Сертификация модели зрелости кибербезопасности

Структура оценки и программа сертификации оценщиков

Сертификация модели зрелости кибербезопасности ( CMMC ) — это структура оценки и программа сертификации оценщиков, разработанная для повышения доверия к показателям соответствия различным стандартам, опубликованным Национальным институтом стандартов и технологий . ^[1]

Структура и модель CMMC были разработаны Управлением заместителя министра обороны по закупкам и обеспечению (OUSD(A&S)) Министерства обороны США в рамках существующих контрактов с Университетом Карнеги-Меллона , Лабораторией прикладной физики Университета Джонса Хопкинса и Futures, Inc. ^[1] Орган по аккредитации сертификации модели зрелости кибербезопасности курирует программу в рамках бесплатного контракта. В настоящее время программа курируется офисом CIO Министерства обороны США . ^[2]

CMMC, который часто требует оценки третьей стороной, если подрядчик обрабатывает контролируемую несекретную информацию , повлияет на оборонную промышленность стоимостью 768 млрд долларов — 3,2% валового внутреннего продукта Соединенных Штатов Америки. ^[3]

Целью CMMC является проверка того, что информационные системы, используемые подрядчиками Министерства обороны США для обработки, передачи или хранения конфиденциальных данных, соответствуют обязательным требованиям информационной безопасности. ^[4] Цель состоит в том, чтобы обеспечить надлежащую защиту контролируемой несекретной информации (CUI) ^[5] и информации о федеральных контрактах (FCI), которая хранится и обрабатывается партнером или поставщиком.

Модель

Структура предоставляет модель для подрядчиков в оборонной промышленной базе для соответствия требованиям безопасности из NIST SP 800-171 Rev 2, Защита контролируемой неклассифицированной информации в нефедеральных системах и организациях. Некоторые контракты также будут включать подмножество требований из NIST SP 800–172, Расширенные требования безопасности для защиты контролируемой неклассифицированной информации: Дополнение к специальной публикации NIST 800–171. ^[6]

CMMC организует эти практики в набор доменов, которые напрямую соответствуют семействам NIST SP 800-171 Rev 2 и NIST SP 800-172. В CMMC есть три уровня — Уровень 1, Уровень 2 и Уровень 3 ^[1]

Уровень	Описание	Практики	Цели	Оценка	Область фокусировки
1	Основополагающий	14 на основе FAR 52.204-21 с перекрестной ссылкой на NIST SP 800-171 rev 2	59	Ежегодная самооценка	Защита информации о федеральных контрактах (FCI)
2	Передовой	110 практик, соответствующих NIST SP 800-171	320	Трехгодичные оценки третьей стороной для критически важной информации национальной безопасности. Ежегодная самооценка для отдельных программ	Защита контролируемой несекретной информации (CUI)
3	Эксперт	Более 110 практик на основе NIST SP 800-171, а также подмножество требований безопасности из NIST SP 800-172	Более 320 целей, ожидающих окончательного руководства от Министерства обороны (которое контролируется NIST SP 800-172)	Трехгодичные оценки, проводимые правительством	Усиленная защита контролируемой несекретной информации (CUI)

CMMC не будет применяться к федеральным контрактам до тех пор, пока окончательное нормотворчество не будет завершено и включено в Свод федеральных правил (CFR) 32 и 48. [1]. ^[6]

Офис CMMC пообещал предоставить руководство, которое поможет компаниям оборонно -промышленной базы определить, какой уровень аккредитации им следует запрашивать в зависимости от их роли основного или субподрядного поставщика по различным контрактам.

История

В 2002 году Федеральный закон об управлении информационной безопасностью потребовал от каждого федерального агентства США разработать, документировать и внедрить общеведомственную программу по обеспечению информационной безопасности информации и информационных систем.

В 2002 году Закон о научных исследованиях и разработках в области кибербезопасности санкционировал ассигнования Национальному научному фонду (NSF) и министру торговли для Национального института стандартов и технологий (NIST) для создания новых программ и увеличения финансирования некоторых текущих программ для научных исследований и разработок в области компьютерной и сетевой безопасности (CNS) и исследовательских стипендий CNS. Это привело к разработке требований безопасности в рамках сертификации модели зрелости кибербезопасности.

