网络安全成熟度模型认证(CMMC)

网络安全成熟度模型认证CMMC

网络安全成熟度模型认证(CMMC)认证框架影响美国.S. 国防部(DoD)承包商、供应链、解决方案提供商和系统集成商.

浏览服务传单(PDF)

Video


播放按钮

概述CMMC

What is the 网络安全成熟度模型认证(CMMC)?

CMMC是网络安全成熟度模型认证, 该项目正在开发中,以帮助保护国防部的供应链免受网络安全相关威胁. 国防部在未来的合同中包括了针对CMMC成熟度模型的认证要求, 这包括分包商吗. 供应链, referred to in DoD circles as the Defense Industrial Base or DIB, 可能成为国家敌人的目标,因为DIB的供应商可能有与国家安全相关的敏感或机密信息. The idea is that without a secure foundation, all 功能 are at risk. 网络安全应该作为国防工业基地各个方面的基础.

为什么创建CMMC?

来自外国对手对美国国防部(DoD)供应链的全球网络攻击, 行业竞争对手, 和 international criminals are at the forefront of US national security concerns.  像中国这样的国家, 俄罗斯, 和 North Korea exfiltrate over $600 billion in the US (1% global GDP), 艾伦·洛德说, Undersecretary of Defense for Acquisition 和 维护. 即使在今天, 这些不良行为者利用新冠肺炎大流行作为掩护,而组织将业务从实体办公室扩展到个人家庭,分散了他们的注意力.

CMMC适用于谁?

30万家公司在一定程度上参与了国防工业基地(DIB), 无论他们是直接与国防部签约,还是分包给更大的公司. 不管你和国防部的关系如何, all supply chain contractors will need to achieve at least 水平 1 certification.

什么是CMMC认证过程?

CMMC计划主要是由国防部负责采办的副部长办公室推动的. 一般, 认证过程将类似于许多其他认证或网络安全评估, 例如ISO或FedRAMP. 第一个, 为了形成围绕整个评估和认证过程的规则和框架,成立了一个认可机构. 然后,评估机构必须向认证机构申请认证他们的组织能够执行CMMC评估,然后培训和认证他们的员工来执行评估工作. 一旦评审机构完成了认证, 培训, 及人员认证流程, then they will be able to perform CMMC assessments to certify clients.

谁是CMMC评估员?

整个2020年,这一进程一直在向前推进, beginning with the formation of the CMMC accreditation board, 或CMMC-AB. AB最初是一个完全由志愿者组成的委员会,致力于为评估机构建立一个框架, 专业人士, 和寻求认证的组织. 框架包括标准本身, 认证要求, 评估和认证的过程, 和培训. The CMMC-AB established a beta program of provisional assessors. 这些评估员是目前正在接受临时性评估培训的评估人员中的一小部分人. 国防部已经选择了非常具体的合同,这些合同目前正在通过新的CMMC要求的收购过程,作为测试/临时评估的beta测试. This carefully thought out test step will allow compliance assessors, 的认证机构, 行业, 和国防部CMMC PMO进行一些评估,然后评估过程,以确定什么是最有效的.

在这些临时摊款之后, the CMMC-AB will move forward with larger-scale 培训 availability, 评估公司认证, 最后确定需求. 在建立认证生态系统的过程中,CMMC-AB仍处于非常早期的阶段. 目前的试验阶段被认为是临时阶段,涉及数量有限的临时评审员及其相关认证机构(或第三方评估组织). 美国国防部今年正在试行不超过15份合同,直到2025年才会全面实施这一要求.

2021年2月, 省政府解决方案(PGS), a leader in NIST 和 FISMA assessments 和 strategic partner of LBMC, 成为第一个被CMMC-AB认可的认证第三方评估组织(C3PAO). 了解更多关于PGS和LBMC如何合作提供CMMC评估服务: http://www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc

什么时候需要CMMC?

一般, 如果你是国防部的承包商或供应商,你可能需要担心CMMC, 或分包给国防部承包商. 然而, 美国国防部和CMMC认证机构表示,未来几年,美国国防部将在新的合同中部署这一要求. The CMMC requirement is not expected to be inserted into active contracts. 即使你现在可能不需要担心它——开始考虑你的安全姿态永远不会太早.

有关于CMMC的问题吗? LBMC can help your organization prepare for 和 obtain CMMC accreditation. 联系 我们现在.

CMMC框架

根据 Office of the Under Secretary of Defense for Acquisition & 维护, CMMC框架包含五个成熟度过程和171个网络安全最佳实践,跨越五个成熟度级别. CMMC成熟度过程将网络安全活动制度化,以确保它们的一致性, 可重复的, 和高质量的. CMMC框架与认证程序相结合,以验证过程和实践的实施.

