ABD Hükümeti ile Çalışmak: ABD Siber Güvenlik Olgunluk Modeli Sertifikasyonuna Genel Bakış

   Aralık 7, 2022  Posted in CyberSecurity-Insiders


[ This article was originally published here ]

İle .

Siber güvenlik, hem özel sektör hem de kamu sektörü arasında artan bir ilgi ve endişe olduğunu kanıtladı ve ABD Savunma Bakanlığı ile iş yapmak üzere sözleşmeli olanlar için bu, özel sektördekiler tarafından potansiyel olarak hassas bilgilerin korunmasıyla birlikte giderek daha önemli hale geliyor. Federal Bilgi Güvenliği Yönetimi Yasası’nın (FISMA) hemen ardından, her devlet kurumu, riski olabildiğince azaltmak için sağlamlaştırılmış bir siber hijyen düzeyi geliştirmeye aşırı odaklanmıştır. Savunma Bakanlığı, Siber Güvenlik Olgunluk Modeli Sertifikasyonunun (CMMC) oluşturulmasında bu gerekliliği yerine getirmektedir.

CMMC, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan çeşitli standartlara uygunluk ölçümlerine olan güveni artırmak için tasarlanmış bir değerlendirme çerçevesi ve sertifika programı olarak oluşturulmuştur. Çerçeve ve model, Carnegie Mellon Üniversitesi ve Johns Hopkins Üniversitesi ile yapılan mevcut sözleşmeler aracılığıyla Savunma Müsteşarlığı Satın Alma ve Sürdürme Ofisi (OUSD(A&S)) tarafından oluşturulmuştur.

Çerçeveye olan ihtiyaç, 2002’de her bir federal kurumun kullanımdaki bilgi sistemleri için bilgi güvenliği sağlamak üzere kurum çapında bir program geliştirmesini, belgelemesini ve uygulamasını gerektiren Federal Bilgi Güvenliği Yönetim Yasası’nın (FISMA) oluşturulmasından kaynaklanmaktadır. 2019’da Savunma Bakanlığı (DoD), bu gereksinime uymak ve şu anda Savunma Sanayii Üssü’nde (DIB) listelenen özel sektörlerde siber hijyeni belirlemek ve hesaplamak için kendi kendini kanıtlamadan daha yapılandırılmış bir yönteme geçmek için CMMC’yi oluşturdu. 4 Kasım 2021’de Savunma Bakanlığı, DIB’de listelenen özel kuruluşlar tarafından akreditasyonun elde edilme yöntemini modernize etmeyi amaçlayan CMMC 2.0’ın yayınlandığını duyurdu. CMMC modeli, hem DoD hem de özel sektör içinde uygulama ve benimseme büyüdükçe daha da kolaylaştırılacaktır.

CMMC v2’nin Mevcut Durumu – CMMC, doğrudan NIST Özel Yayını (SP) 800-171 Rev. 2 ve SP 800-172 ile eşleşen en iyi uygulamalara kurumsal bir bakış sağlar. Bu kontrollere bağlılık, CMMC içindeki üç seviyeden biriyle uyumlu olarak tanımlanabilir:

  • Düzey 1 veya Temel, şu anda DIB’de onaylı satıcı olarak listelenen özel sektör altyapısı içindeki Federal Sözleşme Bilgilerini (FCI) korumaya odaklanır. Bu, NIST SP 800-171 Rev 2 ile çapraz referanslı, FAR (Federal Edinme Yönetmeliği) 52.204-21’in 17 uygulamasında yalnızca 59 hedef gerektiren en az talepkar seviyedir. Adından da anlaşılacağı gibi, bu seviye kanıtlanabilir siber hijyen için bir temel sağlar. daha sağlam siber güvenlik Uygulamaları oluşturmak için. Bu seviye bir öz-değerlendirme gerektirir ve karşılığında üçüncü taraf doğrulama veya sertifikasyonunun alınmasını gerektirmez.
  • Seviye 2 veya Gelişmiş, NIST SP 800-171’e tam olarak uyulmasını ve uygulanmasını gerektirir ve ABD Savunma Bakanlığı ile sözleşme yoluyla operasyonlara katılmak isteyenler için temel hedef olarak görülür. Bu seviye, çerçevedeki 110 uygulamanın tümüne tam olarak uyulmasını gerektirir ve bazı sözleşmeler için, sertifika almak ve sürdürmek için Yıllık Öz-Değerlendirme gerektirir. Kritik ulusal güvenlik bilgilerini kullanan ve işleyen kuruluşlar için, Sertifikalı Üçüncü Taraf Değerlendirme Kuruluşu (C3PAO) tarafından Üç Yıllık Üçüncü Taraf Değerlendirmesi alınmalıdır. CMMC Düzey 2, Eylem Planı ve Kilometre Taşları (POA&M) kullanılarak elde edilirse, bu belge ilk CMMC değerlendirmesinden sonraki 180 gün içinde kesin olarak uygulanır.
  • Seviye 3 veya Uzman, kritik DoD bilgilerinin işlenmesine ve iletilmesine izin veren sözleşmelere sahip olan DIB tarafından akredite edilmiş özel kuruluşlara ayrılmıştır. Bu seviye, NIST SP 800-172’nin tam olarak uygulanmasını gerektirir ve üç yılda bir hükümet liderliğindeki bir değerlendirme süreciyle yürütülmelidir ZORUNLU.

Nasıl Başlanır:

CMMC akreditasyonuna giden yolda üzerinde anlaşmaya varılan dört adım vardır: Boşluk Değerlendirmesi, İyileştirme, Denetim ve Sertifikasyon ve Optimizasyon.

  1. Birinci adım, kuruluşun mevcut siber hazırlık durumunu uygun CMMC akreditasyon düzeyine göre değerlendirmesini gerektirir. Bu, mevcut siber hazırlık durumu ile CMMC’nin gereklilikleri arasındaki farkı belgeleyen ve ikinci adımda kullanılabilecek bir boşluk analizi ile sonuçlanacaktır.
  2. İkinci adım iyileştirmedir ve 1. adımın boşluk değerlendirmesinde bulunan eksikliklerin CMMC’nin uygun seviyesinde belirtilen standartlara göre kapatılmasını içerir.
  3. Üçüncü adım, Denetim ve Sertifikasyondur ve gereksinimler seviyeye göre değişir. Bu seviye, öz-değerlendirme, bir C3PAO veya bir devlet kurumu tarafından yapılan değerlendirme yoluyla karşılandıktan sonra, sertifika CMMC Akreditasyon Kuruluşu (CMMCAB) tarafından verilir.
  4. Sertifikanın alınmasını takip eden dördüncü adım, kurum içindeki siber güvenlik duruşunun optimizasyonudur. CMMC akreditasyonu genellikle yıllık olduğundan, devam eden bir optimizasyon, mevcut ve gelecekteki gereksinimlerden herhangi bir sapmanın minimum düzeyde olmasını sağlayacaktır.

Bir kuruluş Savunma Bakanlığı ile sözleşmeden doğan yükümlülüklere girerse, CMMC’ye bağlılık hızla yaklaşıyor. Siber güvenlik, gizli bilgilerin riskini ve ifşasını azaltma çabalarında daha büyük bir rol üstlendiğinden, ek programların uygulanması muhtemeldir.

Referanslar:

– Siber Güvenlik Olgunluk Modeli Sertifikasyon Akreditasyon Kurumu, Inc.

– Savunma Bakanlığı Müsteşarlığı – Edinme ve Sürdürme

– Ülkenin Siber Güvenliğinin İyileştirilmesine İlişkin Yürütme Emri

reklam





Source link