В 2003 году проект FISMA, теперь проект по управлению рисками, запустил и опубликовал такие требования, как FIPS 199 , FIPS 200 и специальные публикации NIST 800–53 , 800–59 и 800–6. Затем специальные публикации NIST 800–37, 800–39, 800–171, 800-53A.

В 2010 году указ 13556 «Контролируемая несекретная информация» отменил предыдущий указ и создал стандарт маркировки данных во всем правительстве.

В 2011 году в Дополнении к Положению о федеральных закупках Министерства обороны (DFARS) в деле 2011-D039 было предложено правило 7000, устанавливающее требования к защите несекретной информации, особенно связанной с фундаментальными исследованиями.

В 2013 году вступает в силу правило DFARS 252.204-7000, которое требует защиты конфиденциальных данных в нефедеральных системах.

В 2016 году вступает в силу пункт DFARS 7012, требующий от всех держателей контрактов самостоятельной оценки соответствия требованиям безопасности NIST SP 800-171.

В 2019 году Министерство обороны объявило о создании Сертификации модели зрелости кибербезопасности (CMMC) для перехода от механизма самоподтверждения базовой кибергигиены организации, который использовался для управления оборонной промышленной базой. С 2017 года все подрядчики в сфере обороны были обязаны самостоятельно оценивать и сообщать о своей готовности к кибербезопасности в соответствии со стандартом NIST SP 800-171.

После серии нарушений в цепочке поставок ^[7] Министерство обороны в сотрудничестве с промышленностью создало модель CMMC.

В 2019 году временное правило, разрешающее включение CMMC в контракты на закупки, Дополнение к Положению о федеральных оборонных закупках ( DFARS ) 2019-D041, было опубликовано 29 сентября 2020 года и вступило в силу 30 ноября 2020 года. ^[8]

8 декабря 2020 года Совет по аккредитации CMMC и Министерство обороны опубликовали обновленный график ^[9] , согласно которому модель должна быть полностью реализована к сентябрю 2021 года.

8 декабря 2020 года Министерство обороны выделит семь пилотных грантов, которые будут пилотировать структуру CMMC и потребуют от любого подрядчика, получающего грант, чтобы сертифицированный сторонний оценщик оценил соответствие компании требованиям. ^[10]

31 декабря 2020 года Управление общих служб опубликовало запрос предложений по своей программе Polaris, в котором отмечалось, что, хотя в настоящее время CMMC применяется только к Министерству обороны, все государственные подрядчики, как гражданские, так и военные, должны быть готовы соответствовать требованиям CMMC. ^[11]

4 ноября 2021 года Министерство обороны объявило о выпуске CMMC 2.0. ^[12] Эта новая версия была разработана для упрощения своих требований.

29 сентября 2022 года Cyber AB (орган по аккредитации CMMC Министерства обороны) создал дочернюю компанию для управления обучением и сертификацией под названием «Сертификация оценщиков и инструкторов по кибербезопасности» (CAICO). ^[13]

25 октября 2022 года Организация по сертификации оценщиков и инструкторов кибербезопасности (CAICO) ^[14] объявила о запуске экзамена Certified CMMC Professional (CCP). Этот экзамен проверяет знание кандидатом структуры CMMC Министерства обороны, а также ролей и обязанностей различных должностей в ней. ^[15]

5 января 2023 года RedSpin, сторонний оценщик CMMC, объявил, что они успешно провели оценку клиента в рамках Программы добровольной оценки совместного наблюдения (JSVAP). ^[16]

26 декабря 2023 года Министерство обороны опубликовало в Федеральном реестре предлагаемое правило «Программа сертификации модели зрелости кибербезопасности (CMMC)», устанавливающее обновленные требования для CMMC 2.0. ^[17]

Критика

Профессионалы отрасли выразили значительную обеспокоенность по поводу отсутствия централизованных официальных коммуникаций и ускоренных сроков развертывания. Огромное количество компаний, затронутых в промышленной базе Оборонной промышленности, создает уровень объема для еще не аккредитованных сторонних организаций по оценке CMMC (C3PAO), который, по-видимому, нереалистичен к предлагаемым срокам и активно обсуждается на LinkedIn. ^[18]^[19] Аррингтон ответил, заявив, что взаимность с существующими программами сертификации, такими как FedRAMP и FIPS 140, устранит дублирование работы и сохранит минимальный уровень работы для компаний, которые уже соответствуют требованиям. ^[20]

