网络安全成熟度模型认证(CMMC)

网络安全成熟度模型认证CMMC

网络安全成熟度模型认证(CMMC)认证框架影响着美国的网络安全.S. 国防部(DoD)承包商、供应链、解决方案提供商和系统集成商.

浏览服务传单(PDF)

Video


播放按钮

概述CMMC

什么是网络安全成熟度模型认证(CMMC)?

CMMC是网络安全成熟度模型认证, 这是为了帮助国防部的供应链免受网络安全相关威胁而开发的. 国防部将在未来的合同中包括针对CMMC成熟度模型的认证要求, 也包括分包商吗. 供应链, 在国防部被称为国防工业基地或DIB, 可能成为国家对手的目标,因为DIB的供应商可能拥有与国家安全相关的敏感或机密信息. 其理念是,如果没有一个安全的基础,所有功能都将面临风险. 网络安全应该成为国家国防工业基础各个方面的基础.

为什么要创建CMMC?

来自外国对手对美国国防部(DoD)供应链的全球网络攻击, 行业竞争对手, 国际罪犯是美国国家安全问题的前沿.  像中国这样的国家, 俄罗斯, 北朝鲜从美国转移了6000多亿美元(全球GDP的1%), 根据艾伦·洛德, 负责采购和维护的国防部副部长. 即使在今天, 这些坏行为者利用COVID-19大流行作为其邪恶行为的掩护,而组织在将业务业务从实体办公室扩展到个人家中时,却被分散了注意力.

CMMC向谁申请?

在某种程度上,有30万家企业参与了国防工业基地(DIB), 无论他们是直接与国防部签订合同还是分包给更大的公司. 不管与国防部的关系如何, 所有的供应链承包商将需要获得至少一级认证.

什么是CMMC认证过程?

CMMC计划主要是由国防部负责采购的副部长办公室推动的. 一般, 认证过程将类似于许多其他认证或网络安全评估, 如ISO或FedRAMP. 第一个, 为了形成围绕整个评估和认证过程的规则和框架,成立了一个认可机构. 评估机构必须向认可机构申请认可其组织能够进行CMMC评估,然后培训并认证其员工进行评估工作. 一旦评估机构完成认证, 培训, 和人员认证流程, 然后他们将能够执行CMMC评估来认证客户.

谁是CMMC评估人?

整个2020年,这一进程一直在向前推进, 首先是CMMC认证委员会的成立, 或CMMC-AB. AB最初是一个完全由志愿者组成的委员会,致力于为评估机构建立一个框架, 专业人士, 以及寻求认证的组织. 该框架包括标准本身, 认证要求, 评估和认证的过程, 和培训. CMMC-AB建立了临时评估人员的beta程序. 这些评估人员是从评估空间中挑选出来的较小的一部分,目前正在接受培训,以临时进行评估. 国防部已经选择了非常具体的合同,目前正在按照新的CMMC要求进行采购过程,作为beta/临时评估的beta测试. 这个经过仔细考虑的测试步骤将允许遵从性评估人员, 的认证机构, 行业, 和国防部CMMC PMO进行一些评估,然后评估过程,以确定什么是最好的.

在这些临时摊款之后, CMMC-AB将推进更大规模的培训可用性, 评估公司认证, 以及需求的确定. CMMC-AB在建立认证生态系统的过程中还处于非常早期的阶段. 试点的当前阶段被视为临时阶段,涉及数量有限的临时评估人员及其相关的认证机构(或第三方评估组织)。. 国防部今年正在试点的合同不超过15个,直到2025年才会完全实施这一要求.

2021年2月, 省政府解决方案(PGS), NIST和FISMA评估的领导者和LBMC的战略合作伙伴, 成为首批被CMMC-AB认证的第三方评估机构(C3PAO)之一. 阅读更多关于PGS和LBMC如何合作提供CMMC评估服务的信息: http://www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc

什么时候需要CMMC?

一般, 如果你是国防部的承包商或供应商,CMMC可能是你需要担心的事情, 或者分包给国防部承包商. 然而, 美国国防部和CMMC认证机构表示,国防部将在未来几年的新合同中部署这一要求. CMMC要求预计不会被插入到现行合同中. 即使你现在可能不需要担心这个问题——开始考虑你的安全姿势永远不会太早.

对CMMC有疑问吗? LBMC可以帮助您的组织准备和获得CMMC认证. 联系 我们现在.

CMMC框架

根据 国防部负责采购的副部长办公室 & 维护, CMMC框架包含五个成熟度过程和171个网络安全最佳实践,它们跨越五个成熟度级别. CMMC成熟度过程使网络安全活动制度化,以确保它们是一致的, 可重复的, 和高质量的. CMMC框架与认证程序相结合,以验证过程和实践的实现.

