Если это возможно, отделите рабочие процессы, связанные с CUI, от более широких систем компании, чтобы минимизировать объем и сложность.

Разработка основной документации

Два важных документа включают:

• План безопасности системы (SSP): Подробно о том, как реализуются и управляются меры безопасности.
• План действий и основные этапы (POA&M): Выявляет пробелы в соблюдении требований, распределяет ответственность и определяет сроки устранения.

Вы также должны:

• Разработать и опубликовать необходимые политики кибербезопасности.
• Провести обучение по вопросам кибербезопасности для всей организации.
• Провести дополнительное обучение сотрудников, занимающихся CUI.
• Постоянный мониторинг систем на предмет соответствия требованиям и возникающих рисков.

Сертификация:воспользуйтесь C3PAO

Для сертификации уровня 2 многим компаниям потребуется пройти оценку со стороны Сертифицированной сторонней организации по оценке (C3PAO). .

C3PAO — это развивающийся сегмент экосистемы кибербезопасности, еще одно напоминание о том, насколько новой является CMMC. Раннее планирование имеет решающее значение, поскольку доступность оценщиков может стать ограниченной.

Почему это важно сейчас

CMMC не является теоретическим требованием. Сегодня он становится частью контрактного языка.

Ожидание, пока контракт потребует подтверждения сертификации, может привести к тому, что ваша компания застрянет или потеряет право на участие.

Для производителей, стремящихся обслуживать оборонную цепочку поставок, соблюдение CMMC не является обязательным. Это плата за вход.

Чем IMEC может помочь

IMEC понимает как производственные операции, так и ожидания кибербезопасности на оборонно-промышленной базе.

Мы помогаем производителям:

• Интерпретация требований контракта.
• Проводить оценку пробелов.
• Разработать реалистичные планы реализации.
• Обратитесь к квалифицированным ресурсам по кибербезопасности.
• Подготовка к экзаменам C3PAO

CMMC может показаться подавляющим. При правильном руководстве она становится управляемой и стратегически выгодной.

Кибербезопасность больше не ограничивается соблюдением требований. Речь идет о защите вашего бизнеса, ваших клиентов и вашего будущего на оборонном рынке.

Сделайте первый шаг к готовности к CMMC

Внедрение CMMC требует времени, и ожидание его включения в контракт может поставить под угрозу вашу оборонную работу.

Если вы не уверены, какой уровень применим к вашему бизнесу, работаете ли вы с CUI и насколько вы на самом деле подготовлены, сейчас самое время это выяснить.

IMEC может помочь вам оценить ваше текущее состояние, уточнить требования и разработать практический план действий по сертификации.

Свяжитесь с IMEC сегодня, чтобы запланировать обсуждение готовности к CMMC и защитить свое положение в цепочке поставок оборонной продукции.