Председатель аккредитационного органа CMMC Тай Шибер покинул совет вместе с Марком Берманом, директором по коммуникациям, в разгар явно несанкционированной спонсорской программы «Pay to Play», опубликованной на веб-сайте CMMC-AB. Карлтон Джонсон занял пост председателя. ^[21]^[22]

Смотрите также

Ссылки

^ abc «Обзор модели сертификации зрелости кибербезопасности (CMMC). Дата обращения 01.04.2022» (PDF) .
^ «Главный информационный директор Министерства обороны. Доступ 17 апреля 2023 г.».
^ "Стокгольмский международный институт исследований проблем мира. "Тенденции мировых военных расходов, 2019", стр. 2–3. Доступ 7 декабря 2020 г." (PDF) .
^ "Стратегическое направление программы сертификации модели зрелости кибербезопасности (CMMC)". Министерство обороны США . Получено 27 декабря 2022 г.
^ Росс, Рон; Пиллиттери, Виктория; Демпси, Келли; Риддл, Марк; Гиссани, Гэри (28 января 2021 г.). «Защита контролируемой несекретной информации в нефедеральных системах и организациях».
^ ab «Сертификация модели зрелости кибербезопасности (CMMC)».
^ «Стратегия ФБР направлена на борьбу с развивающейся киберугрозой – Федеральное бюро расследований». Федеральное бюро расследований . 16 сентября 2020 г. Получено 8 января 2021 г.
^ "Дополнение к Положению о федеральных оборонных закупках: Оценка выполнения подрядчиком требований кибербезопасности (дело DFARS 2019-D041)". Федеральный реестр . 29 сентября 2020 г. Получено 9 января 2021 г.
^ «Обновление временной шкалы CMMC». CyberDI . 5 января 2021 г. Получено 9 января 2021 г.
^ Сербу, Джаред (15 декабря 2020 г.). «Пентагон раскрывает первые контракты на роль первопроходцев для CMMC». Federal News Network . Получено 8 января 2021 г.
^ Бойд, Аарон (4 января 2021 г.). «GSA выпускает проект нового государственного контракта на ИТ-услуги Polaris». Nextgov.com . Получено 8 января 2021 г.
^ "OUSD". 4 ноября 2021 г. Архивировано из оригинала 4 ноября 2021 г.
^ «Cyber AB формирует организацию по сертификации оценщиков и инструкторов кибербезопасности». GovCon Wire . 29 сентября 2022 г. Получено 21 февраля 2023 г.
^ Организация по сертификации оценщиков и инструкторов по кибербезопасности (CAICO)
^ «Организация по сертификации оценщиков и инструкторов по кибербезопасности запускает сертифицированный профессиональный экзамен CMMC». Business Wire . 25 октября 2022 г. Получено 21 февраля 2023 г.
^ «Redspin становится первым C3PAO, успешно прошедшим оценку JSVAP». www.businesswire.com (пресс-релиз). 5 января 2023 г. Получено 17 апреля 2023 г.
^ Программа сертификации модели зрелости кибербезопасности (CMMC), 88 FR 89058 (предложено 26 декабря 2023 г.) (будет кодифицировано в 32 CFR § 170). Федеральный реестр .
^ «Технологические компании сообщают Министерству обороны, что его новые киберстандарты не соответствуют действительности». Federal News Network . 27 марта 2020 г. Получено 9 января 2021 г.
^ «DoD предупреждает поставщиков о поддельных сторонних сертификаторах CMMC». Federal News Network . 24 февраля 2020 г. Получено 9 января 2021 г.
^ Уильямс, Лорен С. (8 сентября 2020 г.). «Руководящие принципы взаимности CMMC все еще находятся в стадии разработки». FCW . Получено 9 января 2021 г.
^ «Проблемы сертификации модели зрелости кибербезопасности». Fedscoop . 28 июля 2020 г. Архивировано из оригинала 28 июля 2020 г. Получено 9 января 2021 г.
^ "CMMC AB выгоняет председателя Тая Шибера и Марка Бермана". Fedscoop . 16 сентября 2020 г. Архивировано из оригинала 1 октября 2020 г. Получено 9 января 2021 г.

