Полное руководство по CMMC

Программа сертификации модели зрелости кибербезопасности — это механизм проверки, призванный гарантировать, что все компании оборонно-промышленной базы (DIB) внедряют надлежащие практики кибербезопасности. Структура CMMC, основанная на специальной публикации (SP) 800-171 Национального института стандартов и технологий (NIST), объединяет всех подрядчиков DIB в рамках одного стандарта безопасности, подлежащего сертифицированию.

Иными словами, все партнеры по миссии Министерства обороны (DoD) обязаны внедрить один и тот же набор средств контроля безопасности в зависимости от определенных переменных факторов. В любом случае любой государственный подрядчик, участвующий в тендере на заключение контракта с DoD, должен получить сертификат CMMC, подтвердив тем самым выполнение предъявляемых к нему требований.

Зачем была создана сертификация CMMC?

В октябре 2016 г. DoD выпустило статью приложения к Федеральному положению о военных закупках (DFARS) под названием «Защита охраняемой оборонной информации и информирование о киберинцидентах». Согласно этому положению, от оборонных подрядчиков требовалось проводить самостоятельную аттестацию зрелости их кибербезопасности.

Однако аудит проводился редко, а выводы по результатам аудита часто были недостоверными, что приводило к непоследовательному соблюдению нормативно-правовых требований. В свою очередь, учреждения DoD не имели уверенности в том, что их партнеры по миссии принимают все необходимые меры для защиты государственных активов.

Пытаясь отказаться от этой модели самостоятельной аттестации, DoD представило в 2019 г. CMMC. В ноябре 2020 г. DoD начало включать стандарты CMMC в свои требования контракта.

Почему важно соблюдать нормативно-правовые требования CMMC?

Цель структуры CMMC — защита государственной информации от несанкционированного доступа и раскрытия. В частности, она предписывает применение практик защиты двух типов данных, описанных ниже.

1. Контролируемая несекретная информация (CUI). Контролируемая несекретная информация — это любые данные, которые не имеют статуса секретных, но все равно нуждаются в защите в соответствии с конкретной государственной политикой и постановлениями. CUI может относиться к критически важной инфраструктуре, данным финансового учета, национальной обороне и другим секретным областям.
2. Федеральная контрактная информация (FCI). Напротив, FCI — это информация, предоставляемая или создаваемая для правительства США по контракту, которая не помечена как подлежащая публичному разглашению. Несмотря на то что федеральная контрактная информация имеет меньший уровень конфиденциальности, чем CUI, ее все равно необходимо строго защищать.

В условиях растущего числа кибератак, нацеленных на государственные учреждения, соблюдать нормативно-правовые требования CMMC стало крайне необходимо. Спонсируемые государством хакерские атаки могут обходиться особенно дорого: средние затраты на одну хакерскую атаку составляют 4,43 млн долл. США. Хуже того, учитывая характер государственных данных, эти атаки могут поставить под угрозу интересы США, включая национальную безопасность.

Каковы преимущества получения сертификата CMMC?

Оборонные подрядчики имеют все основания соблюдать требования CMMC. Это не только обязательство всех партнеров по миссии, но и конкурентное бизнес-преимущество. Например, получение сертификата CMMC может:

• помочь участвовать в тендерах на заключение контрактов с DoD;
• обеспечить высокий уровень надежности для клиентов учреждений;
• повысить устойчивость к кибератакам и минимизировать риски.

Что такое CMMC 2.0?

DoD объявило о планах обновить и упростить структуру CMMC в ноябре 2021 г. Цель состояла в том, чтобы облегчить подрядчикам внедрение и соблюдение стандартов CMMC и одновременно оптимизировать процесс сертификации.

Министерство обороны закрепило свою структуру в более единообразной, всеобъемлющей и легко понятной версии — CMMC версии 2.0. Что касается перспектив на будущее, то к 1 октября 2025 г. DoD потребует от претендентов на контракты соответствовать по крайней мере хоть какому-нибудь уровню сертификации CMMC.

Требования CMMC организованы в многоуровневую систему. Первоначальная версия содержала пять независимых уровней, а в CMMC 2.0 упростили структуру до трех уровней.

Они согласовываются на основе того, как подрядчики (и субподрядчики) обрабатывают FCI и CUI. Как правило, чем выше уровень конфиденциальной информации, которую вы обрабатываете, тем строже нормативно-правовые требования к вам предъявляются.

Таким образом, каждый уровень имеет свои собственные процессы, практики и процедуры оценки и основывается на предыдущем.

1. Уровень 1 CMMC (фундаментальный): 17 практик, проверяемых путем самооценки.
2. Уровень 2 CMMC (продвинутый): 110 практик, соответствующих стандарту NIST SP 800-171, которые проверяет третья сторона путем проведения оценки три раза в год.
3. Уровень 3 CMMC (экспертный): более 110 практик, основанных на стандарте NIST SP 800-172, которые проверяются путем проведения оценки безопасности три раза в год под руководством правительства.

Кроме того, в рамках CMMC конкретные практики кибербезопасности разбиваются на 14 областей с 43 возможностями. В этом контексте термин «возможности» относится к средствам контроля безопасности. Подрядчики DoD должны их внедрять и управлять ими в зависимости от их соответствующего уровня. Области CMMC включают приведенные ниже.

