В ноябре прошлого года открытие CMMC 2.0 вызвало много вопросов, но также принесло много облегчения. Оптимизация безопасности вокруг контролируемой несекретной информации (CUI) поможет оборонным агентствам и подрядчикам лучше защитить свои системы, не обременяя их операционными издержками. Это имеет решающее значение для организаций, которые хотят поддерживать эти агентства, но не знают многого ни о том, ни о другом NIST SP 800-171 или NIST SP 800-172, основные документы CMMC.

Контролируемая несекретная информация и CMMC 2.0

Сертификация модели зрелости кибербезопасности (CMMC) Первоначально было объявлено в 2019 году для стандартизации оценок безопасности для подрядчиков на оборонной промышленной базе (DIB), занимающихся CUI. До появления CMMC от подрядчиков ожидалось самостоятельное оценивание и самоподтверждение посредством базовой отчетности и мониторинга в соответствии со стандартами NIST. CMMC изменил это требование несколькими способами:

• Сторонняя оценка: Подрядчики должны были проходить регулярные оценки сторонних организаций, известных как сертифицированные сторонние организации по оценке (C3PAO). Это правило не имеет исключений, и сертификация требует одобрения C3PAO. 
• Три уровня зрелости: Сертификация упрощает соответствие трем уровням зрелости, а не функционирует как простая оценка безопасности по иногда сложным требованиям. Минимальная сертификация уровня 1 требовалась для работы с информацией о федеральных контрактах (FCI), в то время как уровень 3 требовался для работы с CUI. Уровень 5 был обозначен как расширенное соответствие для конкретных требований контрактов, касающихся чувствительных систем и расширенных постоянных угроз (APT). Уровни 2 и 4 больше согласованы как промежуточные сертификации.
  
• Отказы: Согласно первоначальной сертификации CMMC, ни один подрядчик не может проводить самооценку, и никаких исключений не предусмотрено в рамках временных планов действий и этапов (POAM). Это означает, что подрядчик должен выполнить все требования во время аудита с C3PAO. 

В CMMC 2.0, первоначально опубликованном для обзора в ноябре 2021 года, были изменены некоторые из этих требований:

• Три уровня зрелости: CMMC 2.0 объединил требования по разным уровням зрелости, сократив их число до трех. Уровень 1 является начальным и требует только 17 внедренных практик безопасности на основе NIST 800-171. Уровень 2 требует всех 110 практик, определенных в NIST 800-171, и является минимальным уровнем для сертификации по работе с CUI. Уровень 3 требует всего из Уровня 2 с дополнительными элементами управления из NIST 800-172. 
• Ограниченная самооценка: Подрядчики могут проводить ежегодную самооценку на уровне сертификации 1 и, с разрешения руководящих органов CMMC, проводить ограниченную самооценку на уровне 2. 
• Разрешены отказы: При определенных обстоятельствах подрядчики могут заполнять POAM для устранения недостатков в соблюдении требований. 

Переход от CMMC 1.0 к CMMC 2.0 упростил соблюдение требований и обеспечил большее соответствие стандартам NIST 800-171 и 800-172.

Что такое специальная публикация NIST 800-171?

Формирование основы соответствия CMMC и защиты CUI, Специальная публикация NIST 800-171, «Защита контролируемой несекретной информации в нефедеральных системах и организациях» описывает ряд мер и методов обеспечения безопасности, которые организации должны внедрить для защиты этих критически важных данных. 

Эти требования разбиты на несколько семейств, каждое из которых включает несколько типов мер или средств контроля, направленных на устранение конкретных угроз или уязвимостей. 

К этим контрольным семействам относятся следующие:

• Контроль доступа: Это семейство включает в себя политики на основе идентификационных данных или ролей, контроль доступа к системным ресурсам, контроль потока данных внутри системы для авторизованных пользователей. 
• Осведомленность и обучение: Любая программа или политика, гарантирующая, что пользователи, сотрудники, руководство и другие заинтересованные стороны понимают угрозы и передовой опыт, требования соответствия и политики безопасности. 
• Аудит и подотчетность: Создание и ведение журналов аудита, обеспечение безопасности этих журналов и сохранение целостности данных журналов от ошибок записи или фальсификации. 
• Управление конфигурацией: Разработка политик для обеспечения базовых конфигураций безопасности и соответствия, а также внедрение практик для поддержания надлежащей конфигурации управляемых систем. 
• Идентификация и аутентификация: Создание и управление идентификационными данными пользователей в системе, методами аутентификации (пароли, биометрия, MFA) для этих идентификационных данных, а также использование временных методов, таких как одноразовые пароли. 
• Реакция на инцидент: Планировать, формализовать и внедрять организационные меры реагирования на инциденты безопасности, включая смягчение последствий и устранение последствий.
• Обслуживание: Поддерживать и развертывать регулярные операции по наблюдению и техническому обслуживанию, включая внедрение необходимых для этого инструментов и платформ. 
• Защита СМИ: Контролируйте и предотвращайте доступ к носителям данных, включая цифровые (жесткие диски, съемные носители) и физические (бумага, файлы). 
• Кадровая безопасность: Проводите проверку и адаптацию для поддержания безопасности CUI, а также внедряйте процедуры для защиты CUI при увольнении или переводе сотрудника.
• Физическая защита: Обеспечьте безопасность физических систем, включая рабочие станции, мобильные устройства, центры обработки данных и объекты, в которых размещено такое оборудование. 

