Savunma Bakanlığı kısa süre önce savunma yüklenicilerine net bir sinyal gönderdi: Yakın zamanda tamamlanan CMMC 2.0’a yönelik bir güncelleme muhtemelen geliyor ve hazırlanmanın zamanı geldi.
Nisan ayında Savunma Bakanlığı, mevcut CMMC 2.0 kuralları kapsamında gerekli olmayan bir revizyon olan NIST 800-171 Revizyon 3’te organizasyon tanımlı parametrelere (ODP’ler) ilişkin değerleri tanımlayan bir not yayınladı. Satır aralarını okuyanlar için bu not, Savunma Bakanlığı’nın DFARS 252.204-7012 ile uyum sağlamak amacıyla CMMC gereksinimlerinde NIST 800-171 Rev. 3’ü yansıtmaya hazırlandığını gösteriyor.
Müteahhitler için bu hem bir uyarı hem de bir fırsatı temsil ediyor. Şimdi harekete geçenler diğerlerinden önde olabilir. Bekleyenler geride kalma veya daha da kötüsü CMMC 2.0 sertifikasyon çalışmalarını tamamlama riskiyle karşı karşıya kalıyor ve bir sonraki güncelleme yayınlandığında baştan başlamak zorunda kalıyor.
İşte gelecek olana bugün nasıl hazırlanacağınız.
- Organizasyon Tanımlı Parametrelerin Temellerinde Uzmanlaşın
NIST 800-171 Revizyon 3’teki en büyük değişiklik, 50 güvenlik gereksiniminde açıkça biçimlendirilmiş ODP’lerin sunulmasıdır. Bunlar yalnızca bürokratik eklemeler değil, aynı zamanda belirsiz gereksinimleri eyleme geçirilebilir kontrollere dönüştüren oyunun kurallarını değiştiren şeylerdir.
Örnek olarak gereksinim 3.1.8’i alın. Revizyon 2’de basitçe şunu belirtiyordu: “Başarısız oturum açma girişimlerini sınırlayın.” Bu, kuruluşların ayrıntılar hakkında tahminde bulunmasına neden oldu: Kaç deneme? Hangi zaman diliminde? Sonra ne olacak?
Revizyon 3 bunu şu şekilde açıklığa kavuşturuyor: “Bir sınır uygulayın [organizationally defined] sırasında başarısız oturum açma girişimleri [organizationally defined] zaman dilimleri ve almak [organizationally defined] maksimum denemeden sonra eylemler.
Savunma Bakanlığı’nın yeni notu bu boşlukları dolduruyor: 5 dakika içinde art arda 5 başarısız girişimle sınırlayın, ardından hesabı en az 15 dakika süreyle veya bir yönetici hesabı serbest bırakana kadar kilitleyin.
Ekibinizin, notta listelenen 17 kontrol ailesinin tamamındaki ODP’leri içeren 50 gereksinim hakkında bilgi sahibi olmasını sağlayın. Bu parametrelerin öneri olmadığını, muhtemelen DoD tarafından tanımlanan belirli değerlere sahip gelecekteki gereksinimler olduğunu anlayın.
- Curre’nizi HizalayınNIST 800-171 Rev. 3 için DoD’un Tanımlı Değerleriyle nt Kontrolleri
Yüklenicilerin şu anda yapabileceği en akıllı hareket, Savunma Bakanlığı’nın ODP değerlerini mevcut NIST 800-171 Revizyon 2 yapılandırmalarına uygulamaktır. Bu proaktif yaklaşım, CMMC’nin NIST 800-171 Revizyon 3 temel çizgisini gerektirdiği durumlarda zaten uyumlu olacağınız anlamına gelir.
Örneğin, şu anda Revizyon 2’deki 3.1.8 gereksinimini karşılıyorsanız, sistemlerinizi şimdi DoD’nin belirtilen sınırlarını uygulayacak şekilde yapılandırın: 5 dakika içinde art arda 5 başarısız oturum açma girişimi ve ardından hesap kilitleme.
Nereye varacağınızı belirlemek için mevcut güvenlik kontrollerinizi Savunma Bakanlığı’nın ODP değerleriyle karşılaştıran bir boşluk analizi yapın. Özellikle Erişim Kontrolü, Kimlik Doğrulama ve Kimlik Doğrulama ile Sistem ve İletişim Koruma ailelerindeki yüksek etkili gereksinimler için değişikliklerin uygulanmasına öncelik verin.
- Stratejiyi Anlayınic Erken Uygulamanın Yatırım Getirisi
Savunma Bakanlığı’nın bu ODP değerlerini erken yayınlaması, CMMC ile FedRAMP ve NIST 800-53 gibi diğer federal çerçeveler arasında daha geniş bir uyumun sinyalini veriyor.
Savunma Bakanlığı tarafından tanımlanan bu parametrelerin uygulanması, önceden ek çaba gerektirse de, yatırımın stratejik getirisi önemlidir. Bazı gereksinimler, kuruluşların şu anda uyguladığından daha katı olacaktır; örneğin, gereksinim 3.5.5 artık kuruluşların tanımlayıcıların yeniden kullanımını en az 10 yıl süreyle, çoğu yüklenicinin halihazırda gerektirdiğinden çok daha uzun bir süre boyunca engellemesi gerektiğini belirtmektedir.
Ekibinize ve yöneticilerinize iş durumu hakkında bilgi verin: İlk benimseyenler ihale süreçlerinde rekabet avantajı elde edecek ve sözleşmenin uygunluğunu tehlikeye atabilecek aceleci uyumluluk çabalarından kaçınacaktır.
- Bir Yapı Oluşturun Uygulama Yol Haritası
Savunma Bakanlığı bu ODP değerlerini rastgele yayınlamadı. Savunma Sanayii Üssü’ne önceden uyarı ve hazırlanma zamanı sağlıyorlar.
DoD ODP değerlerini kademeli olarak mevcut güvenlik duruşunuza dahil eden aşamalı bir uygulama planı geliştirin. DoD değerlerinin mevcut uygulamalarınızdan önemli ölçüde farklı olduğu gereksinimlere odaklanın ve teknik ekiplerinizin ihtiyaç duyulan spesifik yapılandırma değişikliklerini anladığından emin olun.
İleriye Doğru
Savunma Bakanlığı’nın NIST 800-171 Rev. 3 için ODP değerlerini tanımlayan notu yalnızca bir politika güncellemesi değildir; “CMMC 3.0”a giden bir yol haritasıdır. Seçim açık: Yüklenicilerin şimdi daha yumuşak bir geçiş için hazırlanmaları ya da “CMMC 3.0” zorunlu hale geldiğinde bekleyip yetişmek için çabalama riskini almaları gerekiyor.
Yazar Hakkında
Shrav Mehta, güvenlik uyumluluğu otomasyon platformu olan Secureframe’in kurucusu ve CEO’sudur. Daha önce Pilot.com, ScaleAI, Lob ve Hired.com’da görev aldı.
Shrav’a LinkedIn’den ve www.secureframe.com adresinden ulaşılabilir.