什么是CMMC 5级别?

The CMMC practices provide a range of mitigation across the levels, 从1级的基本保障开始, 转向3级对受控非机密信息(CUI)的广泛保护, 并最终在4级和5级降低来自高级持久威胁(APTs)的风险.

有哪些实际的例子可以说明CMMC是如何带领您通过网络安全的5个级别的?

从公共安全过程的角度来看,
例子1 -事故应变:

  • 水平 1, Basic Cyber Hygiene, does not address incident response directly
  • 水平 2, Intermediate Cyber Hygiene, 文档 the incident response procedures
  • 3级, 良好的网络卫生, 管理阶段, includes practices to manage reported incidents 和 report to appropriate levels
  • 4级, 主动网络卫生, 包括对事件的持续审查和建立响应能力
  • 5级, 先进/进步的网络卫生, 事件响应能力包括异常活动和CIRT的建立

要求:

水平 数量 实践
2 IR.2.096 根据预先定义的程序,开发和实施对已声明事件的响应.
3 IR.3.098 Track, 文档, 并向组织内部和外部的指定官员和/或当局报告事件.
4 IR.4.101 建立和维护安全运营中心能力,促进全天候响应能力.
5 IR.5.102 结合使用手动和自动, real-time responses to anomalous activities that match incident patterns.
5 IR.5.108 建立和维护一个网络事件响应小组,可以在24小时内在任何地点实地或虚拟地调查问题.

Example 2 – Perform configuration 和 change management:

  • 这个功能对于级别1的成熟度来说不是必需的.
  • 在2级, 控制集中于控制实践的文档,我们介绍了安全配置, 变更控制跟踪, 和安全影响分析
  • 3级, 围绕配置的控制变得更加成熟,并向托管状态发展, 要求物理和逻辑访问限制, 删除不必要的功能, 以及白名单/黑名单访问软件限制.
  • 4级 introduces application whitelisting based upon management review
  • 第5级介绍了一个持续审查有效性的过程,它引入了优化. 以这种方式观看,显示出日益成熟, 改进的安全态势, 以及围绕配置的功能如何在组织的业务中变得越来越根深蒂固.

要求:

水平 数量 实践
2 CM.2.064 为组织系统中使用的信息技术产品建立和执行安全配置设置.
2 CM.2.065 Track, review, 批准, or dis批准, 和 log changes to organizational systems.
2 CM.2.066 Analyze the security impact of changes prior to implementation.
3 CM.3.067 定义, 文档, 批准, 并执行与组织系统更改相关的物理和逻辑访问限制.
3 CM.3.068 限制, 禁用, 或者阻止使用不必要的程序, 功能, 港口, 协议, 和服务.
3 CM.3.069 应用黑名单(deny-by-exception)策略,防止使用未经授权的软件或deny-all, 例外允许(白名单)策略,允许授权软件的执行.
4 CM.4.073 对组织确定的系统采用应用白名单和应用审查流程.
5 CM.5.074 验证组织定义的安全关键软件或基本软件的完整性和正确性(e.g., roots of trust, formal verification, or cryptographic signatures).

前3个级别的安全域添加

  • 级别1,跨越6个域的17个控制:
    1. 访问控制(AC)
    2. 识别与鉴定(ia)
    3. 媒体保护(议员)
    4. 实物保护(PE)
    5. 系统和通信保护(sc)
    6. 系统和信息完整性
  • 级别2,72控制跨越15个域,这增加:
    1. 审计与问责(au)
    2. 意识和培训(在)
    3. 配置管理(CM)
    4. 事件反应(IR)
    5. 维护(MA)
    6. 人员安全(PS)
    7. 恢复(RE)
    8. 风险管理(RM)
    9. 安全评估(CA)
  • 级别3,130控制跨越17个域,增加:
    1. 资产管理(AM)
    2. 态势感知(SA)
CMMC 1级实践 CMMC 2级实践 CMMC 3级实践

The majority of companies will fall into 水平 1, so what are those 17 controls?

The 17 controls really are the things that most companies are already doing, you just might need to formalize them a bit to be ready for an audit. Those basic include using user IDs 和 effective passwords, 限制系统的访问权限, 和功能, 消毒媒体, limiting/logging/controlling physical access 和 control over visitors, controlling the system boundary (usually through firewalls 和 a DMZ), 修补漏洞, 和, 最后但并非最不重要, 恶意代码保护,更新和扫描.

