网络安全成熟度模型认证(CMMC)

网络安全成熟度模型认证CMMC

网络安全成熟度模型认证(CMMC)的认证框架影响着美国的网络安全.S. 美国国防部(DoD)承包商、供应链、解决方案提供商和系统集成商.

浏览服务单张(PDF)

Video


播放按钮

概述CMMC

什么是网络安全成熟度模型认证(CMMC)?

CMMC是网络安全成熟度模型认证, 它正在开发中,以帮助保护国防部的供应链免受网络安全相关威胁. 国防部在未来的合同中包括了对CMMC成熟度模型的认证要求, 其中也包括分包商. 供应链, 在国防部称为国防工业基地,简称DIB, 可能成为美国对手的目标,因为美国情报机构的供应商可能拥有与国家安全有关的敏感或机密信息. 其理念是,如果没有一个安全的基础,所有功能都将面临风险. 网络安全应该成为国家国防工业基地各个方面的基础.

为什么要创建CMMC?

外国对手对美国国防部(DoD)供应链的全球网络攻击, 行业竞争对手, 国际犯罪是美国国家安全的首要问题.  像中国这样的国家, 俄罗斯, 朝鲜从美国外流了6000多亿美元(占全球GDP的1%), 据艾伦·洛德说, 国防部负责采办和维护的副部长. 即使在今天, 这些不良行为者利用COVID-19大流行为他们的邪恶行为做掩护,而各组织则在将业务运营从实体办公室扩展到个人家庭时分心.

CMMC向谁申请?

30万家企业在一定程度上参与了国防工业基地(DIB), 无论他们是直接与国防部签订合同还是分包给更大的公司. 不管和国防部的关系如何, 所有供应链承包商将需要达到至少一级认证.

什么是CMMC认证过程?

CMMC计划主要是由国防部采购部副部长的国防部办公室推动的. 一般, 认证过程与许多其他认证或网络安全评估类似, 例如ISO或FedRAMP. 第一个, 成立了一个认可机构,以形成整个评估和认证过程的规则和框架. 然后,评估机构必须向认证机构申请,授权他们的组织能够执行CMMC评估,然后培训和认证他们的工作人员执行评估工作. 一旦评估机构完成认证, 培训, 人员认证流程, 然后他们将能够执行CMMC评估来认证客户.

谁是CMMC评审员?

整个2020年,这一进程一直在向前推进, 首先成立CMMC认证委员会, 或CMMC-AB. AB最初是一个完全由志愿者组成的董事会,致力于为评估机构建立一个框架, 专业人士, 以及寻求认证的组织. 框架包括标准本身, 认证的要求, 评估和认证的过程, 和培训. CMMC-AB建立了一个测试程序的临时评估. 这些评估人员是从目前正在接受培训的评估部门中挑选出来的一小部分人,以进行临时评估. 国防部已经选择了非常具体的合同,这些合同目前正在进行新的CMMC要求的采购过程中,作为beta/临时评估的beta测试. 这个经过仔细考虑的测试步骤将允许遵从性评估人员, 的认证机构, 行业, 和国防部CMMC PMO进行一些评估,然后评估过程,以确定什么是最有效的.

在这些临时摊款之后, CMMC-AB将推进更大规模的培训, 评估公司认证, 以及需求的最终确定. CMMC-AB在建立认证生态系统的过程中仍处于非常早期的阶段. 目前的试点阶段被认为是临时阶段,涉及数量有限的临时评估人员及其相关的认证机构(或第三方评估机构). 国防部今年试点的合同不超过15个,到2025年才会完全实施该要求.

2021年2月, 省政府解决方案(PGS), NIST和FISMA评估的领导者和LBMC的战略合作伙伴, 成为首批获得CMMC-AB认证的第三方评估机构(C3PAO)之一. 了解更多关于PGS和LBMC如何合作提供CMMC评估服务: http://www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc

什么时候需要CMMC?

一般, 如果你是国防部的承包商或供应商,你可能需要担心CMMC, 或国防部承包商的分包商. 然而, 国防部和CMMC认证机构表示,国防部将在数年内在新合同中部署该要求. CMMC要求预计不会被插入到活动合同中. 即使你现在不需要担心它——开始考虑你的安全姿态永远不会太早.

对CMMC有问题吗? LBMC可以帮助您的组织准备和获得CMMC认证. 联系 我们现在.

CMMC框架

根据 负责采购的国防部副部长办公室 & 维护, CMMC框架包含五个成熟度过程和171个网络安全最佳实践,跨越五个成熟度级别. CMMC成熟度流程将网络安全活动制度化,以确保其一致性, 可重复的, 和高质量的. CMMC框架与认证程序相结合,以验证过程和实践的实现.