1. Контроль доступа.
2. Аудит и подотчетность.
3. Осведомленность и обучение.
4. Управление конфигурацией.
5. Идентификация и аутентификация.
6. Реагирование на чрезвычайные ситуации.
7. Техническое обслуживание.
8. Защита носителей.
9. Безопасность персонала.
10. Физическая защита.
11. Оценка рисков.
12. Оценка безопасности.
13. Защита систем и коммуникаций.
14. Целостность информации и систем.

Компания Entrust предоставляет решения для облегчения соблюдения следующих 9 областей CMMC:

Область CMMC

Область CMMCКонтроль доступа (AC)

Область CMMCАудит и подотчетность (AU)

Область CMMCУправление конфигурацией (CM)

Область CMMCИдентификация и аутентификация (IA)

Область CMMCТехническое обслуживание (MA)

Область CMMCЗащита носителей (MP)

Область CMMCФизическая защита (PE)

Область CMMCЗащита системы и связи (SC)

Область CMMCЦелостность информации и систем (SI)

Возможности

Контроль доступа (AC)

• Определенное требований к доступу к системе
• Управление доступом к внутренним системам
• Управление доступом к удаленным системам
• Предоставление доступа к данным только авторизованным пользователям и процессам

Аудит и подотчетность (AU)

• Определение требований аудита
• Проведение аудита
• Определение и защита аудиторской информации
• Просмотр журналов аудита и управление ими

Управление конфигурацией (CM)

• Установка базовых параметров конфигурации
• Выполнение настройки и управление изменениями

Идентификация и аутентификация (IA)

• Предоставление доступа к аутентифицированным объектам

Техническое обслуживание (MA)

• Управление техническим обслуживанием

Защита носителей (MP)

• Идентификация и маркировка носителей
• Защита и контроль носителей
• Санитарная обработка носителей
• Защита носителей во время транспортировки

Физическая защита (PE)

• Ограничение физического доступа

Защита системы и связи (SC)

• Определение требований безопасности для систем и коммуникаций
• Управление коммуникациями на границах систем

Целостность информации и систем (SI)

• Выявление недостатков информационных систем и управление ими
• Идентификация вредоносного контента
• Проведение мониторинга сетей и систем
• Внедрение расширенных средств защиты электронной почты

Службы поддержки Entrust

Контроль доступа (AC)

Аудит и подотчетность (AU)

Управление конфигурацией (CM)

Идентификация и аутентификация (IA)

Техническое обслуживание (MA)

Защита носителей (MP)

Физическая защита (PE)

Защита системы и связи (SC)

Целостность информации и систем (SI)

Процесс оценки CMMC является намеренно строгим. Начать соблюдать нормативно-правовые требования может быть непросто, но с хорошо спланированным контрольным списком можно поэтапно достичь этой цели.

Давайте рассмотрим каждый из этапов, чтобы помочь вам начать работу.

1. Определите свой уровень CMMC. Ваш минимальный уровень зрелости кибербезопасности зависит от того, как вы обрабатываете FCI и CUI. Проведите инвентаризацию своих систем, сетей и процессов, чтобы точно определить, где и как вы осуществляете доступ к этим данным.
2. Проведите самооценку. Выполните анализ недочетов в CMMC, чтобы выявить уязвимости или области для улучшения, которые не соответствуют передовым практикам.
3. Составьте план обеспечения безопасности систем (SSP). Планы SSP необходимы для сертификации CMMC. В этих планах отражается схема вашей среды безопасности и возможности управления, что позволяет определить границы среды, места подключения к другим системам и то, насколько хорошо вы выполняете определенные требования.
4. Инвестируйте в инструменты, готовые к будущему. Скорее всего, вы обнаружите недочеты в своей системе кибербезопасности. Будьте готовы развернуть дополнительные решения, чтобы удовлетворить все свои потребности и выполнить нормативно-правовые требования CMMC.
5. Пригласите стороннего аудитора. Аудит CMMC должен проводить зарегистрированный специалист, зарегистрированная организация-поставщик или сторонняя организация по оценке (3PAO).
6. Поддерживайте нормативно-правовое соответствие. После сертификации вы должны внедрить непрерывный мониторинг для выявления недочетов по мере их возникновения и обеспечения того, чтобы средства контроля безопасности продолжали работать надлежащим образом.

Упрощение соблюдения нормативно-правовых требований с помощью решений Entrust

Если вы подрядчик DoD, то обязаны соблюдать нормативно-правовые требования. К сожалению, это не значит, что это легко.

Тем не менее существуют способы упростить процесс, усилить защитные меры, а также пройти и поддерживать сертификацию CMMC. С таким экспертным партнером, как Entrust, можно развернуть портфель решений, которые помогут не только подготовиться к CMMC, но и гарантировать безопасность на долгие годы вперед.

Мы поможем с легкостью выполнить требования к областям CMMC благодаря нашим решениям для идентификации и аутентификации, защиты носителей, контроля доступа и многого другого. Уверяем, что как инфраструктура открытых ключей Entrust, так и решение Entrust Identity as a Service обеспечат вам и вашим партнерам DoD надежную защиту.