Cybersecurity Maturity Model Certification je rámec spuštěný v roce 2020 americkým Ministerstvem obrany (DoD) k ochraně obranné průmyslové základny a CUI – řízených neutajovaných informací – v ní před kybernetickými útoky. Všichni (sub-)dodavatelé DoD budou muset získat své CMMC, aby jim mohly být uděleny smlouvy DoD s použitím nebo přístupem k CUI. Píšeme v budoucím čase, protože v současné době je CMMC ve fázi pilotu a pouze vybrané smlouvy vyžadují soulad.
V současné době existuje 5 (ale brzy 3 — viz níže) úrovní CMMC, z nichž každá představuje úroveň zabezpečení dat, kterou poskytuje dodavatel DoD. V závislosti na vládních potřebách se DoD bude partnersky spojovat pouze s organizacemi nebo poskytovateli s úrovní certifikace považovanou za vhodnou pro danou konkrétní potřebu.
Opět je důležité poznamenat, že nyní jsme stále ve fázi zavádění CMMC a že nová verze CMMC, takzvaná CMMC 2.0, je již na cestě. To znamená, že ne všechny smlouvy DoD začaly vyžadovat CMMC, ale že je klíčové, aby se dodavatelé (nebo budoucí dodavatelé) začali na certifikaci připravovat již nyní.
Až do roku 2020, před zavedením CMMC, byl DFARS, neboli Defense Federal Acquisition Regulation Supplement, zlatým standardem a požadavkem pro hodnocení toho, zda dodavatelé dostatečně chrání data, konkrétně CUI.
S rostoucí sofistikovaností kybernetických útoků přišla potřeba komplexnější ochrany dat — vstupuje CMMC.
CMMC rozšiřuje DFARS a oba používají bezpečnostní rámec NIST 800-171 jako svůj základ (CMMC 2.0 také čerpá z NIST 800-172).
Jak CMMC, tak DFARS byly zavedeny pro každého dodavatele, který nakládá s, ukládá nebo přenáší řízené neutajované informace. Hlavní rozdíly mezi nimi jsou zavedení úrovní souladu v CMMC (v DFARS žádné nebyly) a způsob, jakým se soulad hodnotí a uděluje.
Zatímco DFARS je systém pokynů pro vlastní hodnocení, CMMC vyžaduje, aby většina hodnocení — to závisí na úrovni — byla provedena C3PAO (organizace pro hodnocení třetí stranou).
Dalším rozdílem je, že zatímco dodavatel DoD je povinen předložit své hodnocení NIST 800-171 pouze jednou pod DFARS, CMMC je probíhající proces. Certifikaci bude třeba znovu hodnotit každé 1–3 roky (v závislosti na úrovni).
Může se zdát — a původně to byl dokonce plán — že CMMC nahradilo DFARS, ale tomu tak není. V současné době koexistují v harmonii.
I když již dodržování DFARS jistě usnadní získání úrovně CMMC, není to zaručeno. Tyto dvě nejsou vzájemně se vylučující — dodržování jednoho nutně neznamená soulad s druhým. Některé úrovně CMMC nezahrnují všechny požadavky DFARS a některé jdou nad rámec DFARS.
Kvůli složitosti a finanční zátěži získání certifikace, kde i nejzákladnější úroveň certifikace vyžadovala podrobení se hodnocení C3PAO, vyjádřilo mnoho malých a středních podniků obavy po oznámení CMMC.
Vzhledem k tomu, že proces certifikace je tak dlouhým a nákladným podnikem, mnoho malých a středních podniků by nebylo schopno podstoupit proces certifikace, čímž by byly fakticky vyřazeny ze závodu o smlouvy DoD.
Z tohoto důvodu DoD přepracovalo původní CMMC do efektivnější, jednodušší verze, CMMC 2.0. Bere v úvahu malé a střední podniky a opravuje některé problémy dřívější verze.
CMMC 2.0 již bylo publikováno, ale tvorba pravidel je stále „ve výstavbě“ a očekává se, že bude finalizována v květnu 2023.
| Nejdříve se CMMC 2.0 objeví ve smlouvách DoD v létě 2023. |
Jakmile bude CMMC 2.0 připraveno, bude povinné ve všech smlouvách DoD.