以下是17个控件的样子:

  • 限制授权用户对信息系统的访问, 代表授权用户的过程, 或设备(包括其他信息系统).
  • 限制信息系统对允许授权用户执行的事务和功能的类型的访问.
  • Verify 和 control/limit connections to 和 use of external information systems.
  • 控制在公开可访问的信息系统上发布或处理的信息.
  • 识别信息系统用户、代表用户的进程或设备.
  • 验证(或验证)这些用户的身份, 流程, 或设备, as a prerequisite to allowing access to organizational information systems.
  • 在处理或发布重用之前,对包含联邦合同信息的信息系统媒体进行消毒或销毁.
  • Limit physical access to organizational information systems, 设备, 和 the respective operating environments to authorized individuals.
  • 陪同访客并监督访客活动.
  • 维护物理访问审计日志.
  • 控制和管理物理接入设备.
  • Monitor, control, 和 protect organizational communications (i.e., 由组织信息系统传送或接收的信息)位于信息系统的外部边界和关键的内部边界.
  • 为公共访问的系统组件实现子网络,这些组件在物理上或逻辑上与内部网络分离.
  • 及时识别、报告和纠正信息和信息系统的缺陷.
  • 在组织信息系统的适当位置提供防止恶意代码的保护.
  • Update malicious code protection mechanisms when new releases are available.
  • 定期扫描信息系统,并在下载文件时实时扫描外部来源的文件, 打开, 或执行.

当我进入第2层时,它是什么样子的?

There are 55 additional controls, bringing us to a total of 72. That list is, perhaps, a bit too long to include them all here. 但是为了让你们知道我们在看什么.

  • 访问控制和识别/授权, 在第一级, 专注于限制对系统和功能的访问, 使用身份验证机制和标识符, 和 maintaining control over access to external 和 publicly access systems, 现在更进一步. 级别2增加隐私/安全通知, 便携式设备存储的限制, 最小特权, 会话锁, 登录尝试限制, 无线控制, 远程访问控制, 和 specific password management 和 encryption requirements
  • 系统和通信, 在级别1中,哪个在DMZ的边界和实现上需要防火墙类型保护, 增加了关于协作工具远程控制和网络设备管理会话加密的控制.

也, 为什么一个公司要申请二级认证, 而国防部只要求1级或3级? 级别2的目的是显示朝着级别3工作的公司的过渡状态. 如果例如, your organization wished to pursue a contract requiring a 3级 cert, but your security posture is not quite at that point yet, 您可以获得2级认证,以更好地展示您当前的过渡状态. 目前,在合同奖励之前,不需要合同认证级别. So, 2级认证的过渡状态可以帮助您的组织在合同授予之前显示合同提案的进展.

好,跟我说说3、4、5级?

第三级是另一个重要的升级,在总共130个控制项中增加了58个控制项. The lift to get to 3级 can be significant for a less mature security program. 三级是良好的网络卫生. 而大多数公司将解决在第3级提出的大部分风险, they might not be doing it at the specificity of these requirements. 此外,要有能力显示这些控件的执行可能是一个挑战. 在三级, 您不仅有策略/过程需求, but also the plan associated with ongoing implementation of controls.

回到前面的两个例子, 访问控制, 从第1层的4到第2层的14, 现在为总共22个控件增加8个. 然后是身份验证, 从1级的2到2级的7, 现在再添加4个控件,总共11个控件. 为这两个域添加的控件类型-用于无线的附加控件, 远程访问, 职责的划分, 特权用户, mobile devices, encryption, 和 multifactor authentication.

系统和通信 – starting from 2 at level 1 to 4 at level 2, 现在又增加了15个控件,总共有19个控件. Additional requirements include more specific firewall, 远程访问, 和加密技术, 关于移动代码的新需求, 网络电话, 会话控制, 和密钥管理.

第4级和第5级引入了最不主动的网络控制和先进的网络保护. 这些级别适用于信息敏感性高于级别3的公司. 在CMMC的最初试点阶段, the focus is on 水平s 1 to 3 with level 4 和 5 being considered a future state. Nonetheless, there are proposed controls for the levels.

Let’s go back to the domain of 访问控制 和 see what we add for level 4:

  • Control information flows between security domains on connected systems.
  • Periodically review 和 update CUI program access permissions.
  • 根据组织定义的风险因素(如一天中的时间)限制远程网络访问, 访问的位置, 物理位置, 网络连接状态, 以及度量当前用户和角色的属性.

5级:

  • 识别并减轻与连接到网络的未知无线接入点相关的风险.

有关于CMMC水平的问题吗? LBMC can help your organization prepare for 和 navigate the CMMC framework. 联系 我们现在.

Link to Mark 网络安全成熟度模型认证(CMMC)

Mark Burnette

Shareholder-in-Charge、信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
Link to 画了 网络安全成熟度模型认证(CMMC)

画了 Hendrickson

股东,信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
Link to Caryn 网络安全成熟度模型认证(CMMC)

Caryn 伍利

Director of Quality 保证 和 Professional Development

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