Federal hükümet şirketlere siber güvenlik zorunluluklarını ve diğer düzenleyici uyumluluk biçimlerini yerine getirme görevi verse de, çok azı itiraz ediyor gibi görünüyor. Bunun büyük nedeni, Washington, DC’nin 2024 mali yılının sonuna kadar sözleşmelere yaklaşık 7 trilyon dolar harcamasının beklenmesidir. Bu parasal ödüller son 10 yılda neredeyse iki katına çıktı ve 2029’da 8 trilyon doları aşma yolunda.
Savunma yüklenicileri ve diğer işletmelerin hükümetin gözüne girebilmesi için, sektör liderleri en katı veri güvenliği standartlarından bazılarını karşılamalı ve sürdürmelidir. ABD Savunma Bakanlığı (DoD) şu anda, Savunma Federal Satınalma Yönetmeliği Eki (DFARS) ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) çerçevesi, özellikle NIST SP 800-171 ile örtüşen ve onlardan farklı olan Siber Güvenlik Olgunluk Modeli Sertifikasını (CMMC) uygulamaya koymaktadır. DoD sözleşmelerinden gelir elde eden 100.000’den fazla yüklenicinin ve alt yüklenicinin uyumlu kalması için CMMC, DFARS ve NIST arasındaki farkları anlamak esastır.
NIST Nedir?
ABD Ticaret Bakanlığı’nın bir parçası olan Ulusal Standartlar ve Teknoloji Enstitüsü, güvenlik standartları oluşturarak Amerikan bilimsel inovasyonunu, iş rekabet gücünü ve teknolojilerini ilerletmeye yardımcı olur. Asıl amacı ülkenin ekonomik refahını ilerletmek olsa da, NIST SP 800-171 temel veri güvenliği düşünce liderliği olarak benimsenmiştir. Bu kılavuz, ulusal güvenliğimizle ilgili verileri korumak için gereken en iyi uygulamaların çoğunu özetlemektedir.
NIST SP 800-171 standardı DFARS’a entegre edilmiştir ve aynı zamanda Pentagon’un CMMC 2.0 yetkisinin temelini oluşturmaktadır. Doğrudan savunma yüklenicileri ve özel sektör tedarik zincirinde çalışanlar, üç CMMC siber hijyen seviyesinden birine uymalı veya kenara çekilme riskiyle karşı karşıya kalmalıdır.
CMMC 2.0 Nedir?
CMMC modeli, Pentagon’un Federal Sicil’de 2020 geçici kuralını yayınlamasından bu yana bazı değişikliklere uğradı. Yönetimdeki bir değişiklik, beş kademeli siber güvenlik modelinin üç kademeli model lehine kaldırılmasıyla sonuçlandı. NIST SP 800-171 ve diğer veri güvenliği protokollerine dayanan CMMC 2.0, en kararlı siber güvenlik önlemlerinin çoğunu tek bir şemsiye altında bir araya getiriyor. DoD ile ilgili Kontrollü Sınıflandırılmamış Bilgiler (CUI) ve Federal Sözleşme Bilgilerini (FCI) depolayan veya ileten her kuruluş CMMC uyumluluğunu karşılamalıdır.
DFARS Nedir?
Savunma Federal Satınalma Yönetmeliği Eki, FAR olarak da bilinen Federal Satınalma Yönetmeliği ile ilgili ek bir kural katmanı içerir. 1980’lerde yürürlüğe giren bu ek DoD direktifleri, Pentagon mal, malzeme ve hizmet satın aldığında devreye girdi. Kaliteyle ilgili bir dizi standart olarak başlayan şey, ulusal güvenliği de korumak için tasarlanmış bir dizi kılavuza dönüştü. Geniş kapsamlı ürün ve hizmet yönetmeliklerinin yanı sıra, DFARS’ın CUI için kuralları da vardır.