• Оценка рисков: Регулярно проводите оценки рисков на основе комплексных инвентаризаций, сканирования уязвимостей и других видов тестов. 
• Оценка безопасности: Регулярно проверяйте эффективность и пригодность средств контроля безопасности, планируйте действия по исправлению неподходящих средств контроля и постоянно контролируйте эти системы. 
• Защита систем и коммуникаций: Внедрить непрерывный мониторинг и защиту данных, передаваемых по сетям. 
• Целостность системы и информации: Выявление, исправление и предотвращение системных недостатков, которые могут привести к нежелательной или непреднамеренной манипуляции данными, повреждению данных или отсутствию возможности аудита изменений данных. 

При защите CUI по CMMC 2.0 организация по сути реализует все элементы управления и возможности, указанные в этом документе. Хотя для первоначальной сертификации CMMC на уровне 17 потребуется всего XNUMX элементов управления, она не позволяет заключать фактические контракты с агентствами в DIB, которые занимаются CUI. 

Кроме того, хотя смягчающие обстоятельства могут допускать самооценку, сертификация уровня 2 обычно требует проведения полного аудита со стороны C3PAO по всему стандарту NIST SP 800-171.

Что такое специальная публикация NIST 800-172

Когда предприятие переходит на уровень 3 CMMC 2.0, оно должно будет как минимум охватить все элементы управления в NIST 800-171. Кроме того, им придется внедрить элементы управления из Специальная публикация NIST 800-172, «Повышенные требования безопасности для защиты контролируемой несекретной информации: Дополнение к специальной публикации NIST 800-171».

Что NIST 800-172 привносит в таблицу? Несколько дополнений к выбранным контрольным семействам из NIST 800-171. Эти изменения включают следующее:

• Контроль доступа: Используйте контроль доступа двух лиц, используйте организационные ограничения для документирования доступа и внедряйте безопасные решения для передачи данных.
• Информированность и обучение: Проводить обучение по повышению осведомленности о социальной инженерии и APT и предоставлять обратную связь по эффективности обучения в рамках всей организации. 
• Управление конфигурацией: Поддерживайте центральный репозиторий для надежных источников отчетности по управлению компонентами системы, а также автоматизируйте обновления и мониторинг.
• Идентификация и аутентификация: Принудительная аутентификация для сетевых подключений, автоматическая генерация паролей, ротация паролей и управление идентификацией в системах без MFA, а также автоматический контроль подключений для неавторизованных устройств. 
• Реакция на инцидент: Создайте центры управления безопасностью (SOC) и группу реагирования на инциденты для обработки событий, связанных с безопасностью. 
• Кадровая безопасность: Проводите усиленную проверку безопасности сотрудников и внедряйте меры контроля для защиты систем на случай, если информация может попасть в чужие руки (а именно, сотрудникам, имеющим доступ к CUI). 
• Оценка рисков: Выделенные ресурсы для оценки и управления рисками в масштабах всей организации, проведение мероприятий по поиску киберугроз (тестирование на проникновение, учения Red Team). Документирование планов безопасности и постоянная оценка решений безопасности — мониторинг уязвимостей цепочки поставок — в данном случае оценки сторонних поставщиков, предоставляющих ИТ и облачные системы. 
• Оценка безопасности: Провести тестирование на проникновение. 
• Тестирование системы и связи: Диверсифицируйте компоненты системы, чтобы избежать общесистемных уязвимостей, используйте тактику смягчения и устранения путаницы для снижения угроз, используйте тактику изоляции для минимизации атак и последствий. 
• Целостность системы и информации: Проверка безопасности и программного обеспечения с помощью криптографии и механизмов доверия, мониторинг компонентов на предмет подозрительного поведения, обеспечение соответствия компонентов или их изоляции от CUI, демонстрация возможности обновления компонентов до предыдущего, доверенного состояния. 

Любое семейство из NIST 800-171, не указанное в правилах NIST 800-172, не имеет дополнительных компонентов. Кроме того, перечисленные здесь дополнения ограничены, поэтому проверьте фактическую документацию для получения полных правил и подробностей. 

Основные различия между 800-171 и 800-172 вращаются вокруг расширенных элементов управления — расширенного тестирования, расширенного мониторинга, активного тестирования и автоматизации. Поскольку CMMC Level 3 решает серьезные проблемы безопасности, такие как APT, эти дополнительные меры сосредоточены на проактивной и постоянной безопасности. 

Разработка соответствия NIST с Lazarus Alliance

Как и в случае с правилами соответствия контролю, NIST 800-171 и 800-172 попадают в предсказуемую отчетность и аудиты. Lazarus Alliance, опытная фирма по кибербезопасности, хорошо разбирается в аудитах и ​​регламентах NIST, государственном соответствии и сертификации CMMC. 

Готовитесь ли вы к сертификации CMMC, NIST 800-171 или NIST 800-172?

Позвоните в Lazarus Alliance по телефону 1-888-896-7580 или заполните эту форму.