什么是CMMC 5级别?

CMMC实践提供了一系列跨级别的缓解, 从一级基础防护开始, 转移到3级受控非机密信息(CUI)的广泛保护, 并最终降低4级和5级高级持续威胁(APTs)的风险.

CMMC如何带领你通过网络安全的5个级别的一些实际例子是什么?

从一个共同安全过程的角度来看,
例1 -事件响应:

  • 一级,基本网络卫生,不直接处理事件响应
  • 二级,中级网络卫生,记录事件响应程序
  • 3级, 良好的网络卫生, 管理阶段, 包括管理报告的事件和报告到适当的水平
  • 4级, 主动网络卫生, 包括持续审查事件和建立反应能力
  • 5级, 先进/进步的网络卫生, 事件响应能力包括异常活动和CIRT的建立

要求:

水平 数量 实践
2 IR.2.096 根据预先定义的程序,制定并实施对已宣布事件的反应.
3 IR.3.098 Track, 文档, 并将事件报告给组织内部和外部的指定官员和/或当局.
4 IR.4.101 建立和维护安全操作中心能力,以促进24/7的响应能力.
5 IR.5.102 使用手动和自动的组合, 对匹配事件模式的异常活动的实时响应.
5 IR.5.108 建立和维护一个网络事件响应团队,可以在24小时内实地或几乎在任何地点调查问题.

例2—配置和变更管理:

  • 这个能力对于级别1的成熟度来说不是必需的.
  • 在2级, 控制集中于控制实践的文档,我们将介绍安全配置, 变更控制跟踪, 以及安全影响分析
  • 3级, 围绕配置的控件变得更加成熟,并向托管状态发展, 需要物理和逻辑访问限制, 去除不必要的功能, 以及白名单/黑名单访问软件限制.
  • 级别4基于管理评审引入了应用程序白名单
  • 第5级引入了一个持续评审有效性的过程,该过程引入了优化. 以这种方式观看,显示出日益成熟, 改进的安全姿态, 以及围绕配置的能力如何在组织如何开展业务中变得越来越根深蒂固.

要求:

水平 数量 实践
2 CM.2.064 为组织系统中使用的信息技术产品建立和实施安全配置设置.
2 CM.2.065 跟踪、审查、批准或不批准组织系统的更改,并将更改记录为日志.
2 CM.2.066 在实现之前分析更改的安全影响.
3 CM.3.067 定义, 文档, 批准, 并实施与组织系统更改相关的物理和逻辑访问限制.
3 CM.3.068 限制, 禁用, 或者防止使用不必要的程序, 功能, 港口, 协议, 和服务.
3 CM.3.069 应用例外拒绝(黑名单)策略以防止使用未经授权的软件或拒绝所有软件, 例外允许(白名单)政策,允许执行授权软件.
4 CM.4.073 对组织确定的系统采用应用程序白名单和应用程序审查程序.
5 CM.5.074 验证组织定义的安全关键软件或基本软件的完整性和正确性(如.g.、信任根、正式验证或加密签名).

通过安全域跨前3个级别增加

  • 级别1,跨越6个域的17个控件:
    1. 访问控制(AC)
    2. 识别与认证(ia)
    3. 媒体保护(议员)
    4. 实物保护(PE)
    5. 系统和通信保护(sc)
    6. 系统和信息完整性(si)
  • 水平 2,跨越15个域的72个控件,增加了:
    1. 审计和问责制(au)
    2. 认识和培训(在)
    3. 配置管理(CM)
    4. 事件反应(IR)
    5. 维护(MA)
    6. 人员安全(PS)
    7. 恢复(RE)
    8. 风险管理(RM)
    9. 安全评估(CA)
  • 3级,跨越17个域的130个控件,增加了:
    1. 资产管理(AM)
    2. 态势感知(SA)
CMMC 1级实践 CMMC 2级实践 CMMC 3级实践

大多数公司将会进入第1级,那么这17个控制是什么呢?

这17种控制方式实际上是大多数公司已经在做的事情, 你可能只需要把它们正规化一点,为审计做好准备. 这些基本原则包括使用用户id和有效密码, 限制系统的访问权限, 和功能, 消毒媒体, 限制/记录/控制访问者的物理访问和控制, 控制系统边界(通常通过防火墙和DMZ), 修补漏洞, 和, 最后但同样重要的是, 恶意代码保护,更新和扫描.

