CMMC Explained: פירוק יעדי אבטחת הסייבר החדשים של קהילת ההגנה האמריקאית

CMMC הסבר: פירוק יעדי אבטחת הסייבר החדשים של קהילת ההגנה האמריקאית

מאת דני ברדבורי • 11 יולי 2024

אבטחת סייבר הפכה לדאגה קריטית בתעשייה הביטחונית, עם איומים הולכים וגדלים המכוונים למידע רגיש ולתשתית קריטית. זה המקום שבו נכנס לתמונה אישור מודל הבגרות של אבטחת סייבר (CMMC). זוהי מסגרת עבור קבלני ביטחון ליישם אמצעי אבטחת סייבר, תוך הגנה על עצמם ועל שרשרת האספקה של משרד ההגנה האמריקאי. אבל איך זה עובד ואיך מצייתים לזה?

הוכרז לראשונה ביוני 2019, מסגרת CMMC היא שאפתנית. בשנת 2020, ה-DoD פרסם גרסה 1 של המסגרת, וחוק ביניים נשיאותי קבע תקופת השלב של חמש שנים עבור קבלני הגנה כדי להשיג ציות.

תאימות כרוכה בניווט במסגרת בסגנון מטריצה הבנויה סביב 17 תחומי אבטחת סייבר שהתפרשו במקור על חמש רמות בגרות. כל התחומים מקיפים מגוון רחב של שיטות אבטחה, החל מבקרת גישה וניהול נכסים דרך זיהוי ואימות ותגובה לאירועים ועד לשלמות המערכת והמידע. המסגרת מפרטת פרקטיקות ספציפיות בכל תחום התואמות להסמכה בכל רמת בגרות.

כל אחת מרמות הבשלות של המסגרת מתבססת על זו שמתחתיה, ויוצרת נתיב לקבלנים ביטחוניים להבשיל את שיטות אבטחת הסייבר שלהם.

תיקונים למסגרת

כפי שניתן לצפות, בהתחשב בכך ששניהם מגיעים מהממשל הפדרלי, CMMC קשור קשר הדוק לתקן אבטחה אחר: תקן NIST SP 800-171 להגנה על מידע מבוקר לא מסווג (CUI) במערכות וארגונים לא פדרליים. חוקים של תקנות רכישה פדרליות (FAR) ו-Defense Federal Acquisition Supplement (DFARS) (המכתיבים מה קבלנים פדרליים ובטחוניים חייבים לעשות לפני שהם יכולים לעבוד עם הממשל הפדרלי) מכתיבים ציות ל-NIST SP 800-171.

יתרון מרכזי אחד של ה-CMMC המקורי על פני NIST SP 800-171 היה שבעוד שהאחרון מסתמך על אישור עצמי לצורך תאימות, CMMC 1.0 חייב הערכות של צד שלישי לאימות יישום. עם זאת, במרץ 2021, ה-DoD הכריז על סקירה פנימית של CMMC, שהביאה לגרסה מעודכנת, CMMC 2.0, באותו נובמבר. עדכון זה היה תגובה למשוב מהתעשייה שביקש עלות ציות מופחתת (במיוחד עבור עסקים קטנים), יחד עם התאמה טובה יותר עם תקנים אחרים.

CMMC 2.0 הפחית את מספר רמות הבשלות לשלוש (בסיסי, מתקדם ומומחה). זה גם הוריד עלויות על ידי הצגת הערכות עצמיות לרמת הבסיס ודרישות מסוימות של מתקדם. שינויים נוספים שנועדו לרכך את ההשפעה על עסקים כללו הוראות לוויתור, יחד עם תוכניות פעולה ואבני דרך (POA&Ms). ויתורים מאפשרים לחברות לבקש פטורים זמניים מ-CMMC בנסיבות ספציפיות, בעוד ש-POA&Ms מאפשרים להן להגדיר יעדים עם לוחות זמנים לגישור על פערי ציות.

