Savunma Bakanlığı (DoD), Savunma Sanayi Üssü’nün (DIB) geniş saldırı yüzeyini savunmak için Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) programını oluşturdu. CMMC’nin 2024’ün sonunda yasalaşması ve 2025’in ilk çeyreğinden itibaren sözleşmelerde yer almaya başlaması bekleniyor.
DIB bünyesinde faaliyet gösteren Küçük ve Orta Ölçekli işletmeler (KOBİ’ler) için CMMC uyumluluğu göz korkutucu bir görev gibi görünebilir. Ancak uygun hazırlık, doğru ortaklar ve stratejik bir yaklaşımla uyumluluğun sağlanması yönetilebilir ve hatta faydalı olabilir. Bu makalede CMMC’nin gereklilikleri incelenecek, uyumluluğa yönelik yol haritasının ana hatları çizilecek ve şirketlerin nasıl paradan tasarruf edebileceği ve uyumluluğu nasıl hızlandırabileceği tartışılacak.
CMMC Uyumluluk Seviyeleri
CMMC, DIB kuruluşlarının üzerinde çalıştığı bilgi türüne göre üç uyumluluk düzeyi belirler.
- Düzey 1 yalnızca Federal Sözleşme Bilgileriyle (FCI) çalışan kuruluşlar içindir
- Seviye 2, Kontrollü Sınıflandırılmamış Bilgiler (CUI) ile çalışan kuruluşlar içindir
- Seviye 3, CUI ile çalışan ve Gelişmiş Kalıcı Tehditlere (APT’ler) tabi olan kuruluşlar içindir.
Üçüncü Taraf Değerlendirme Gereksinimleri
Önemli olan, CMMC’nin mevcut siber güvenlik gerekliliklerini değiştirmemesi, sadece yaptırımları hızlandırmasıdır. Şimdiye kadar kuruluşların uyumluluklarını kendi kendilerine değerlendirmelerine izin veriliyordu ancak CMMC kapsamında, CUI ile ilgilenen savunma yüklenicilerinin büyük çoğunluğunun bağımsız üçüncü taraf değerlendirmelerini geçmesi gerekecek.
CMMC Zaman Çizelgesi
CMMC’nin 2024’ün sonunda yasalaşma yolunda olduğu ve aşağıda gösterildiği gibi 2025’in başlarında Savunma Bakanlığı sözleşmelerinde yer alması bekleniyor:
KAYNAK: https://www.preveil.com/blog/cmmc-timeline/
Yüklenicilerin, CMMC’nin zaman içinde aşamalı olarak devreye sokulacak olmasına rağmen, bunun, sertifika almak için daha fazla zamanınız olduğu anlamına gelmediğini anlaması önemlidir. Örneğin kuruluşunuz, tedarik zincirinde CMMC’ye tabi bir yükleniciye göre çok daha aşağıda olabilir; bu durumda yüklenicinin CMMC gereksinimlerini bu noktada kuruluşunuza iletmesi gerekir.
Tipik KOBİ’lerin CMMC Düzey 2 gerekliliklerini karşılaması 12-18 ay sürer; bu süre, CMMC gerekliliklerinin Savunma Bakanlığı sözleşmelerinde görünmesinin beklendiği tarihi geçmiştir. Şimdi CMMC sertifikasyonuna başlamanın zamanı geldi.
CMMC Düzey 2 Uyumluluğuna Hazırlık: KOBİ’ler için Temel Adımlar
CMMC uyumluluğu önemli bir girişim gibi görünse de proaktif bir yaklaşım benimsemek süreci daha hızlı ve daha uygun maliyetli hale getirebilir. KOBİ savunma yüklenicilerinin hazırlanmak için atması gereken bazı önemli adımlar şunlardır:
- CMMC Çerçevesini Tanıyın: Bu makaleyi okumak harika bir ilk adımdır; PreVeil ayrıca 5.000’den fazla savunma yüklenicisi tarafından indirilen, bilmeniz gereken tüm ayrıntıların özetlendiği bir CMMC teknik incelemesi de sunmaktadır.
- Uyumluluk Sınırınızın Kapsamını Belirleyin: CUI’ye erişen, işleyen ve depolayan kişileri, cihazları ve süreçleri belirleyin. CUI alanınızı ne kadar küçük hale getirirseniz uyumluluğa ulaşmak o kadar ucuz, hızlı ve kolay olur çünkü güvenliğini sağlamanız gereken daha az uç noktaya ve CMMC uyumluluk protokolleri konusunda eğitim verecek daha az kişiye sahip olursunuz.
- CUI’yi güvence altına almak için bir Platform benimseyin: Microsoft 365 Ticari veya Google Workspace kullanıyorsanız CMMC uyumluluğunu destekleyemezsiniz ve geçiş yapmanız gerekir. Herhangi bir Bulut Hizmet Sağlayıcısının veya teknoloji satıcısının aşağıdaki koşulları karşıladığından emin olmalısınız:
- FedRAMP Orta Seviye Temel veya Eşdeğerini Karşılar
- Şifreleme için FIPS 140-2 sertifikası
- Olay raporlama için DFARS 252.203-7012 cg’yi karşılar
- Sağlam belgeler geliştirin: CMMC uyumluluğunun sağlanması, CUI’nin korunmasından daha fazlasını gerektirir. Savunma Bakanlığı, Sistem Güvenlik Planı ve Standart İşletim Prosedürleri gibi gerekli belgelerin oluşturulmasının 40.000 ABD Doları tutarında bir maliyetle 168 saat süreceğini tahmin ediyor.