以下是17个控件的外观:

  • 限制授权用户访问信息系统, 代表授权用户的进程, 或设备(包括其他信息系统).
  • 限制信息系统访问被授权用户允许执行的事务和功能的类型.
  • 验证和控制/限制与外部信息系统的连接和使用.
  • 控制在公众可访问的信息系统上发布或处理的信息.
  • 识别信息系统用户、代表用户的过程或设备.
  • 验证(或验证)那些用户的身份, 流程, 或设备, 作为允许访问组织信息系统的先决条件.
  • 在处理或释放供重复使用之前,对包含联邦合同信息的信息系统介质进行消毒或销毁.
  • 限制对组织信息系统的物理访问, 设备, 以及各自的操作环境.
  • 陪同访客并监控访客活动.
  • 维护物理访问审计日志.
  • 对物理接入设备进行控制和管理.
  • 监视、控制和保护组织通信(i.e., 组织信息系统传送或接收的信息)的外部边界和信息系统的关键内部边界.
  • 为公共可访问的系统组件实现子网,这些组件在物理上或逻辑上与内部网络分离.
  • 及时发现、报告并纠正信息和信息系统的缺陷.
  • 在组织信息系统中适当的位置提供防止恶意代码的保护.
  • 当新版本可用时,更新恶意代码保护机制.
  • 定时扫描信息系统,并在文件下载时实时扫描外部源文件, 打开, 或执行.

当我进入第二级时,它是什么样子的?

有55个额外的控制,使agapp总数达到72. 这个列表可能太长了,不能在这里全部列出. 但是为了让你们对我们正在研究的东西有个概念.

  • 访问控制和识别/授权, 在第1级, 专注于限制对系统和功能的访问, 使用身份验证机制和标识符, 以及维护对外部和公共访问系统的访问控制, 现在更进一步. 第2级增加隐私/安全通知, 便携式设备存储的限制, 最小特权, 会话锁, 登录尝试限制, 无线控制, 远程访问控制, 并有具体的密码管理和加密要求
  • 系统和通信, 在第1级需要防火墙类型的保护在边界和实现DMZ, 增加了远程控制协作工具和加密网络设备管理会话的控制.

也, 为什么一个公司要申请二级认证, 而国防部只需要1级或3级? 第2级表示正在向第3级努力的公司的过渡状态. 如果例如, 您的组织希望追求一个需要3级证书的合同, 但你的安保姿势还没到那个程度, 您可以获得二级认证,以更好地展示您当前的过渡状态. 目前,在合同奖励之前,不需要合同认证等级. So, 2级认证的过渡状态可以帮助您的组织在合同授予之前显示合同提案的进展情况.

好吧,跟我说说第三、四、五级吧?

第3关是另一个重要的提升,在总共130个控制中增加了58个控制. 对于一个不太成熟的安全程序来说,到达第3层的电梯可能是很重要的. 三级是良好的网络卫生. 而大多数公司将解决在第3级呈现的大多数风险, 他们可能不会按照这些要求的特殊性来做. 此外,有能力显示这些控制的执行可能是一个挑战. 在三级, 您不仅有政策/程序要求, 还有与控制的持续实施相关的计划.

回到前面的两个例子, 访问控制, 从第1级的4级到第2级的14级, 现在增加了8个以上的共22个控件. 然后是身份验证, 从第1级的2到第2级的7, 现在增加了4个以上的总计11个控件. 为这两个域添加的控件类型-无线附加控件, 远程访问, 职责的划分, 特权用户、移动设备、加密和多因素认证.

系统与通信-从2级1级到4级2级, 现在增加了15个以上的总计19个控件. 其他需求包括更具体的防火墙, 远程访问, 和加密技术, 移动代码的新要求, 网络电话, 会话控制, 和密钥管理.

第4级和第5级引入了最不主动的网络控制和高级网络保护. 这些级别是为那些拥有比级别3更敏感信息的公司设计的. 在CMMC的初始试验阶段, 重点是1到3级,4级和5级被认为是未来状态. 尽管如此,还是有人建议对这些水平进行控制.

让我们回到访问控制领域,看看我们在第4级添加了什么:

  • 控制连接系统上安全域之间的信息流.
  • 定期检查和更新CUI程序的访问权限.
  • 根据组织定义的风险因素(如一天中的时间)限制远程网络访问, 访问的位置, 物理位置, 网络连接状态, 并度量当前用户和角色的属性.

5级:

  • 识别并降低与连接到网络的未知无线接入点相关的风险.

对CMMC水平有问题吗? LBMC可以帮助您的组织准备和导航CMMC框架. 联系 我们现在.

链接到Mark网络安全成熟度模型认证(CMMC)

Mark Burnette

Shareholder-in-Charge、信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
画了网络安全成熟度模型认证(CMMC)链接

画了 Hendrickson

股东,信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到Caryn网络安全成熟度模型认证(CMMC)

Caryn 伍利

品质保证及专业发展总监

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