ב-CMMC 2.0 היעיל, דרישות NIST SP 800-171 מתחילות ברמה השנייה, בעוד שרמה שלוש כוללת כמה דרישות SP 800-172.

איך אתה יכול לעמוד ב-CMMC?

נכון לעכשיו, עמידה ב-CMMC 2.0 אינה דרישה חוזית מכיוון שעדיין צריך להשלים קביעת כללים עבור העדכון הזה. זה צפוי להימשך עד שנתיים. ה-DoD פרסם את הכלל המוצע שלו עבור CMMC בדצמבר 2023, עם תקופת ייעוץ של 60 יום. הכלל ייכנס לתוקף ב-1 באוקטובר 2026, אז זה חכם להתחיל עכשיו.

התחל בהגדרת רמת ה-CMMC שאליה אתה מצלם. אלה מכסים סוגים שונים של מידע. רמת היסוד מכסה מידע על חוזים פדרליים (FCI). Advanced מיועד לארגונים שמטרתם לטפל ב-CUI, הגנה מבוקרת, מידע טכני מבוקר או נתונים נשלטי ייצוא. הסמכת מומחה מאפשרת לך לשאת מידע קריטי, מבוקר, לא מסווג, והיא חלה גם על מי שעובד על פרויקטים רגישים בתחום התעופה והחלל או הצבא.

הרמה שלך תקבע את הדרישות שעליך לעמוד בהן. ההסמכה הבסיסית דורשת עמידה בדרישות המצויות בכלל FAR 52.204-21 (17 שיטות CMMC). כדי להשיג סטטוס מתקדם, תצטרך לעמוד בכל 110 בקרות האבטחה מ-NIST 800-171, בעוד שהסמכת מומחה תדרוש גם עמידה בתת-קבוצה של דרישות NIST 800-SP 172. תקן זה מכיל דרישות משופרות להגנה על CUI, לרבות אמצעי הפחתה מפני איומים מתמשכים מתקדמים.

זהה את הנכסים המכוסים על ידי CMMC וערוך ניתוח פערים כדי לראות היכן אתה נופל כרגע מההסמכה הדרושה לך. בחר ספק שירות מנוהל שיעזור לך עם דרישות שדרוג האבטחה שלך במידת הצורך. עליך גם להשלים הערכת CMMC, שעשויה להיות הערכה של צד שלישי בהתאם לרמת הבשלות שבחרת.

הרבה על מה לעבוד עכשיו

בזמן שאנו ממתינים לתאריך היעד של CMMC שיגיע, יש דרישות ציות דחופות יותר. ה-DoD יצר את תוסף תקנות הרכישה הפדרלית של ההגנה

(DFARS) סעיף 252.204-7012, כלל עדכני המחייב אמצעי אבטחת סייבר עבור קבלני הגנה פדרליים. על פי כלל זה, אשר בתוקף כעת, קבלנים חייבים לעמוד בכל 110 דרישות האבטחה מ-NIST SP 800-171.

בהמשך, צפו להתפתחויות נוספות ב-CMMC כעת לאחר ש-NIST פרסמה את הגרסה השלישית של NIST SP 800-71. לכאורה יש לזה פחות דרישות מ-v2, אבל הדרישות האלה הרבה יותר משמעותיות, דורשות יותר שאלות אימות ויותר עבודה. בעוד ש-CMMC 2.0 אינו כולל תאימות ל-NIST SP 800-71 v3, צפו לכך בעתיד.

אתה יכול להשתמש בעבודה קיימת שעשית על ISO 27001 כדי לעזור בהכנות אלו. למרות שהוא תקן נפרד מ-CMMC, יש חפיפה מסוימת. מכיוון ש-CMMC מבוסס במידה רבה על NIST SP 800-71, אתה יכול להשתמש במיפוי ISO 27001 בנספח D של NIST SP 800-71 כדי לתת לך התחלה של תאימות ל-CMMC.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.