Jak vysvětlíme níže, fáze přípravy procesu certifikace může trvat až nebo dokonce přes rok (v případě úrovně 3), takže je klíčové, aby všichni dodavatelé DoD a potenciální dodavatelé začali přemýšlet o procesu hodnocení dříve než později.
|
CMMC 1.0 |
CMMC 2.0 |
|---|---|
| 5 úrovní souladu | 3 úrovně souladu |
| Zahrnuje procesy zralosti | Nezahrnuje procesy zralosti |
| Hodnocení třetí stranou i pro nejzákladnější úroveň | Vlastní hodnocení pro základní úroveň |
| POAM nepřijímány | POAM přijímány |
Nejvíce viditelným rozdílem mezi CMMC 1.0 a CMMC 2.0 je, že nové CMMC bude mít méně úrovní souladu — 3 místo původních 5 — a některé požadavky byly vypuštěny.
Procesy zralosti byly z CMMC 2.0 zcela odstraněny.
Velmi důležité je, že nejzákladnější úroveň nebude vyžadovat hodnocení externí agenturou, což usnadní a sníží náklady malým a středním podnikům na získání jejich Level 1 certifikace.
CMMC 2.0 také umožní Plans of Action and Milestones (POAM), což je v podstatě plán, který může dodavatel předložit s podrobnostmi o tom, jak splní některá z jednobodových kritérií CMMC, jako jakési osvobození při žádosti o certifikaci, aniž by skutečně splnil všechna kritéria. POAM jsou dalším způsobem, jak DoD usiluje o usnadnění získání certifikace pro dodavatele, zejména menší.
POAM nebude přijat pro žádný z požadavků na 3 nebo 5 bodů v CMMC 2.0 a bude existovat přísně vymáhaný limit na počet POAM, které lze použít, a časový limit, ve kterém musí být splněny.
CMMC 1.0 tento mechanismus neměl a fungoval striktně na bázi „ano nebo ne“.
Zmínili jsme, že CMMC 2.0 bude mít méně úrovní než CMMC 1.0. Tři, abychom byli přesní. Pojďme tedy porovnat úrovně souladu CMMC 1.0 s úrovněmi CMMC 2.0, protože existují podobnosti a rozdíly, které dodavatelé musí pochopit.
CMMC 1.0 má 5 úrovní. Požadavky na každé úrovni se postupně zvyšují a sestávají z některých standardů z NIST 800-171 a také ze standardů jedinečných pro CMMC.
Ale tím to nekončí. Existují také procesy zralosti, které je třeba dodržovat, aby bylo možné dosáhnout úrovně:
Úrovně 2 a 4 CMMC 1.0 jsou míněny jako přechodné úrovně, čímž již komplikovaný rámec ještě více znesnadňují k pochopení.
CMMC 2.0 nemá nic takového jako úrovně zralosti a také odstranili požadavky jedinečné pro CMMC a přechodné úrovně. Každý požadavek v rámci procesu CMMC je převzat z podkladových rámců NIST 800-171 a NIST 800-172, každá úroveň staví na druhé.
V CMMC 2.0 jsou pouze 3 úrovně souladu — žádné další přechodné úrovně. Jsou:
CMMC 2.0 úroveň 1 je stejná jako pod CMMC 1.0 a zahrnuje 17 postupů kybernetické bezpečnosti. Tato úroveň je určena pro dodavatele DoD, kteří nezpracovávají informace, které jsou kritické pro národní bezpečnost.
Typ hodnocení: Roční vlastní hodnocení.
Úroveň 2 certifikace bude indikovat, že organizace je kompetentní v bezpečném ukládání a sdílení CUI a bude se vztahovat na většinu dodavatelů DoD. Je podobná CMMC 1.0 úroveň 3. Na této úrovni je 110 požadavků kybernetické bezpečnosti a všechny jsou stanoveny v NIST 800-171.
Na této úrovni jsou dvě podskupiny založené na tom, zda informace zpracovávané dodavatelem jsou kritické pro národní bezpečnost.
