Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Savunma Bakanlığı, Savunma Sanayi Üssü için Yeni Güvenlik Gereksinimleri Önerdi
Chris Riotta (@chrisriotta) •
27 Aralık 2023
ABD Savunma Bakanlığı, uyumluluğu basitleştirmeyi, kamu-özel sektör koordinasyonunu geliştirmeyi ve hassas bilgileri siber tehditlerden daha iyi korumayı amaçlayan Siber Güvenlik Olgunluk Modeli Sertifikasyon programı için uzun zamandır beklenen önerilen kural taslağını yayınladı.
Ayrıca bakınız: Belirsiz Zamanlarda Bankalar için Siber Güvenlik İçin 5 Esas
Savunma sanayii üssü için bir güvenlik çerçevesi oluşturmak amacıyla tasarlanan önerilen kural, hassas sınıflandırılmamış bilgileri yöneten yükleniciler ve taşeronlar için kademeli bir güvenlik modeli getiriyor. Katmanlar üç seviyeye ayrılmıştır. Seviye 1 en temel güvenlik önlemlerini temsil eder ve Seviye 3 en gelişmiş güvenlik önlemlerini gerektirir.
CMMC seviye 2 ve 3’te sınıflandırılan yüklenicilerin üçüncü taraf uyumluluk değerlendirmeleri yapması gerekecektir. Taslağa göre, yüklenicilerin belirli ihaleler için rekabet edebilmeleri için belirli CMMC seviyelerine ulaşmaları da gerekecek.
Taslağın Salı günü yayınlanmasıyla 60 günlük bir yorum dönemi başlıyor. Savunma Bakanlığı ilk olarak “CMMC 2.0” planlarını Kasım 2021’de duyurdu.
200 sayfadan fazla olan taslak, her kademeli seviyedeki yüklenicilere yönelik özel güvenlik gerekliliklerini ortaya koyuyor ve Seviye 1 yüklenicilerine Federal Satın Alma Yönetmeliğinde yer alan 15 güvenlik önlemini uygulama görevini veriyor. Gereksinimler her aşamada daha da gelişmiş hale gelir. Seviye 2 yüklenicilerinin Seviye 1 gerekliliklerini karşılamanın yanı sıra NIST SP 800-171’de belirtilen 110 güvenlik önlemini uygulaması gerekecektir. Seviye 3 yüklenicilerine, NIST SP 800-172’de belirtilen 24 ek güvenlik önleminin uygulanmasına ek olarak Seviye 1 ve Seviye 2 gerekliliklerini karşılamakla görev verilecek.
Kural, Pentagon’un Seviye 3 güvenlik uyumluluğunu değerlendireceğini ve yüklenicilere, değerlendirmeden sonra 180 gün içinde yerine getiremedikleri güvenlik gereklilikleri için eylem planları geliştirmeleri ve tamamlamaları için izin verileceğini söylüyor.
Önerilen kurala göre, Seviye 1 yüklenicilerinin federal sözleşme bilgilerini muhafaza etmelerine izin verilecek, Seviye 2 ve Seviye 3 yüklenicileri ise belirli kontrollü, sınıflandırılmamış bilgileri muhafaza edebilecek. Tüm CMMC yüklenicilerinin güvenlik değerlendirmelerini Savunma’ya bildirmeleri gerekecek, ancak Seviye 1 ve Seviye 2 yüklenicilerinin öz değerlendirme yapmalarına izin verilecek.
Pentagon, ilk iki kademedeki yüklenicilerin kendi değerlendirmelerini yapmalarına izin vererek, son kademe için Savunma Sanayii Üssü Siber Güvenlik Değerlendirme Merkezi’nden personel ayırarak paradan tasarruf edeceğini umuyor.