什么是CMMC 5级?

CMMC实践提供了一系列跨级别的缓解措施, 从1级的基本防护开始, 转向对受控非机密信息(CUI)的三级广泛保护, 最终将高级持续威胁(APTs)的风险降低到4级和5级.

关于CMMC如何带领你通过网络安全的5个级别,有什么实际的例子吗?

从共同安全过程的角度来看,
例1 -事件响应:

  • 一级,基本网络卫生,不直接处理事件响应
  • 二级,中级网络卫生,记录事件响应程序
  • 3级, 良好的网络卫生, 管理阶段, 包括管理报告事件和向适当级别报告的做法
  • 4级, 主动网络卫生, 包括持续审查事件和建立反应能力
  • 5级, 先进/进步的网络卫生, 事件响应能力包括异常活动和建立CIRT

要求:

水平 数量 实践
2 IR.2.096 根据预先规定的程序,制定并实施对已宣布事件的响应.
3 IR.3.098 Track, 文档, 并向组织内部和外部的指定官员和/或权威机构报告事件.
4 IR.4.101 建立和维护安全操作中心能力,以促进24/7响应能力.
5 IR.5.102 使用手动和自动的组合, 对匹配事件模式的异常活动的实时响应.
5 IR.5.108 建立并维护一个网络事件响应团队,可以在24小时内在任何地点进行物理或虚拟调查.

例2 -执行配置和变更管理:

  • 这个功能对于级别1的成熟度来说是不需要的.
  • 在2级, 控制集中于控制实践的文档,我们将介绍安全配置, 变更控制跟踪, 安全影响分析
  • 3级, 围绕配置的控制变得更加成熟,并向托管状态发展, 需要物理和逻辑访问限制, 删除不必要的功能, 和白名单/黑名单访问软件限制.
  • 第4级介绍基于管理评审的应用程序白名单
  • 第5级引入了持续检查有效性的过程,引入了优化. 以这种方式观看,显示出日趋成熟, 安全态势的改善, 以及围绕配置的能力如何在组织的业务运作中变得越来越根深蒂固.

要求:

水平 数量 实践
2 CM.2.064 为组织系统中使用的信息技术产品建立和实施安全配置设置.
2 CM.2.065 跟踪、审查、批准或不批准,并记录组织系统的变更.
2 CM.2.066 在实现之前分析更改的安全性影响.
3 CM.3.067 定义, 文档, 批准, 并执行与组织系统更改相关的物理和逻辑访问限制.
3 CM.3.068 限制, 禁用, 或阻止非必要程序的使用, 功能, 港口, 协议, 和服务.
3 CM.3.069 应用例外拒绝(黑名单)策略,以防止使用未经授权的软件或拒绝所有, 允许例外(白名单)策略,允许执行授权软件.
4 CM.4.073 对组织确定的系统采用应用程序白名单和应用程序审查程序.
5 CM.5.074 验证组织定义的安全关键或基本软件的完整性和正确性.g.、信任根、正式验证或加密签名).

安全域跨前3层的添加

  • 水平 1,跨越6个域的17个控件:
    1. 访问控制(AC)
    2. 识别和认证
    3. 媒体保护(议员)
    4. 实物保护(PE)
    5. 系统和通信保护(sc)
    6. 系统和信息完整性(si)
  • 第2级,跨越15个域的72个控制,添加:
    1. 审计与问责制
    2. 意识和培训(在)
    3. 配置管理(CM)
    4. 事件反应(IR)
    5. 维护(MA)
    6. 人员安全(PS)
    7. 恢复(RE)
    8. 风险管理(RM)
    9. 安全评估(CA)
  • 第3级,跨越17个域的130个控件,添加:
    1. 资产管理(AM)
    2. 态势感知(SA)
CMMC 水平 1实践 CMMC 2级实践 CMMC三级实践

大多数公司将落入第一级,那么这17个控制是什么?

这17项控制确实是大多数公司已经在做的事情, 您可能只需要将它们正式化一点,以便为审计做好准备. 这些基本方法包括使用用户id和有效的密码, 限制系统的访问权限, 和功能, 消毒媒体, 限制/记录/控制物理访问和对访客的控制, 控制系统边界(通常通过防火墙和DMZ), 修补漏洞, 和, 最后但并非最不重要的, 恶意代码保护,更新和扫描.

