网络安全 Maturity Model Certification (CMMC)

网络安全 Maturity Model Certification CMMC

网络安全成熟度模型认证(CMMC)认证框架对美国网络安全的影响.S. 国防部(DoD)承包商、供应链、解决方案提供商和系统集成商.

查看服务单张(PDF)

什么是网络安全成熟度模型认证(CMMC)?

CMMC is the 网络安全 Maturity Model Certification, 正在开发的帮助保护国防部供应链免受网络安全相关威胁的系统. 国防部在未来的合同中包含了针对CMMC成熟度模型的认证需求, which includes subcontractors as well. 供应链, 在国防部圈子里被称为国防工业基地或DIB, 可能成为国家对手的潜在目标,因为DIB的供应商可能拥有与国家安全有关的敏感或机密信息. 其理念是,没有一个安全的基础,所有的功能都处于危险之中. 网络安全应成为国防工业基础各个方面的基础.

为什么要创建CMMC?

外国对手对美国国防部(DoD)供应链的全球网络攻击, 行业竞争对手, 以及国际犯罪分子是美国国家安全最关注的问题.  中国等国家, 俄罗斯, 朝鲜向美国转移了6000多亿美元(占全球GDP的1%)。, 据艾伦·洛德说, 负责采办和维持的国防部副部长. 即使在今天, 这些不法分子利用COVID-19大流行作为他们邪恶行为的掩护,而组织则分散了注意力,因为他们将业务从实体办公室扩展到个人家中.

CMMC适用于谁?

30万家公司在某种程度上参与了国防工业基地(DIB), 无论是直接与国防部签订合同,还是作为大公司的分包商. Regardless of the relationship to the DoD, 所有供应链承包商都需要获得至少1级认证.

What is the CMMC Certification Process?

CMMC计划主要由国防部负责采办的副部长办公室推动. 一般, 认证过程将类似于许多其他认证或网络安全评估, 例如ISO或FedRAMP. 第一个, 为了形成围绕整个评估和认证过程的规则和框架,成立了一个认证机构. 然后,评估机构必须向认证机构申请认可其组织能够执行CMMC评估,然后培训和认证其员工执行评估工作. Once an assessment body completes the accreditation, 培训, 和 personnel certification process, 然后他们将能够执行CMMC评估来认证客户.

谁是CMMC评估员?

The process has been moving forward throughout 2020, 从CMMC认证委员会的成立开始, 或CMMC-AB. 审计委员会最初是由一个完全由志愿者组成的委员会妥协的,该委员会致力于为评估机构建立一个框架, 专业人士, 和 organizations seeking certification. The framework includes the st和ards themselves, the requirements for accreditation, the process for assessment 和 certification, 和培训. cmc - ab建立了临时评估员的测试程序. 这些评估人员是从评估空间中挑选出来的较小的人员,目前正在接受培训,以便在临时基础上进行评估. 国防部已经选择了非常具体的合同,这些合同目前正在进行新的CMMC要求的采购过程,作为测试/临时评估的测试. 这个经过仔细考虑的测试步骤将允许遵从性评估人员, 认可机构, 行业, 和国防部CMMC项目管理办公室进行一些评估,然后评估过程,以确定什么是最有效的.

After these provisional assessments occur, cmc - ab将推进更大规模的培训, assessor firm accreditation, 和 finalization of requirements. cmc - ab在建立认证生态系统的过程中仍处于非常早期的阶段. 目前的试点阶段被认为是临时阶段,只涉及有限数量的临时评审员及其相关的认证机构(或第三方评估组织)。. 国防部今年将试行不超过15个合同,直到2025年才会完全实施该要求.

2021年2月, Provincia 政府 解决方案 (PGS), NIST和FISMA评估的领导者,LBMC的战略合作伙伴, 成为首批获得cmc - ab认可的认证第三方评估机构(C3PAO). 阅读更多关于PGS和LBMC如何合作提供CMMC评估服务的信息: http://www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc

When is CMMC going to be required?

一般, 如果你是国防部的承包商或供应商,CMMC是你可能需要担心的事情, or subcontractor to a DoD contractor. 然而, 国防部和CMMC认证机构已经表示,国防部将在未来几年的新合同中部署这一要求. CMMC要求不期望被插入到现行合同中. 即使你现在可能不必担心,但开始考虑你的安全状况永远不会太早.

对CMMC有问题吗? LBMC可以帮助您的组织准备并获得CMMC认证. 联系 我们现在.

播客:什么是网络安全成熟度模型认证(CMMC)?

在这一集 网络安全意识, Caryn Woolley加入Bill Dean讨论网络安全成熟度模型认证(CMMC). 请收听本节目,了解美国国防部(DoD)为何创建了新的网络安全评估,以提高政府承包商和分包商的安全性. 在这一集里, Caryn解释了五个认证级别,反映了公司网络安全基础设施的成熟度和可靠性,以保护承包商信息系统上的敏感政府信息. 她还提供了有关CMMC当前状态的更多信息,以及国防部承包商现在可以采取哪些准备步骤.

