Blog - CERTYFIKACJA MODELU DOJRZAŁOŚCI CYBERNETYCZNEJ (CMMC)

W ciągu ostatnich kilku lat przypadki naruszenia bezpieczeństwa danych osiągnęły apogeum. Gwałtowna częstotliwość udanych ataków w połączeniu z rosnącymi kosztami ponoszonymi przez firmy spowodowała, że uwagę zwróciły najwyższe szczeble rządów światowych. W przeszłości naruszenia były stosunkowo "zlokalizowane", tzn. dotyczyły tylko firmy, która była celem ataku. Jednak nowsze ataki spowodowały zakłócenia w całych łańcuchach dostaw. Chociaż wiele firm zainwestowało duże sumy w ochronę przed takimi atakami, częścią kompleksowego programu bezpieczeństwa jest zdolność do udowodnienia gotowości do zapewnienia bezpieczeństwa.

Czym jest CMMC?

Agencje rządowe są atrakcyjnym celem dla napastników. Obronna Baza Przemysłowa (DIB), jak również łańcuchy dostaw Departamentu Obrony (DoD) są kuszącymi celami. Sektor DIB obejmuje ponad 300 000 firm, które przyczyniają się do wszystkich aspektów funkcjonowania Departamentu Obrony. Wiele grup w ramach DoD stworzyło jednolity system dla wszystkich tych firm, aby wykazać zgodność z przepisami. Jest on znany jako Cybersecurity Maturity Model Certification (CMMC).

Wielu specjalistów ds. bezpieczeństwa jest zaznajomionych z Cybersecurity Framework. Opracowany przez National Institute of Standards and Technology (NIST), jest uznanym standardem dla wielu organizacji, których celem jest wykazanie gotowości do zapewnienia bezpieczeństwa za pomocą sformalizowanego programu bezpieczeństwa. CMMC daje firmie możliwość udowodnienia gotowości poprzez różne poziomy, które mogą być obiektywnie oceniane.

CMMC oferuje pięć poziomów zgodności w odniesieniu do dwóch oddzielnych kolumn osiągnięć. Aby wyjaśnić, procesy i praktyki są dopasowane do wyższych poziomów zgodności.

Układ procesów i praktyk jest pożądanym dodatkiem do kanonu wytycznych dotyczących bezpieczeństwa cybernetycznego. Daje on jasne zrozumienie, jakie procesy są oczekiwane w odniesieniu do odpowiednich praktyk. Usuwa to wiele z pozornie uznaniowego osądu, który występuje w wielu innych kryteriach oceny.

Na tym tle, CMMC idzie dalej niż tylko poziomy. Cytując z dokumentu:

"Oprócz opisów poziomów CMMC, specyfikacja i mapowanie procesów i praktyk do konkretnego poziomu uwzględnia wiele czynników . . ."

Stwierdza się w nim również, że,

"Model CMMC, w efekcie, zapewnia środki poprawy dostosowania procesów dojrzałości i praktyk cyberbezpieczeństwa do rodzaju i wrażliwości informacji, które mają być chronione oraz zakresu zagrożeń."

Wydaje się, że te stwierdzenia są podane w celu wykazania zrozumienia, że nie wszystkie dane są takie same. Dokładniej mówiąc, poszczególne rodzaje informacji są dostosowane do każdego poziomu. Na przykład, ochrona informacji o kontraktach federalnych jest klasyfikowana na niższym poziomie niż ochrona informacji niejawnych o klauzuli tajności Controlled Unclassified Information.

Wchodząc w szczegóły

Poziom szczegółowości CMMC przypomina narzędzia audytowe sektora prywatnego, takie jak Control Objectives for Information Technology (COBIT) i inne standardy oceny. Kryteria CMMC są rozłożone na 17 "domen". Domeny te obejmują wszystkie aspekty kompleksowej praktyki bezpieczeństwa cybernetycznego. Po przeanalizowaniu poszczególnych wymogów, które muszą być spełnione w każdej z domen, staje się jasne, że istnieje w sumie 171 "najlepszych praktyk", które składają się na CMMC. (Zostało to również stwierdzone w podsumowaniu dokumentu).

W miarę postępu na ścieżce CMMC, wydaje się, że procesy CMMC są prawdopodobnie łatwiejsze do osiągnięcia niż praktyki. Dzieje się tak dlatego, że do procesów można podejść jako do praktycznego zestawu zachowań, podczas gdy praktyki opierają się na "kulturowym" przestrzeganiu tych zachowań. Termin "instytucjonalizacja" charakteryzuje stopień, w jakim dana czynność jest osadzona lub zakorzeniona w działalności organizacji. To brzmi bardzo podobnie do tego, co my, specjaliści ds. bezpieczeństwa, staramy się wyrazić w naszych organizacjach od bardzo dawna! Z tego powodu, wydaje się to być bardziej wymagającym przedsięwzięciem.

Jeżeli organizacja posiada mieszankę któregokolwiek z tych poziomów w całej organizacji, wówczas certyfikacja nakazuje, aby firma została sklasyfikowana w dwóch najniższych oznaczeniach: Performed, lub Documented process; oraz Basic, lub Intermediate Cyber Hygiene practices.

Należy zauważyć, że CMMC jest certyfikatem organizacyjnym, podobnie jak audyt Systemu i Kontroli Organizacji (SOC) jest potwierdzeniem skuteczności kontroli w organizacji. CMMC nie jest osobistym certyfikatem w branży bezpieczeństwa, chociaż dana osoba może uzyskać certyfikat CMMC lub wyższe oznaczenie w ramach zestawu poziomów "Asesora" CMMC. Jako jeden z nowszych wymogów DoD, będzie to cenne poświadczenie dla społeczności cyberbezpieczeństwa.

CMMC jest w pełni obowiązujący dla wszystkich organizacji, które są częścią łańcucha dostaw dla Departamentu Obrony Stanów Zjednoczonych. Certyfikat jest dobrze opracowany i specjaliści ds. cyberbezpieczeństwa w każdej organizacji powinni się z nim zapoznać. Podobnie jak wiele innych dokumentów zawierających wytyczne NIST, przyjęcie CMMC może podnieść profil bezpieczeństwa cybernetycznego każdej organizacji. Jest to model dla wszystkich.

Autor: BOB COVELLO

#bezpieczenstwo sieci

Komentarze do wpisu (0)

Wersje językowe

Wybierz język

Kategorie blog

Ethernet przemysłowy (116)
Bezpieczeństwo sieci (83)
Nowości produktowe (74)
Materiały instruktażowe (141)
Nowe rozwiązania (67)
Aplikacje | sensoryka przemysłowa | ipf electronic (13)
Nowości produktowe | złącza i koncentratory | lumberg automation (25)
Nowości produktowe | sieci przemysłowe | advantech (36)
Bezpieczeństwo sieci przemysłowych (10)

Newsletter

Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.

do góry