以下是17个控件的样子:

  • 限制授权用户访问信息系统, 代表授权用户操作的流程, 或设备(包括其他信息系统).
  • 将信息系统的访问限制在允许授权用户执行的事务和功能的类型上.
  • 核实和控制/限制与外部信息系统的连接和使用.
  • 在公众可访问的信息系统上张贴或处理的控制信息.
  • 识别信息系统用户、代表用户或设备的过程.
  • 验证(或验证)这些用户的身份, 流程, 或设备, 作为允许访问组织信息系统的先决条件.
  • 在处理或释放以供重用之前,对包含联邦合同信息的信息系统媒体进行消毒或销毁.
  • 限制对组织信息系统的物理访问, 设备, 和各自的操作环境给授权的个人.
  • 陪同访客并监督访客活动.
  • 维护物理访问审计日志.
  • 控制和管理物理接入设备.
  • 监视、控制和保护组织的通信(i.e., 由组织信息系统传送或接收的信息)在信息系统的外部边界和关键的内部边界.
  • 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网.
  • 及时发现、报告和纠正信息和信息系统的缺陷.
  • 在组织信息系统的适当位置提供保护,防止恶意代码.
  • 当有新版本可用时,更新恶意代码保护机制.
  • 对信息系统进行定期扫描,并在文件下载时对来自外部源的文件进行实时扫描, 打开, 或执行.

当我进入第2关的时候会是什么样子?

另外还有55个控制,总共有72个. 这个列表可能太长了,不能在这里全部列出. 但为了让你们知道我们在看什么.

  • 访问控制和识别/授权, 在第一级, 专注于限制对系统和功能的访问, 使用身份验证机制和标识符, 保持对外部和公共访问系统的访问控制, 现在更进一步. 第2级添加隐私/安全通知, 便携式设备存储的限制, 最小特权, 会话锁, 登录尝试限制, 无线控制, 远程访问控制, 以及具体的密码管理和加密要求
  • 系统和通信, 在第1级需要在边界和DMZ的实现上进行防火墙类型保护, 增加了协作工具的远程控制和网络设备管理会话的加密控制.

也, 为什么一家公司要申请二级认证, 而国防部只需要1级或3级? 第2级意味着公司正在向第3级工作. 如果例如, 您的组织希望寻求一份需要3级证书的合同, 但你的安保措施还没到那个地步, 您可以获得二级认证,以更好地展示您目前的过渡状态. 目前,只有在合同奖励时才需要合同认证级别. So, 2级认证的过渡状态可以帮助您的组织在合同授予前显示合同建议的进展.

好吧,跟我说说第三,第四和第五层?

第3级是另一个主要的步骤,增加了58个控制总共130个控制. 对于一个不太成熟的安全项目来说,提升到第3级是非常重要的. 第三级是良好的网络卫生. 而大多数公司将解决3级的大多数风险, 他们可能不会针对这些需求的特殊性进行操作. 此外,能够显示这些控件的实现可能是一个挑战. 在三级, 你不仅有政策/程序要求, 还包括与正在实施的控制相关的计划.

回到前面的两个例子, 访问控制, 从1级的4到2级的14, 现在再添加8个控件,总共22个控件. 然后是身份验证, 从1级的2到2级的7, 现在再添加4个控件,总共11个控件. 为这两个域添加的控件类型-用于无线的附加控件, 远程访问, 职责的划分, 特权用户、移动设备、加密和多因素认证.

系统和通讯-从第1级的2到第2级的4, 现在又增加了15个,总共有19个控件. 额外的要求包括更具体的防火墙, 远程访问, 和加密技术, 关于移动代码的新需求, 网络电话, 会话控制, 和密钥管理.

4级和5级引入最不主动的网络控制和先进的网络保护. 这些级别针对的是信息比第3级更敏感的公司. 在CMMC最初的试点阶段, 重点是等级1到3,等级4和5被认为是未来的状态. 尽管如此,还是有针对关卡的控制建议.

让我们回到访问控制域,看看我们为第4级添加了什么:

  • 控制信息在连接系统的安全域之间流动.
  • 定期检查和更新CUI程序的访问权限.
  • 根据组织定义的风险因素(如一天中的时间)限制远程网络访问, 访问的位置, 物理位置, 网络连接状态, 以及测量当前用户和角色的属性.

5级:

  • 识别并降低与连接到网络的未识别无线接入点相关的风险.

对CMMC水平有疑问吗? LBMC可以帮助您的组织准备和导航CMMC框架. 联系 我们现在.

网络安全成熟度模型认证(CMMC)

Mark Burnette

Shareholder-in-Charge、信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到画了网络安全成熟度模型认证(CMMC)

画了 Hendrickson

股东,信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到Caryn网络安全成熟度模型认证(CMMC)

Caryn 伍利

质素保证及专业发展总监

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