Hükümet sözleşmeleri kazanma şansını en üst düzeye çıkarmak isteyen savunma teknolojisi şirketleri, mevcut ve gelecekteki siber güvenlik gereksinimlerini anlamalıdır. Özellikle, NIST SP 800-171 Rev. 2’yi almak istedikleri belirli sözleşmeler için uygunluk zorunlu kılan mevcut Savunma Federal Edinme Düzenleme Takviyesi (DFARS) hükümleri olduğunu bilmeleri gerekir. Bu sözleşmeler için rekabet etmek için, savunma teknolojisi şirketleri ayrıca Tedarikçi Performans Risk Sistemine (SPR) NIST SP 800-171 Rev. 2 Öz Değerlendirme Puanı yayınlamalıdır. Ayrıca, daha titiz siber güvenlik olgunluk modeli sertifikası (CMMC) süreci hemen köşede ve çoğunun önümüzdeki yılın başlarında yürürlüğe girmesi bekleniyor. Bu yüzden savunma teknolojisi şirketlerinin uyumluluk yolculuklarına başlamak için bugün hareket etmeleri gerekiyor. CMMC’nin önüne geçen şirketler, rekabet avantajı penceresinin tadını çıkarabilir, ancak geride kalanlar hükümet sözleşmeleri ve fırsatlarını kaybetmeye devam ederler.
NIST SP 800-171 Rev. 2 Genel Bakış
NIST Özel Yayına Uyum 800-171 Rev. 2, “Federal olmayan sistemlerde ve kuruluşlarda kontrollü sınıflandırılmamış bilgilerin korunması” başlıklı birçok Savunma Bakanlığı (DOD) sözleşmesinde gereklidir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilen bu çerçeve, kuruluşların federal ajanslar tarafından paylaşılan hassas bilgileri nasıl koruyabileceğine dair yönergeler sunmaktadır. Yayın, erişim kontrolü, olay yanıtı ve sistem ve bilgi bütünlüğü gibi 14 aileye yayılmış 110 güvenlik gereksinimi içermektedir. Bu gereksinimler, federal olmayan kuruluşların kontrollü sınıflandırılmamış bilgileri (CUI) yetkisiz erişim ve siber tehditlerden korumak için yeterli güvenlik önlemleri uygulamalarını sağlamaya yardımcı olur.
Standartlaştırılmış bir gereksinim kümesi sağlayarak, NIST SP 800-171 Rev. 2, önemli ulusal güvenlik sonuçlarına sahip olabilecek CUI’nin kaybı veya uzlaşmasıyla ilişkili riskleri azaltmaya yardımcı olur. Kılavuzlar ayrıca savunma sanayi üssünün (DIB) ve federal bilgileri ele alan diğer sektörlerin genel siber güvenlik duruşunu geliştirmeyi amaçlamaktadır.
NIST SP 800-171 Rev. 2, hassas savunma sözleşmelerinde mevcut olabilecek DFARS maddeleri tarafından zorunludur. Bunların anahtarı, savunma yüklenicilerinin CUI’yi korumak ve DOD’a siber olayları bildirmek için NIST SP 800-171 Rev. 2 güvenlik kontrollerini uygulamalarını gerektiren DFARS 252.204-7012’dir. Buna ek olarak, DFARS 252.204-7019, yüklenicilerin Tedarikçi Performans Risk Sistemine (SPRS) NIST SP 800-171 Rev. 2 uygulamalarının güncel bir değerlendirmesini sunmasını gerektirir. Bu hükümlerin amacı, yüklenicilerin federal kurumlar tarafından paylaşılan bilgilerin daha iyi korunmasını sağlamak için minimum bir siber güvenlik seviyesini korumasını sağlamaktır.
SPRS Genel Bakış
SPRS, DOD tarafından tedarikçilerinin performans ve risk profillerini değerlendirmek için kullanılan bir araçtır. SPRS, NIST SP 800-171 Rev. 2 gibi siber güvenlik standartlarına uygunluk da dahil olmak üzere, bir tedarikçinin performansının kapsamlı bir görünümünü sağlamak için birden fazla kaynaktan verileri toplar. gerekli performans ve güvenlik standartlarını karşılayın.
