Devlet, Sektöre Özel, NIST Standartları
Yeni Siber Güvenlik Olgunluk Modeli Sertifikasyon Kuralı Uygulamanın Yolunu Açıyor
Chris Riotta (@chrisriotta) •
11 Ekim 2024
ABD Savunma Bakanlığı, Siber Güvenlik Olgunluk Modeli Sertifikasyon programı için uzun zamandır beklenen kurala son şeklini vererek, hassas sınıflandırılmamış bilgileri işleyen yüklenicilerin uyumluluğunu basitleştirmek ve siber tehditlere karşı korumayı güçlendirmek için yeni bir katmanlı güvenlik sistemi tanıttı.
Ayrıca bakınız: Finansal Hizmetlere Yönelik Yazılım Tedarik Zinciri Platformu
Pentagon, sertifikasyon sürecini kolaylaştırmak ve güvenlik önlemlerini geliştirmek amacıyla “CMMC 2.0″ı Kasım 2021’de başlatma planlarını duyurdu. Yeni nihai kural, değerlendirme düzeylerinin sayısını beşten üçe düşürerek küçük ve orta ölçekli işletmeler için süreci basitleştiriyor. Cuma günü yapılan açıklamaya göre kural aynı zamanda yüklenicileri ele aldıkları bilgilerin hassasiyetine göre katmanlara ayırıyor ve her katman giderek daha güçlü güvenlik önlemleri gerektiriyor.
Yeni kural, CMMC’nin ikinci ve üçüncü kademelerindeki Savunma Sanayi Üssü yüklenicilerinin üçüncü taraf uyumluluk değerlendirmelerinden geçmesini gerektiriyor. Bu, programın mevcut öz değerlendirme esasına göre büyük bir değişiklikti ve daha yüksek hesap verebilirlik ve güvenlik standartları sağlamayı amaçlıyordu. Değişikliğin amacı, “savunma yüklenicilerinin federal sözleşme bilgilerine yönelik mevcut korumalarla uyumlu olduklarını doğrulamak” ve “bu bilgileri siber güvenlik tehditlerinden kaynaklanan riskle orantılı bir düzeyde korumak”.
15 Ekim’de Federal Sicil’de yayınlanacak olan yeni kural, Savunma Bakanlığı’nın CMMC programını uygulamaya başlamasının önünü açıyor ve bu programın gerekliliklerinin gelecek yıldan itibaren federal sözleşmelere dahil edilmesi bekleniyor. Seviye 2 yüklenicilerinin Seviye 1 gerekliliklerine ek olarak NIST SP 800-171’den 110 güvenlik önlemi uygulaması gerekirken, Seviye 3 yüklenicilerinin hem Seviye 1 hem de Seviye 2 gerekliliklerini yerine getirmesi ve NIST SP 800-171’den 24 güvenlik önlemi daha eklemesi gerekir. NIST SP800-172.
Yeni kural aynı zamanda “bir şirketin siber güvenlik durumunun izlenmesi ve uygulanmasında temel unsur” görevi görecek “yıllık onay gerekliliğini” de uyguluyor.
Pentagon, “CMMC, siber güvenlik uygulamalarını veya protokollerini bilerek yanlış tanıtarak veya siber güvenlik olaylarını ve ihlallerini izleme ve raporlama yükümlülüklerini bilerek ihlal ederek ABD bilgilerini veya sistemlerini riske atan kuruluşları veya bireyleri sorumlu tutmak için araçlar sağlıyor” dedi.
470 sayfalık kural, Seviye 1 yüklenicilerinin federal sözleşme bilgilerini yönetmesine izin verirken, Seviye 2 ve Seviye 3 yüklenicilerinin belirli kontrollü, sınıflandırılmamış bilgileri yönetme yetkisine sahiptir. Pentagon, programın, DIB Siber Güvenlik Değerlendirme Merkezi tarafından yapılan değerlendirmeleri yalnızca Seviye 3 yüklenicilerine ayırırken öz değerlendirmelere izin vermeye devam ederek birinci kademe yüklenicilerin maliyetlerini azaltmayı amaçladığını söyledi.
Yeni kural aynı zamanda uyum için net bir yol haritası sağlamaya yardımcı olmak amacıyla sertifika almaya çalışan işletmelere yönelik eylem planları ve kilometre taşları da sunuyor. DOD, DIB’deki işletmeleri “mevcut güvenlik gereksinimlerine uygunluklarını ve CMMC değerlendirmelerine uyma hazırlıklarını ölçmek için harekete geçmeye” çağırdı.
Kurala göre, belirli güvenlik gerekliliklerini karşılamayan Seviye 3 yüklenicilerine, değerlendirmeden sonra eylem planları geliştirmeleri ve uygulamaları için 180 gün süre tanınacak. DOD, kuralın DIB siber güvenlik standartlarını uygulamak, hassas bilgileri korumak ve sonuçta “yüksek profesyonel ve etik standartlar aracılığıyla” kamu güvenini korumak anlamına geldiğini söyledi.
DOD ayrıca DIB yüklenicilerinin CMMC programının siber güvenlik gereksinimlerini karşılamak için belirli bulut hizmeti tekliflerini kullanabileceğini söyledi ve web sitesinde mevcut hizmet olarak siber güvenlik tekliflerinin ve kaynaklarının bir listesini sundu.