Was Sie über die CMMC-Zertifizierung wissen müssen

Da sich die Cybersecurity Maturity Model Certification (CMMC) der vollständigen Implementierung nähert, beeilen sich betroffene Organisationen, um sicherzustellen, dass sie den Zertifizierungsprozess bestehen.

Das Ziel ist einfach:Organisationen müssen Mindeststandards für die Cybersicherheit erfüllen und tragen damit ihren Teil zur Verbesserung der nationalen Sicherheit bei. Für die geschätzten 300.000 Defence Industrial Base (DIB)-Organisationen, die bald auf einer der fünf CMMC-Stufen zertifiziert werden müssen, um einen Bundesauftrag zu erhalten, steht außerordentlich viel auf dem Spiel. Einfach gesagt:keine Zertifizierung, kein Vertrag. Aus Sicht der US-Regierung und des Verteidigungsministeriums stand immer viel auf dem Spiel, da das DIB eine so entscheidende Rolle bei der Verteidigung unserer Nation spielt. Der einzige Weg, den Schutz unserer Daten und die Integrität der Lieferkette zu gewährleisten, besteht darin, die Industrie auf einen höheren Standard zu halten.

Wie sind wir hierher gekommen?

Die feindlichen Aktivitäten staatlicher und nichtstaatlicher Akteure nehmen weiter zu, und die wirtschaftlichen Kosten sind nach einigen Schätzungen schwindelerregend – weltweit 5 Billionen US-Dollar. Andere Schätzungen zeigen, dass die Kosten für die US-Wirtschaft im Jahr 2016 zwischen 57 und 109 Milliarden US-Dollar lagen. Bei der Notwendigkeit von CMMC geht es jedoch nicht nur um wirtschaftliche Interessen, sondern um die kollektive Verteidigung. Große und kleine Unternehmen tragen zum Erfolg des amerikanischen Kriegsjägers bei, und sie alle werden gegenüber CMMC zur gleichen Verantwortung gezogen.

Im föderalen Raum bedarf es nur eines kurzen Blicks auf ein bestimmtes Kampfflugzeug, um die Bedeutung der Sicherung der Organisationen, die unser Land letztendlich sichern und verteidigen, zu verbinden. Im kommerziellen Bereich hat der Angriff auf Target gezeigt, dass Geschäftspartner das schwache Glied sein können, das letztendlich einen Angriff ermöglicht. Indem wir die DIB stärker rechenschaftspflichtig machen, tragen wir nicht nur dazu bei, eine neue Geschäftsanforderung zu erfüllen, sondern erfüllen auch eine strategische Notwendigkeit, widerstandsfähiger gegen Angriffe zu sein. Die Zeiten haben sich geändert und damit auch die Art und Weise, wie wir Geschäfte machen. Ob es uns gefällt oder nicht, wir manövrieren auf dem modernen Schlachtfeld, auf dem Wörtern wie „Krieg“, „Spionage“ und „Kriminalität“ ein „Cyber“ vorangestellt wird, was bedeutet, dass private und öffentliche Einrichtungen mit einer modernen Reaktion vorbereitet werden müssen.

Was ist CMMC?

CMMC verfügt über fünf Ebenen technischer und verfahrenstechnischer Kontrollen, die darauf abzielen, kontrollierte nicht klassifizierte Informationen (CUI) und Bundesvertragsinformationen (FCI) für DoD-Auftragnehmer zu schützen. Um die CMMC-Stufe 5 zu erreichen, müssen Organisationen 171 technische und verfahrenstechnische Kontrollen implementieren und bewerten. Die meisten Cybersicherheitsexperten im Bundesraum werden feststellen, dass der Großteil der CMMC-Kontrollen vertraut ist. Um CMMC Level 3 zu erreichen, befinden sich fast alle Kontrollen in NIST SP 800-171. Die Organisationen, die in Kürze eine Zertifizierung nach CMMC benötigen, sind bereits seit 2016 verpflichtet, die in NIST SP 800-171 beschriebenen Kontrollen zu erfüllen. Der Hauptunterschied besteht darin, dass Organisationen sich nicht mehr selbst zertifizieren und einen Aktionsplan und Meilensteine ​​zur Behebung von Mängeln einreichen können . Organisationen, die eine Zertifizierung anstreben, müssen von einer CMMC-Drittpartei-Assessor-Organisation oder einem von der CMMC-Akkreditierungsstelle zertifizierten Assessor, einer gemeinnützigen Organisation, die mit der Zertifizierung der Eignung der Assessoren beauftragt ist, formell bewertet werden. Obwohl noch keine Termine für den Beginn der Assessments bekannt gegeben wurden, hat die Ausbildung für die erste Gruppe von CMMC-Assessoren vor kurzem begonnen.

Was jetzt zu tun ist?