Typ hodnocení: Na této úrovni jsou dva — dodavatelé nezpracovávající informace kritické pro národní bezpečnost provádějí roční vlastní hodnocení (očekává se, že to bude platit pouze pro velmi malou část dodavatelů úrovně 2). Dodavatelé, kteří zpracovávají kritické informace, musí podstoupit hodnocení třetí stranou každé 3 roky.
Tato úroveň bude určena pro relativně malý počet dodavatelů DoD, kteří pracují na nejvýše prioritních programech DoD. Je srovnatelná s CMMC 1.0 úroveň 5. Požadavky jsou kombinací 110 standardů NIST 800-171 a podmnožinou kontrol NIST 800-172.
Cílem na CMMC 2.0 úrovni 3 je snížit riziko Advanced Persistent Threats.
Typ hodnocení: Hodnocení vládním úředníkem každé 3 roky. Příručka pro hodnocení úrovně 3 se stále vyvíjí, takže v současné době nejsou k dispozici žádné podrobné informace o její přesné struktuře.
Aby dodavatel získal svou certifikaci, musí podstoupit proces hodnocení, který začíná dlouho před skutečným hodnocením.
Vzhledem k tomu, že většina dodavatelů bude potřebovat získat minimálně CMMC 2.0 úroveň 2 certifikaci, jde o přípravu, která bude trvat až rok. Pro úroveň 1 fáze před hodnocením pravděpodobně potrvá 2–3 měsíce.
Osvědčeným postupem je začít s analýzou mezer současného stavu postupů kybernetické bezpečnosti u daného dodavatele, následovanou implementací a fází před hodnocením. Je dobré využít služeb CMMC Registered Practitioner Organization (CMMC-RPO) pro tyto fáze.
CMMC-RPO je organizace, která byla certifikována Cyber AB, oficiálním autorizačním orgánem CMMC, k konzultaci a vedení dodavatelů během jejich přípravy na hodnocení CMMC.
Skutečné hodnocení CMMC 2.0 se provádí buď jako vlastní hodnocení pro úroveň 1 a část úrovně 2, hodnocení C3PAO pro většinu úrovně 2, nebo hodnocení vedené vládou pro úroveň 3.
Hodnocení třetí stranou provádí C3PAO podle volby dodavatele v průběhu několika týdnů a poté C3PAO sepíše zprávu, kterou poskytne přímo DoD.
Pro CMMC 2.0 úroveň 3 bude vyžadováno hodnocení vedené vládou. Podrobnosti pro tento typ hodnocení stále vypracovává DoD.
CMMC je něco, o čem musí každý potenciální dodavatel DoD přemýšlet dlouho předtím, než vůbec začne přemýšlet o předložení nabídky na RFP, takže i když konečné pravidlo CMMC 2.0 ještě není venku, čas jednat je nyní. Připravit vaše systémy na hodnocení trvá měsíce a v případě hodnocení úrovně 3 dokonce přes rok od začátku do konce.
Safetica umožňuje monitorovat operace uživatelů v celé organizaci. Dokáže rozpoznat a klasifikovat CUI a FCI a poskytnout zprávy o tom, jak jsou data zpracovávána.
Na základě klasifikace dat Safetica můžete uplatňovat zásady DLP, a tím vynucovat určené bezpečnostní zásady a požadované chování uživatelů, když uživatelé pracují s citlivými nebo důvěrnými informacemi. Vaše data nebudou odeslána e-mailem, zkopírována na nechráněné zařízení ani nahrána do osobního cloudového úložiště.
Safetica umožňuje konfigurovatelnou a přizpůsobitelnou klasifikaci dat. Safetica provádí audity zabezpečení dat a poskytuje podrobný přehled toku a ukládání citlivých dat. Následné úrovně ochrany klasifikace dat jsou rovněž konfigurovatelné a umožňují tiché protokolování, oznámení uživateli nebo vynucené omezení vybraných uživatelských operací.
Systém upozornění Safetica e-mailem v reálném čase vás okamžitě upozorní v případě bezpečnostního incidentu. Poskytuje dostatečné podrobnosti, abyste mohli posoudit dopad situace a podniknout následné kroky. Na základě rozsáhlého auditu můžete identifikovat hloubku narušení, dotčené citlivé dokumenty a postižené osoby.
Zjistěte více o regulačním souladu