Entrust erleichtert die CMMC-Compliance. Dadurch können Vertragsnetze weiterhin das DoD und andere Regierungsbehörden unterstützen.

Die Cybersecurity Maturity Model Certification (CMMC) ist ein Programm, das vom amerikanischen Verteidigungsministerium (DoD) eingeführt wurde, um Federal Contract Information (FCI) und Controlled Unclassified Information (CUI) zu sichern und zu schützen, indem es die Zertifizierung von externen Auftragnehmern in 17 verschiedenen Domänen mit jeweils fünf festgelegten Zertifizierungsstufen verlangt.

CMMC ist ein einheitlicher Standard für die Implementierung von Cybersicherheit im gesamten Vertragsnetz des DoD, dessen Lieferkette über 300.000 Unternehmen umfasst. Mit CMMC reagierte das DoD auf signifikante Kompromittierungen von sensiblen verteidigungsrelevanten Informationen, die sich auf Informationssystemen von Auftragnehmern befanden.

  • Das CMMC-Programm wurde am 1. Januar 2020 eingeführt.
  • Ab dem 30. November 2020 integrierte das DoD CMMC-Anforderungen in ausgewählte RFPs/RFIs.
  • Bis zum 1. Oktober 2025 werden alle DoD-Verträge zumindest ein gewisses Maß an CMMC-Zertifizierung erfordern. Obwohl das DoD die treibende Kraft hinter CMMC war, wird CMMC zunehmend in der gesamten Verteidigungsindustrie (Defense Industrial Base, DIB) eingesetzt, darunter im Department of Homeland Security und in anderen US-Ministerien und -behörden – insbesondere nach dem SolarWinds-Vorfall.
Schützen Sie Ihre Kunden

Sind Sie auf die CMMC-Compliance vorbereitet?

In der Vergangenheit waren die Auftragnehmer für die Implementierung, Überwachung und Zertifizierung der Sicherheit ihrer informationstechnischen Systeme und aller sensiblen DoD-Informationen, die auf diesen Systemen gespeichert sind oder von diesen übertragen werden, verantwortlich.

Seit dem 30. November 2020 nimmt DoD CMMC-Anforderungen in ausgewählte RFPs, RFIs und Forschungsverträge auf. Bis zum 1. Oktober 2025 werden alle DoD-Verträge zumindest ein gewisses Maß an CMMC-Zertifizierung erfordern. Der Großteil der Verteidigungsindustrie wird wahrscheinlich eine Zertifizierung der Stufe 3 oder höher erfordern; dabei reicht die Skala von 1 (einfach) bis 5 (fortgeschritten). Mit CMMC hat ein Paradigmenwechsel des DIB-Marktes stattgefunden. Nun ist eine Bewertung durch Dritte darüber erforderlich, ob die Auftragnehmer bestimmte obligatorische Praktiken, Verfahren und Fähigkeiten einhalten, die sich an neue und sich entwickelnde Cyberbedrohungen von Gegnern anpassen können. Das digitale Sicherheitsportfolio von Entrust mit Identitäts-, Zertifikats- und Datenschutzlösungen ermöglicht die Compliance mit neun CMMC-Domänen über die fünf möglichen Zertifizierungsstufen hinweg.

Schützen Sie Ihre Organisation

Schlüsselfragen zur Bestimmung des Reifegrads Ihrer Organisation

Bearbeitet die Organisation grundlegende Informationen, wie z. B. Federal Contract Information (FCI)? Oder handelt es sich um Controlled Unclassified Information (CUI)? Für FCI ist eine Zertifizierung der Stufe 1 erforderlich, für CUI jedoch mindestens eine Zertifizierung der Stufe 3 und höher.

Wo weichen der aktuelle Cybersicherheitsstand der Organisation und das gewünschte CMMC-Niveau voneinander ab? Eine Defizitbewertung ist von unschätzbarem Wert für die Definition eines Aktionsplans und von Meilensteinen zur Erreichung der Cybersicherheitsreife des CMMC.

CMMC umfasst die in NIST SP 800-171 spezifizierten Sicherheitsanforderungen sowie zusätzliche Anforderungen aus anderen Standards und Quellen, die je nach Zertifizierungsstufe variieren. Was wird eine Defizitbewertung über den aktuellen Stand der Cybersicherheitshygiene des Unternehmens offenbaren?

Denken Sie an das oberste Ziel von CMMC: FCI und CUI vor dem Zugriff durch böswillige Hackerangriffe zu schützen.

CMMC-Fähigkeitsdomänen

Begeistern Sie Ihre Kunden

Entrust steht hilfreich an Ihrer Seite

Entrust bietet Lösungen, die die Compliance mit den folgenden neun CMMC-Domänen ermöglichen:

CMMC-Domäne

Zugriffskontrolle (Access Control, AC)
Asset-Management (AM)
Audit und Rechenschaftspflicht (Audit and Accountability, AU)
Konfigurationsmanagement (Configuration Management, CM)
Identifizierung und Authentifizierung (Identification and Authentication, IA)
Wartung (Maintenance, MA)
Medienschutz (Media Protection, MP)
Wiederherstellung (Recovery, RE)
Systemschutz und sichere Kommunikation (System and Communication Protection, SC)

Fähigkeit

  • Festlegen der Systemzugriffsanforderungen
  • Kontrolle des internen Systemzugriffs
  • Steuern des Systemfernzugriffs
  • Datenzugriffsbeschränkung auf autorisierte Benutzer und Prozesse
  • Identifizieren und Dokumentieren von Assets
  • Verwalten des Asset-Bestandsverzeichnisses
  • Definition der Audit-Anforderungen
  • Durchführen von Audits
  • Identifizieren und Schutz von Audit-Informationen
  • Überprüfen und Verwalten von Audit-Protokollen
  • Einrichten von Konfigurationsmindestanforderungen
  • Durchführen des Konfigurations- und Änderungsmanagements
  • Gewähren von Zugriff auf authentifizierte Entitäten
  • Wartungsverwaltung
  • Identifizieren und Markieren von Medien
  • Schutz und Kontrolle von Medien
  • Bereinigen von Medien
  • Schutz von Medien beim Transport
  • Verwalten von Backups
  • Verwalten der Aufrechterhaltung der Informationssicherheit
  • Definition von Sicherheitsanforderungen für Systeme und Kommunikation
  • Steuern der Kommunikationen an Systemgrenzen

Von Entrust unterstützt

Jetzt kostenlose Beratung anfordern

×

Hallo, wenn Sie
Fragen haben, stehe ich Ihnen im Chat zur Verfügung.

Jetzt chatten