Внешние ссылки

Официальный сайт CMMC
Официальный сайт Cyber AB (Совет по аккредитации)
Обзор предлагаемых правил сертификации модели зрелости кибербезопасности (CMMC) Министерства обороны США
Контрольный список соответствия CMMC 2.0

[auto1-1] «Обзор модели сертификации зрелости кибербезопасности (CMMC). Дата обращения 01.04.2022» (PDF) .

[2] «Главный информационный директор Министерства обороны. Доступ 17 апреля 2023 г.».

[3] "Стокгольмский международный институт исследований проблем мира. "Тенденции мировых военных расходов, 2019", стр. 2–3. Доступ 7 декабря 2020 г." (PDF) .

[4] "Стратегическое направление программы сертификации модели зрелости кибербезопасности (CMMC)". Министерство обороны США . Получено 27 декабря 2022 г.

[5] Росс, Рон; Пиллиттери, Виктория; Демпси, Келли; Риддл, Марк; Гиссани, Гэри (28 января 2021 г.). «Защита контролируемой несекретной информации в нефедеральных системах и организациях».

[auto-6] «Сертификация модели зрелости кибербезопасности (CMMC)».

[Federal_Bureau_of_Investigation_2020-7] «Стратегия ФБР направлена на борьбу с развивающейся киберугрозой – Федеральное бюро расследований». Федеральное бюро расследований . 16 сентября 2020 г. Получено 8 января 2021 г.

[8] "Дополнение к Положению о федеральных оборонных закупках: Оценка выполнения подрядчиком требований кибербезопасности (дело DFARS 2019-D041)". Федеральный реестр . 29 сентября 2020 г. Получено 9 января 2021 г.

[9] «Обновление временной шкалы CMMC». CyberDI . 5 января 2021 г. Получено 9 января 2021 г.

[Serbu_2020-10] Сербу, Джаред (15 декабря 2020 г.). «Пентагон раскрывает первые контракты на роль первопроходцев для CMMC». Federal News Network . Получено 8 января 2021 г.

[Boyd_2021-11] Бойд, Аарон (4 января 2021 г.). «GSA выпускает проект нового государственного контракта на ИТ-услуги Polaris». Nextgov.com . Получено 8 января 2021 г.

[12] "OUSD". 4 ноября 2021 г. Архивировано из оригинала 4 ноября 2021 г.

[13] «Cyber AB формирует организацию по сертификации оценщиков и инструкторов кибербезопасности». GovCon Wire . 29 сентября 2022 г. Получено 21 февраля 2023 г.

[14] Организация по сертификации оценщиков и инструкторов по кибербезопасности (CAICO)

[15] «Организация по сертификации оценщиков и инструкторов по кибербезопасности запускает сертифицированный профессиональный экзамен CMMC». Business Wire . 25 октября 2022 г. Получено 21 февраля 2023 г.

[16] «Redspin становится первым C3PAO, успешно прошедшим оценку JSVAP». www.businesswire.com (пресс-релиз). 5 января 2023 г. Получено 17 апреля 2023 г.

[17] Программа сертификации модели зрелости кибербезопасности (CMMC), 88 FR 89058 (предложено 26 декабря 2023 г.) (будет кодифицировано в 32 CFR § 170). Федеральный реестр .

[18] «Технологические компании сообщают Министерству обороны, что его новые киберстандарты не соответствуют действительности». Federal News Network . 27 марта 2020 г. Получено 9 января 2021 г.

[19] «DoD предупреждает поставщиков о поддельных сторонних сертификаторах CMMC». Federal News Network . 24 февраля 2020 г. Получено 9 января 2021 г.

[20] Уильямс, Лорен С. (8 сентября 2020 г.). «Руководящие принципы взаимности CMMC все еще находятся в стадии разработки». FCW . Получено 9 января 2021 г.

[21] «Проблемы сертификации модели зрелости кибербезопасности». Fedscoop . 28 июля 2020 г. Архивировано из оригинала 28 июля 2020 г. Получено 9 января 2021 г.

[22] "CMMC AB выгоняет председателя Тая Шибера и Марка Бермана". Fedscoop . 16 сентября 2020 г. Архивировано из оригинала 1 октября 2020 г. Получено 9 января 2021 г.