CMMC Genel Bakış
Savunma teknolojisi şirketleri şu anda NIST SP 800-171 Rev. 2 ve SPR’lere uymalı ve CMMC için hazırlanmaya başlamalıdır. CMMC, DIB içinde meydana gelen yaygın ulus devlet veri hırsızlığı ve endüstriyel casusluk ile ilgili DoD endişelerini ele almak için tanıtıldı. Mevcut CMMC teklifinin üç olgunluk katmanı vardır. Seviye 1, NIST SP 800-171 Rev 2’nin bir alt kümesidir. Seviye 2, Full NIST SP 800-171 Rev. 2 uyumluluğu ile hizalanır. Seviye 3 ek gelişmiş güvenlik uygulamaları içerir. Tüm DIB şirketleri Seviye 1 uyumluluğuna ulaşmayı beklemelidir. CUI’yi ele alan şirketlerin Seviye 2 uyumluluğuna minimal olarak ulaşması beklenir.
CMMC’yi rekabet avantajı yapmak
CMMC’nin önümüzdeki yılın başlarında yürürlüğe girmesi muhtemeldir. Yürürlükten kaldırıldıktan sonra, şirketler uyumlu olmak ve tüm gereksinimlerin karşılanmasını sağlamak için üçüncü taraf bir değerlendirmeye sahip olmak için tanımlanmış bir süreye sahip olacaklar. İlk olarak bu kilometre taşına ulaşacak şirketler benzersiz bir rekabet fırsat penceresine sahip olacaklar. İleri düşünen şirketler CMMC boşluk değerlendirmeleri yapıyor ve zayıflıkları destekliyor. Ayrıca, bir C3PAO katılımına kilitleniyorlar, değerlendirmeler devam edebildikten sonra sırada bir yer olmasını sağlıyorlar. Sınırlı sayıda C3PAOS olduğundan, çizgi zaten uzun sürüyor. Karar geçtikten sonra, şirketler kendilerini bir değerlendirmeyi güvence altına almaktan aylarca uzakta bulabilirler – dolayısıyla CMMC’ye hazır olan şirketler için fırsat penceresi.
Dahası, bir C3PAO için sırada bir noktanız olması, denetimi geçmeye hazır olacağınız anlamına gelmez. CMMC L2’nin şu anda dayandığı NIST SP 800-171 Rev. 2’ye uyumu elde etmek için gerekli sistem, altyapı ve süreç değişikliklerinin uygulanması altı aydan bir yıla kadar sürebilir. Şirketlerin getirmesi ve operasyonel yapması gereken önemli siber güvenlik teknolojileri ve operasyonel yetenekler vardır. En pahalı ve karmaşıklardan bazıları günlük yönetimi, tehdit algılama, olay yanıtı ve güvenlik açığı yönetimi etrafında olgun yetenekleri içerir. Bu yetenekler, şirketlerin edinmesi gereken özel teknoloji ve personel gerektirir veya dış kaynak kullanabilecekleri bir servis sağlayıcı seçmeleri gerekecektir. Servis sağlayıcı yoluna gidiyorsanız, onlar da CMMC uyumlu olmalıdır.
Çözüm
Savunma teknolojisi CEO’ları, mevcut ve gelecekteki uyumluluk gereksinimlerini genel piyasaya çıkma stratejilerine çarpıştığından emin olmalıdır. Bu gereksinimleri anlamama, bir şirketin bugün ve gelecekte rekabet etme yeteneğini ciddi şekilde engelleyebilir. Alternatif olarak, şirketinizi NIST SP 800-171 Rev. 2 uyumlu olmak için bir yola çıkarmak, mevcut gereksinimleri karşılamanızı sağlayacak ve CMMC yürürlüğe girdiğinde oyunun önünde olmasını sağlayacaktır. C3PAOS ile konuşmaya başlamak ve aşırı rekabetçi farklılaşmanın nadir bir penceresini en üst düzeye çıkarmak için yerinizi sıralamayı düşünmek de akıllıca olacaktır.
Chris Petersen hakkında:
Chris Petersen, hükümetleri ve şirketleri siber güvenlik tehditlerinden koruma konusunda derinlemesine önem veren bir lider ve yenilikçidir. Chris kariyerine Price Waterhouse (PWC) ve daha sonra Ernst & Young (EY) ile danışman olarak başladı. Daha sonra yönetilen güvenlik hizmetleri sunan ilk Silikon Vadisi girişimine katıldı. 2002 yılında Chris, Güvenlik Bilgi ve Etkinlik Yönetiminde (SIEM) bir Gartner Magic Quadrant Lideri olan Logrhythm’i kurdu. Şu anda Chris, örgütleri ulus devlet tehditlerinden koruyan gizli bir başlangıç olan Radicl Defense CEO’sudur. Chris dünyanın dört bir yanındaki konferanslarda konuştu, birden fazla patent tutuyor ve yılın EY girişimcisi.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!