Die CMMC-Vorbereitung ist eine Übung zur Umsetzung der Grundlagen der Cybersicherheit und zur kontinuierlichen Verbesserung, um eine größere Widerstandsfähigkeit zu erreichen. Die CMMC-Stufen sind kumulativ und abgestuft, sodass eine Stufe zur nächsten aufbaut. Um Stufe 4 zu erreichen, müssen Sie Stufe 3 vollständig erfüllen. Jede Stufe entspricht dem Grad der Ausgereiftheit Ihrer Sicherheitspraktiken, beginnend mit grundlegender Hygiene und höheren Anforderungen hin zu fortschrittlicheren und proaktiveren Maßnahmen wie der Bedrohungssuche in Level 5. Bei 171 Kontrollen mit zunehmender Komplexität fragen Sie sich, wo Sie anfangen sollen?

• Bilde dich weiter: Verstehen Sie die technischen Kontrollen und Richtlinien der CMMC.
  • Hier ist Version 1 von CMMC.
  • Hier sind die FAQ von CMMC.
• Bestimmen Sie, welches Niveau das richtige für Sie ist: Organisationen müssen entscheiden, welche Zertifizierungsstufe sie anstreben. Organisationen, die nur FCI speichern, können Inhalte sein, die CMMC Level 1 erreichen, und Organisationen, die CUI speichern und verarbeiten oder zu sensibleren Bemühungen beitragen, möchten wahrscheinlich auf CMMC Level 3 oder höher zertifiziert werden. Das DoD listet die CMMC-Level-Anforderung in der Aufforderung zur Einreichung von Vorschlägen auf.
• Erkenne dich selbst: Verstehen und dokumentieren Sie Ihre Umgebung von Ihrem internen Netzwerk bis hin zu Ihren Geschäftspartnern. Es wird oft gesagt, dass „man nicht verteidigen kann, was man nicht kennt“, und das stimmt. Sie müssen Ihre Segmentierung, Systeme und Angriffsfläche verstehen, bevor Sie hoffen können, sie zu verteidigen.
• Selbsteinschätzung: Bestimmen Sie, wie Sie bei den Kontrollen für die Zertifizierungsstufe, die Ihre Organisation anstrebt, abschneiden. Identifizieren Sie alle Kontrollen, die derzeit nicht erfüllt sind, planen Sie die Lösung der Probleme und bewerten Sie sie erneut. Identifizieren Sie für zukünftige Flexibilität, was Ihr Unternehmen braucht, um das nächste Level zu erreichen.
• Einkaufen: Wir sind nur so stark wie unser schwächstes Glied; verstehen, dass CMMC entwickelt wurde, um die Risiken der Geschäftstätigkeit im Verteidigungssektor zu mindern. Einige Kontrollen sind einfach oder werden bereits durchgeführt, andere erfordern möglicherweise Unterstützung von verschiedenen Teilen Ihrer Organisation. Möglicherweise benötigen Sie Genehmigungen, ein erhöhtes Budget oder das Sponsoring von Führungskräften. Einige Kontrollen können sich aus technischer Sicht als schwere Arbeit erweisen. Die gesamte Organisation muss sich einbringen, pragmatisch sein und ihren Teil dazu beitragen, die Mission zu unterstützen und zu schützen.
• Sei flexibel: CMMC ist neu und schafft Brücken zwischen den großen komplexen Einheiten mit dem DoD und der DIB. Dies sind riesige Organisationen, es gibt immer noch Unbekannte bei CMMC, und was vor einem Monat bekannt war, kann sich ändern. Seien Sie also flexibel, haben Sie Geduld und wissen Sie, dass wir alle besser tun müssen, um das zu schützen, was wir schätzen.

Unabhängig davon, ob Sie nach CMMC Level 1 oder 5 zertifiziert werden müssen oder Ihr Unternehmen nicht einmal mit dem DoD Geschäfte macht, die von CMMC festgelegten Standards sind ein Fahrplan für jedes Unternehmen, um seine Cybersicherheitsposition zu verbessern. Unabhängig von Ihrem Ausgangspunkt wird das Erreichen der CMMC-Compliance sowohl für kleine als auch für große Unternehmen eine Herausforderung darstellen, aber das Ergebnis ist die Verbesserung, die wir dringend benötigen. Die Sicherung unserer Daten und unseres geistigen Eigentums ist sowohl logisch als auch absolut notwendig, um einen technologischen Vorsprung gegenüber unseren Gegnern zu wahren. Kontinuierliche Bewertung und Verbesserung der Grundlagen der Cybersicherheit sind von größter Bedeutung, um ein Maß an digitaler Widerstandsfähigkeit zu erreichen, das es uns ermöglicht, moderne Bedrohungen zu bekämpfen.

Wayne Lloyd ist Federal Chief Technology Officer bei RedSeal.