CMMC框架

根据 国防部负责采办的副部长办公室 & 维护, CMMC框架包含五个成熟度流程和171个网络安全最佳实践,跨越五个成熟度级别. CMMC成熟度过程将网络安全活动制度化,以确保它们是一致的, 可重复的, 高质量的. CMMC框架与认证程序相结合,以验证流程和实践的实施.

What are the CMMC 5 levels?

CMMC实践提供了一系列跨级别的缓解, starting with basic safeguarding at level 1, 将对受控非机密信息(CUI)的广泛保护提升至第3级, 并最终降低4级和5级高级持续性威胁(apt)的风险.

CMMC如何带您通过5个级别的网络安全,有哪些实际的例子?

From the st和point of a common security process,
Example 1 – 事件响应:

  • 第1级,基本网络卫生,不直接处理事件响应
  • 二级,中级网络卫生,记录事件响应程序
  • 3级, 良好的网络卫生, 管理阶段, 包括管理报告事件和向适当级别报告的实践
  • 4级, 积极的网络卫生, 包括持续审查事件和建立响应能力
  • 5级, Advanced / Progressive Cyber Hygiene, 事件响应能力包括异常活动和建立CIRT

要求:

水平数量实践
2IR.2.096根据预先定义的程序制定和实施对已宣布事件的响应.
3IR.3.098Track, 文档, 并向指定的官员和/或机构报告事件,包括内部和外部的组织.
4IR.4.101建立和维护安全运营中心能力,促进24/7响应能力.
5IR.5.102Use a combination of manual 和 automated, 对符合事件模式的异常活动的实时响应.
5IR.5.108建立并维护一个网络事件响应团队,可以在24小时内在任何地点进行物理或虚拟的问题调查.

例2 -执行配置和变更管理:

  • This capability is not required for level 1 maturity.
  • 在2级, 控制侧重于控制实践的文档,我们将介绍安全配置, 变更控制跟踪, 和 security impact analysis
  • 3级, 围绕配置的控制变得更加成熟,并进展到已管理状态, requiring physical 和 logical access restrictions, removal of non-essential 功能, 和 whitelist/blacklist access software restrictions.
  • 级别4引入了基于管理评审的应用程序白名单
  • 第5级引入了一个持续审查有效性的过程,它引入了优化. Viewing in this fashion show the increasing maturity, the improved security posture, 以及围绕配置的能力如何在组织开展业务的方式中变得越来越根深蒂固.

要求:

水平数量实践
2CM.2.064为组织系统中使用的信息技术产品建立并实施安全配置设置.
2CM.2.065跟踪、审查、批准或不批准,并记录组织系统的变更.
2CM.2.066在实施之前分析变更的安全影响.
3CM.3.067定义, 文档, 批准, 并执行与组织系统变更相关的物理和逻辑访问限制.
3CM.3.068限制, 禁用, or prevent the use of nonessential programs, 功能, 港口, 协议, 和服务.
3CM.3.069应用例外拒绝(黑名单)策略,防止使用未经授权的软件或拒绝所有, 允许执行授权软件的例外允许(白名单)策略.
4CM.4.073对组织确定的系统采用应用程序白名单和应用程序审查流程.
5CM.5.074验证组织定义的安全关键或必要软件的完整性和正确性(e).g.信任的根、形式验证或加密签名).

前3个级别的安全域添加

  • 水平 1, 17 controls across 6 domains:
    1. 访问控制(ac)
    2. IDENTIFICATION AND AUTHENTICATION (IA)
    3. 媒体保护(mp)
    4. 物理保护(pe)
    5. SYSTEM AND COMMUNICATIONS PROTECTION (SC)
    6. SYSTEM AND INFORMATION INTEGRITY (SI)
  • 水平 2, 72 controls across 15 domains, which adds:
    1. AUDIT AND ACCOUNTABILITY (AU)
    2. AWARENESS AND TRAINING (AT)
    3. CONFIGURATION MANAGEMENT (CM)
    4. 事件响应(ir)
    5. 维护(MA)
    6. 人事保安(ps)
    7. 恢复(RE)
    8. 风险管理(rm)
    9. 安全评估(ca)
  • 3级, 130 controls across 17 domains, which adds:
    1. 资产管理(am)
    2. SITUATIONAL AWARENESS (SA)
CMMC一级实践 CMMC 2级实践 CMMC三级实践

大多数公司将落入第1级,那么这17个控制是什么呢?

这17项控制实际上是大多数公司已经在做的事情, 您可能只需要将它们形式化一点,以便为审计做好准备. 这些基本功能包括使用用户id和有效密码, 限制系统访问, 和功能, 消毒媒体, 限制/记录/控制物理访问和控制访问者, 控制系统边界(通常通过防火墙和DMZ), 修补漏洞, 和, 最后但同样重要的, malicious code protection that updates 和 scans.