Örneğin, DFARS 7012 maddesi, savunma yüklenicilerinin ve alt yüklenicilerinin kritik DoD verilerini yeterli şekilde güvence altına almasını ve herhangi bir siber saldırıyı derhal bildirmesini zorunlu kılar. Askeri savunma nişinde faaliyet gösteren özel sektör şirketleri yaklaşık 79 güvenlik protokolünü benimsemeli, siber olayları ifşa etmeli ve OpSec Bilgileri, İhracat Kontrollü Bilgiler ve Kontrollü Teknik Bilgilerin sürekli sistem izlemesini sağlamalıdır. Teknik unsurlar açısından gelişen DFARS zorunluluğunda mutlaka bir sorun olmasa da, DoD en iyi önlemleri tek bir politikada birleştirmeye karar verdi.
CMMC, DFARS ve NIST Nasıl Örtüşüyor ve Nasıl Farklılaşıyor?
Hem CMMC hem de DFARS’ın siber güvenlik önlemlerinin çoğunu NIST SP 800-171’e dayandırdığını akılda tutmak önemlidir. 79 DFARS ve 100’den fazla CMMC kontrolünün yan yana karşılaştırması yapılırsa, aşağıdaki gibi kategorilere girerler.
- Yapılandırma Yönetimi
- Kritik Olay Müdahale Protokolleri
- Siber Güvenlik Farkındalık Eğitimi
- Veri Depolama ve Transfer Korumaları
- Veri ve Ağ İzleme
- Ağ Erişim Kontrolü
- Risk Değerlendirmeleri
- Güvenlik Denetimleri ve Hesap Verebilirlik
- Sistem Giriş Kimlik Doğrulaması
- Kullanıcı Tanımlama ve Onaylama
Bu NIST güvenlik öncelikleri DFARS ve CMMC için farklı şekillerde geçerli olabilir, ancak ortak bir temayı paylaşırlar. Dijital güvenlik önlemlerinin hepsi tehdit aktörlerini caydırmak, tespit etmek ve kovmak için tasarlanmıştır. DFARS ve CMMC arasındaki teknik NIST farklılıklarının ötesinde, ikincisi son derece hassas bilgilere sahip olan veya bunları aktaran kuruluşların denetim olmaksızın kendi kendilerini değerlendirmelerine izin vermez. Sıkı testler yapmak ve bulguları DoD’ye bildirmek için bir CMMC Üçüncü Taraf Değerlendirici Kuruluşunun (C3PAO) desteğini almaları gerekir. CMMC Seviye I ve bazı Seviye II örneklerinde, bir kuruluş kendi kendini test etme prosedürlerini takip edebilir ve bu puanı bildirebilir. Birçoğu hangi CMMC siber hijyeninin geçerli olduğunu belirlemek, ağı iyileştirmek ve zorunlu korumaları entegre etmek için bir C3PAO’ya ulaşır.
Buna karşılık, DFARS belki de çok fazla askeri tedarik zinciri şirketinin kendi kendini değerlendirmesine ve sağlam bir siber güvenlik duruşunu sürdürmeleri için onlara güvenmesine izin verdi. Bu sorun kabul edilemez sayıda veri ihlali ve çalınan ulusal güvenlik sırlarıyla sonuçlandı. Federal yetkililer, DFARS zorunluluğunun çoğunu etkili bir şekilde geçersiz kılmak ve devam eden siber güvenlik uyumluluğunu sağlamak için CMMC’yi geliştirdiler.
CMMC veya DFARS’a Nasıl Uyum Sağlanır
Kuruluşunuz şu anda NIST SP 800-171 ise, büyük olasılıkla DFARS standartlarını da karşılıyor. Ancak, kuruluşunuzun yine de CMMC 2.0 uyumluluğunu göstermesi gerekecektir çünkü yeni basılan güvenlik önlemi NIST SP 800-171’i ve geniş kapsamlı diğerlerini entegre ediyor.
Uyumluluğu sağlamanın en iyi yolu, bu düzenlemeler ışığında değerlendirme yapabilen ve geçerli siber güvenlik standardını karşılayabilen bir C3PAO’yu işe almaktır.
Yazar Biyografisi
John Funk, SevenAtoms’ta Yaratıcı Danışmandır. Hayatı boyunca yazarlık ve hikaye anlatıcılığı yapan, teknoloji ve siber güvenliğe tutkusu olan biri. El yapımı bira içmediği veya Dungeons & Dragons oynamadığı zamanlarda John’u genellikle kedileriyle vakit geçirirken bulabilirsiniz.
Reklam