Что нужно знать о сертификации CMMC

Поскольку сертификация модели зрелости кибербезопасности (CMMC) приближается к полному внедрению, затронутые организации спешат убедиться, что они пройдут процесс сертификации.

Цель проста:организации должны соответствовать минимальным стандартам кибербезопасности и тем самым вносить свой вклад в повышение национальной безопасности. Ставки чрезвычайно высоки для примерно 300 000 организаций оборонно-промышленной базы (DIB), которым вскоре потребуется пройти сертификацию на один из пяти уровней CMMC, чтобы иметь право на получение федерального контракта. Проще говоря:без сертификации, без контракта. С точки зрения правительства США и Министерства обороны, ставки всегда были высоки, поскольку DIB играет столь важную роль в защите нашей нации. Единственный способ обеспечить защиту наших данных и целостность цепочки поставок - это придерживаться в отрасли более высоких стандартов.

Как мы сюда попали?

Противоборствующая активность со стороны государственных и негосударственных субъектов продолжает расти, а экономические издержки огромны - по некоторым оценкам - 5 триллионов долларов во всем мире. По другим оценкам, в 2016 году экономика США обошлась экономике где-то между 57 и 109 миллиардами долларов. Однако необходимость в CMMC связана не только с экономическими интересами, но и с коллективной защитой самих себя. Большие и малые компании вносят свой вклад в успех американского военного истребителя, и все они будут нести одинаковый уровень ответственности с CMMC.

В федеральном пространстве достаточно беглого взгляда на определенный истребитель, чтобы понять, насколько важно обезопасить организации, которые в конечном итоге защищают и защищают нашу страну. В коммерческой сфере взлом Target показал, как бизнес-партнеры могут быть слабым звеном, которое в конечном итоге способствует атаке. Повышая подотчетность DIB, мы помогаем выполнить не только новые бизнес-требования, но и выполнить стратегическую задачу повышения устойчивости к атакам. Времена изменились, изменилось то, как мы ведем бизнес. Нравится нам это или нет, но мы маневрируем на современном поле битвы, где к таким словам, как «война», «шпионаж» и «преступление» добавляется слово «кибер», что означает, что частные и государственные организации должны быть готовы к современной реакции.

Что такое CMMC?

CMMC имеет пять уровней технического и процедурного контроля, которые направлены на защиту контролируемой несекретной информации (CUI) и информации о федеральных контрактах (FCI) для подрядчиков DoD. Чтобы достичь уровня CMMC 5, организациям необходимо будет пройти через внедрение и оценку 171 технического и процедурного контроля. Большинство профессионалов в области кибербезопасности в федеральном пространстве обнаружат, что большая часть средств контроля CMMC знакома. Фактически, чтобы достичь уровня CMMC 3, почти все элементы управления находятся в NIST SP 800-171. Организации, которым в ближайшее время потребуется сертификация в рамках CMMC, уже с 2016 г. получили мандат на соблюдение мер контроля, изложенных в NIST SP 800-171. Ключевое отличие состоит в том, что организации больше не могут самостоятельно сертифицировать и представлять План действий и основные этапы для устранения недостатков. . Организации, желающие получить сертификацию, должны быть официально оценены независимой организацией по оценке CMMC или оценщиком, сертифицированным органом по аккредитации CMMC, некоммерческой организацией, отвечающей за удостоверение готовности оценщиков. Хотя даты начала аттестации не указаны, недавно началось обучение первой группы оценщиков CMMC.

Что теперь делать?

Готовность CMMC - это упражнение по внедрению основ кибербезопасности и постоянному совершенствованию для достижения большей устойчивости. Уровни CMMC являются кумулятивными и многоуровневыми, так что один уровень перерастает в следующий, поэтому для достижения уровня 4 вы должны полностью соответствовать уровню 3. Каждый уровень коррелирует с уровнем сложности ваших методов обеспечения безопасности, начиная с базовой гигиены и заканчивая повышением. к более продвинутым и проактивным мерам, таким как охота за угрозами на уровне 5. Вы спрашиваете, с чего начать, имея 171 элемент управления все возрастающей сложности?

• Самообразование: Ознакомьтесь с техническими средствами управления и политиками, изложенными в CMMC.
  • Вот версия 1 CMMC.
  • Вот ответы на часто задаваемые вопросы о CMMC.
• Определите, какой уровень вам подходит: Организации должны решить, какой уровень сертификации они хотят получить. Организации, хранящие только FCI, могут иметь контент, достигающий уровня CMMC 1, а организации, хранящие и обрабатывающие CUI или участвующие в более важных мероприятиях, вероятно, захотят пройти сертификацию на уровне CMMC 3 или выше. Министерство обороны перечислит требования к уровню CMMC в запросе предложений.
• Познай себя: Изучите и задокументируйте свою среду от внутренней сети до деловых партнеров. Часто говорят, что «ты не можешь защитить то, чего не знаешь», и это правда. Вы должны понимать свою сегментацию, системы и поверхность атаки, прежде чем сможете надеяться на ее защиту.
• Самостоятельная оценка: Определите, насколько вы подходите к элементам управления для того уровня сертификации, который требуется вашей организации. Определите все элементы управления, которые в настоящее время не выполняются, спланируйте, как решить проблемы, и повторно оцените. Для обеспечения гибкости в будущем определите, что потребуется вашей организации, чтобы выйти на следующий уровень.
• Бай-ин: Мы настолько сильны, насколько сильны наши самые слабые звенья; понимать, что CMMC призвана помочь снизить риски ведения бизнеса в оборонном секторе. Некоторые элементы управления будут простыми или уже выполняются, а для других может потребоваться поддержка со стороны различных частей вашей организации. Вам могут потребоваться согласования, увеличенный бюджет или спонсорство со стороны руководства. Некоторые элементы управления могут оказаться сложной задачей с технической точки зрения. Вся организация должна будет принять участие, быть прагматичной и внести свой вклад в поддержку и защиту миссии.
• Будьте гибкими: CMMC является новым и создает мосты между большими сложными объектами с DoD и DIB. Это огромные организации, с CMMC все еще есть неизвестные, и то, что было известно месяц назад, может измениться. Так что будьте гибкими, проявите терпение и знайте, что всем нам нужно лучше защищать то, что мы ценим.

Независимо от того, нужен ли вам сертификат CMMC уровня 1 или 5, или, возможно, ваша организация даже не ведет дела с Министерством обороны, стандарты, установленные CMMC, представляют собой дорожную карту для любой организации по достижению зрелости своей позиции в области кибербезопасности. Независимо от вашей отправной точки, достижение соответствия CMMC будет сложной задачей как для малых, так и для крупных организаций, но в результате мы отчаянно нуждаемся в улучшении. Защита наших данных и интеллектуальной собственности логична и абсолютно необходима для сохранения технологического преимущества над нашими противниками. Непрерывная оценка и совершенствование практических основ кибербезопасности имеют первостепенное значение для достижения уровня цифровой устойчивости, который позволит нам бороться с современными угрозами.

Уэйн Ллойд - федеральный технический директор RedSeal.