Here is what the 17 controls look like:

  • Limit information system access to authorized users, 流程 acting on behalf of authorized users, 或设备 (including other information systems).
  • 限制信息系统对授权用户被允许执行的事务和功能类型的访问.
  • 验证和控制/限制外部信息系统的连接和使用.
  • 控制在公共信息系统上发布或处理的信息.
  • 识别信息系统用户、代表用户的过程或设备.
  • 验证(或验证)这些用户的身份, 流程, 或设备, 作为允许访问组织信息系统的先决条件.
  • 在处理或重新使用前,对包含联邦合同信息的信息系统媒体进行消毒或销毁.
  • 限制对组织信息系统的物理访问, 设备, 并将各自的操作环境交给授权人员.
  • Escort visitors 和 monitor visitor activity.
  • Maintain audit logs of physical access.
  • Control 和 manage physical access devices.
  • 监视、控制和保护组织通信(1.e., 在信息系统的外部边界和关键的内部边界上,组织信息系统传送或接收的信息.
  • 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网.
  • 及时发现、报告和纠正信息和信息系统的缺陷.
  • 在组织信息系统的适当位置提供针对恶意代码的保护.
  • 当新版本可用时,更新恶意代码保护机制.
  • 定期对信息系统进行扫描,并在下载文件时对外部源的文件进行实时扫描, 打开, 或执行.

What does it look like when I move on to 水平 2?

还有55个额外的控制,总共72个. 这个列表可能太长了,不能全部包含在这里. But to give you an idea of what we are looking at.

  • Access control 和 Identification / Authorization, 在第一级, focused on limiting access to systems 和功能, use of authentication mechanisms 和 identifiers, 并保持对外部和公共访问系统的访问控制, 现在更进一步. 水平 2 adds privacy/security notices, limitations on portable device storage, 最小特权, 会话锁, 登录尝试限制, 无线控制, 远程访问控制, 以及具体的密码管理和加密要求
  • 系统与通讯, 哪一个级别1需要防火墙类型的边界保护和DMZ的实现, 增加围绕协作工具的远程控制和网络设备管理会话加密的控制.

也, why would a company go for a level 2 certification, when DoD is only requiring a level 1 or a 3级? 第2级表示正在向第3级迈进的公司的过渡状态. 比如说, 贵公司希望签订一份需要三级证书的合同, 但你的安全状况还没到那个地步, 您可以获得2级认证,以更好地展示您当前的过渡状态. 目前,在合同奖励之前不需要合同认证级别. So, 2级认证的过渡状态可以帮助您的组织在合同授予之前显示合同提案的进展.

Ok, tell me about 水平s 3, 4, 和 5?

第3级是另一个重大进步,增加了58个控件,总共有130个控件. 对于一个不太成熟的安全项目来说,提升到第3级可能意义重大. 3级 is good cyber hygiene. 虽然大多数公司将解决第3级出现的大部分风险, 他们可能没有按照这些要求的特殊性来做. 此外,能够显示这些控件的实现可能是一个挑战. 三级, you not only have the policy / procedure requirements, 还有与持续实施控制有关的计划.

To go back 2 of the previous examples, 访问控制, which goes from 4 at level 1 to 14 at level 2, now adds 8 more for a total of 22 controls. And then identification 和 authentication, goes from 2 at level 1 to 7 at level 2, now adds 4 more for a total of 11 controls. 为这两个域添加的控件类型-无线的附加控件, 远程访问, 职责分离, 特权用户、移动设备、加密和多因素身份验证.

系统与通讯——从1级的2分开始到2级的4分, now adds 15 more for a total of 19 controls. Additional requirements include more specific firewall, 远程访问, 和 encryption techniques, new requirements around mobile code, 网络电话, 会话控制, 以及密钥管理.

第4级和第5级引入了最少的主动网络控制和高级网络保护. 这些级别适用于拥有比3级更敏感信息的公司. During that initial pilot phases of CMMC, 重点是1级到3级,4级和5级被认为是未来的状态. 尽管如此,还是有人提议控制辐射水平.

让我们回到访问控制的领域,看看我们为第4级添加了什么:

  • 控制连接系统安全域之间的信息流.
  • 定期审查和更新CUI程序访问权限.
  • 根据组织定义的风险因素(如一天中的时间)限制远程网络访问, 通道位置, 物理位置, 网络连接状态, 和 measured properties of the current user 和 role.

第5级:

  • 识别并降低与连接到网络的未识别无线接入点相关的风险.

对CMMC有问题吗 水平s? LBMC可以帮助您的组织准备和驾驭CMMC框架. 联系 我们现在.

画了网络安全成熟度模型认证(CMMC)链接

画了 Hendrickson

股东 & 实践 Leader, 网络安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