- NIST 800-171A’ya göre bir öz değerlendirme yapın ve POA&MS’yi yürütün: Öz değerlendirme, NIST 800-171A’da açıklanan Savunma Bakanlığı’nın Değerlendirme Metodolojisi’ne göre yapılmalıdır. 110 güvenlik gereksinimine yayılmış 320 hedefi belirtir. Uyumluluk yolculuğunuzun başlarında yapılan öz değerlendirmelerde 110 gibi mükemmel puanların oldukça nadir olduğunu bilin; Kuruluşunuzda muhtemelen karşılanmayan bazı kontroller olacaktır. Bu öğeler için POA&M’ler oluşturun ve bu açıkları kapatmak için kullanacağınız teknolojileri ve prosedürleri ve ne zaman 110 puana ulaşacağınızı belirtin.
- C3PAO değerlendirmenizi planlayın: CMMC Düzey 2 değerlendirmeleri, CMMC Üçüncü Taraf Değerlendirme Kuruluşu (C3PAO’lar) tarafından yürütülür; bu kuruluş, hazır olup olmadığınızı kendi incelemesiyle başlayacak, ardından belgelerinizi kontrol edecek ve NIST 800-171 uyumluluğunuzu değerlendirecektir. Ayrıca çalışanlarla görüşmeler yapacaklar ve eğitim oturumlarının kayıtları gibi uygunluğu kanıtlayan unsurları tespit edecekler.
Maliyetleri Azaltma Yolları
- Uyumluluk sınırınızı azaltın: Kuruluşunuzun yalnızca bir kısmı CUI’yi yönetiyorsa ayrı bir bölge oluşturarak güvenlik gereksinimlerinin kapsamını daraltmak mantıklı olacaktır. Bu, zamandan ve paradan tasarruf etmenizi sağlayan daha basit bir değerlendirme süreci anlamına gelir. Microsoft GCC High gibi bazı çözümlerin genellikle kuruluşun tamamına dağıtılması gerekir; bu da önemli maliyetlere ve karmaşıklığa neden olur.
- Kullanımı ve dağıtımı kolay bir platform seçin: Microsoft GCC High gibi platformlar genellikle pahalı danışmanlara, ayrı e-posta adreslerine ve tam bir sök ve değiştir işlemine ihtiyaç duyar. Saatler içinde devreye alınabilecek, mevcut e-posta adreslerinizi kullanan ve halihazırda kullanmakta olduğunuz Outlook, Gmail, Dosya Gezgini ve MacFinder gibi araçlarla doğrudan entegre olabilecek bir çözüm arayın.
- Kanıtlanmış CMMC kimlik bilgilerine sahip bir çözümü dağıtın: Kuruluşunuz buluta geçiş yaptıysa Microsoft 365 Ticari gibi standart ticari bulut hizmetlerinin, CUI’yi depolamaya, işlemeye ve iletmeye yönelik CMMC gereksinimlerini karşılamadığını bilin. FIPS 140-2 şifreleme modüllerine sahip olduğunu, DFARS cg’yi karşıladığını, FedRAMP Orta veya Eşdeğer olduğunu ve birden fazla Savunma Bakanlığı değerlendirmesini geçmek için kullanıldığını doğrulamak istiyorsunuz.
- Zamandan ve paradan tasarruf etmek için önceden doldurulmuş uyumluluk belgelerini kullanın
Bir değerlendirmeyi geçmek için yüklenicilerin, şirketlerinde kontrollerin nasıl ele alındığını açıklayan ayrıntılı, kanıta dayalı belgelere ihtiyacı olacaktır. Bu göz korkutucu, zaman alıcı ve maliyetli bir görev olabilir; bu nedenle, Sistem Güvenlik Planı (SSP) ve Standart İşletim Prosedürleri de dahil olmak üzere önceden doldurulmuş belgeler sunan bir çözüm arayın.
Çözüm
CMMC, 2024’ün sonunda yasalaşma yolunda ilerliyor. Bugün bile kuruluşunuz CUI ile ilgileniyorsa, sözleşmenizde NIST 800-171’e uymanızı gerektiren bir DFARS 252.204-7012 maddesi vardır. Artık CMMC uyumluluğuna başlamanın ve işletmenizi cezalardan ve sözleşme kayıplarına karşı korumanın zamanı geldi.
CMMC bunaltıcı görünse de, CMMC Düzey 2’ye daha hızlı ve daha uygun maliyetle ulaşmanıza yardımcı olabilecek kanıtlanmış bir ortak bulun. PreVeil’in kuruluşunuzun CMMC Düzey 2 uyumluluğuna ulaşmasına nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için uyumluluk ekibimizle 15 dakikalık ücretsiz danışmanlık hizmeti almak üzere preveil.com adresini ziyaret edin.
Yazar Hakkında
Seth Steinman, PreVeil’de Pazarlamadan Sorumlu Başkan Yardımcısıdır. Teknoloji ve güvenlik alanında 15 yıldan fazla deneyime sahip tanınmış bir düşünce lideridir. Siber Güvenlik Pazarlama Konferansı’nda düzenli olarak konuşmacı olarak yer almakta, UserGems ve Archilogic gibi önde gelen şirketlerin danışmanlığını yapmaktadır ve Security Boulevard, Security Clearance Jobs ve Digital Guardian gibi saygın yayınlarda makaleleri yayınlanmıştır. Seth’e şu adresten çevrimiçi olarak ulaşılabilir: [email protected] ve şirketimizin web sitesinde https://www.preveil.com/