Аудит и соответствие Awareness

Использование поставщиков управляемых услуг безопасности для соответствия стандартам NIST 800-171 и CMMC в цепочке поставок оборонной промышленности

by Альянс Лазаря 0 комментарий
Эффективные решения по сертификации CMMC от Lazarus Alliance  

Сложные отношения между государственными учреждениями, сторонними поставщиками и поставщиками управляемых услуг формируют сложную сеть связей, которые составляют цифровую цепочку поставок DoD. И NIST 800-171, и CMMC рассматривают их на разных этапах, ожидая от поставщиков соблюдения сложных требований безопасности. Эти требования могут стать настолько сложными, что они могут обратиться к поставщикам управляемых услуг (особенно в сфере безопасности), чтобы те помогли им поддерживать соответствие. 

В этой статье мы расскажем, как MSSP может помочь вам оптимизировать соблюдение таких стандартов, как NIST 800-171 и CMMC. 

 

Проблема соответствия требованиям для поставщиков оборонной промышленности

Любой поставщик цифровых или облачных инструментов должен, согласно закону, продемонстрировать строгое соблюдение NIST 800-171 и CMMC. Эти стандарты тесно связаны, но не идентичны, и знание обоих является обязательным (и сложным). Эти два стандарта играют ключевую роль в защите национальной безопасности, одновременно защищая от APT или других сложных киберугроз.

  • НИСТ 800-171: В настоящем документе основное внимание уделяется защите и обеспечению безопасности CUI, реализованной в нефедеральных информационных системах и организациях, путем предписания 110 мер безопасности в 14 различных семействах мер.
  • КММК: Созданный на основе NIST 800-171, CMMC добавляет процессы и практики зрелости для трех различных уровней зрелости. Это структурирует соответствие требованиям NIST 800-171 в рамках модели зрелости, которая предоставляет руководство на основе необходимого уровня безопасности. 

Как и в случае с любой структурой соответствия, соблюдение NIST 800-171 или CMMC создает для организации ряд существенных проблем:

  • Ограничения в ресурсах: Большинство предприятий малого и среднего бизнеса, как правило, не располагают достаточными человеческими и финансовыми ресурсами для внедрения и управления необходимыми мерами кибербезопасности, особенно на самых высоких уровнях требований.
  • Технические сложности: Требования, установленные NIST 800-171 и CMMC, требуют высокой квалификации и опыта для соответствия техническим спецификациям, которых нет у многих организаций.
  • Изменение среды угроз: Среда угроз в киберпространстве постоянно меняется, поэтому обеспечение соответствия требованиям — это бесконечный процесс, требующий постоянного внимания (и рабочей силы). 

 

Устранение пробелов в соблюдении требований с помощью поставщиков управляемых услуг

Отпечаток большого пальца со светящимся замком

Поставщики управляемых услуг (MSP) играют решающую роль в цепочке поставок в оборонной промышленности, поскольку они позволяют агентствам и другим предприятиям снять с себя ответственность за безопасность, соответствие требованиям и управление технологиями. 

MSP предоставляют клиентам профессиональные услуги по кибербезопасности, которые обеспечивают полный жизненный цикл соответствия, от первоначальной оценки до постоянного управления и мониторинга средств контроля безопасности. Они нанимают внутренних специалистов по кибербезопасности, которые знают стандарты соответствия, связанные с обороной или военными, и всегда будут делиться общими знаниями и уникальными советами по соблюдению требований в рамках каждого конкретного бизнеса. 

В этом случае MSP (или, точнее, поставщик управляемых услуг безопасности, или MSSP) может помочь любой организации преодолеть сложность, связанную со стандартами NIST 800-171 и CMMC, превратив технические требования к соблюдению требований в стратегию, ориентированную на действия.

Кроме того, комплексные решения MSP обычно направлены на преодоление трудностей, связанных с поддержанием безопасности и соответствия требованиям, а также на предоставление стратегического направления для защиты конфиденциальной информации (в данном случае CUI) и надежной защиты от развивающихся киберугроз.

Некоторые из основных преимуществ, которые предлагают эти поставщики, помимо прямого управления соответствием, включают в себя:

  • Оценка рисков: MSP выполняют строгую оценку рисков, существенно помогая в выявлении слабых мест в ИТ-инфраструктуре организации, которые могут быть скомпрометированы киберпреступниками. Они делают это сверх того, что организация может сделать самостоятельно.
  • Анализ разрыва: MSSP могут выполнять анализ пробелов, чтобы можно было легко выявить любые несоответствия строгим требованиям NIST 800-171 и CMMC в существующих практиках кибербезопасности.
  • Реализация индивидуальной структуры кибербезопасности: Результаты оценки рисков и анализа пробелов лягут в основу индивидуальной структуры кибербезопасности, которая будет сочтена наиболее подходящей для достижения целей организации и соответствующей стандартам NIST 800-171 и CMMC.
  • Постоянный мониторинг и управление средствами безопасности: MSP предоставляет клиенту круглосуточные услуги мониторинга, которые помогают детально выявлять угрозы кибербезопасности и немедленно реагировать на них, обеспечивая надежную защиту от постоянного развития киберугроз.
  • Разработка политики и процедур: MSP будут помогать в разработке и документировании политик и процедур безопасности, необходимых для соответствия, ключевого компонента требований NIST 800-171 и CMMC. Они также будут предоставлять рекомендации по передовым практикам управления информационной безопасностью и процессам контроля.
  • Обучение по вопросам безопасности: Многие поставщики управляемых услуг предлагают своим сотрудникам обучение по вопросам безопасности, чтобы они также могли соблюдать требования по обеспечению соответствия.
  • Реагирование на инциденты и поддержка восстановления: Типичные услуги MSSP часто включают немедленное реагирование на инциденты безопасности, оценку воздействия инцидентов безопасности и минимизацию простоев и сбоев за счет быстрой реализации услуг восстановления. 
  • Техническая поддержка и обслуживание: Некоторые поставщики управляемых услуг будут предлагать круглосуточную техническую поддержку для решения проблем безопасности и поддержания операционной целостности средств управления и систем безопасности. Они также будут обеспечивать актуальность инфраструктуры безопасности с последними исправлениями и обновлениями, снижая уязвимости.
  • Отчетность и документация о соответствии: CMMC требует подробной документации по соблюдению требований во время самооценки и при работе с C3PAO. 
  • Управление поставщиками и оценка третьей стороной: Цепочка поставок в сфере обороны строится на отношениях между агентствами, поставщиками и другими организациями поддержки. MSSP поможет бизнесу или агентству обеспечить безопасность этих отношений и их соответствие требованиям CMMC. 
  • Консультации и консультационные услуги: Поставщики услуг управления предлагают экспертные консультации по лучшим практикам кибербезопасности и стратегиям соответствия. Они предоставляют консультационные услуги по стратегическому планированию безопасности и текущему управлению соответствием.

Используя опыт и ресурсы MSP, предприятия могут более эффективно справляться со сложностями соответствия стандартам NIST 800-171 и CMMC, обеспечивая выполнение всех требований и поддерживая надежную позицию кибербезопасности против постоянно меняющихся угроз.

Обратите внимание, однако, что ваш MSSP не может также служить вашим C3PAO из-за конфликта интересов. Важно отделить ваши услуги консалтинга и поддержки от услуг оценки. 

 

Доверьте свои потребности в соответствии с CMMC и NIST 800-171 в надежные руки с Lazarus Alliance

Свяжитесь с членом команды, чтобы узнать, как мы можем помочь вам оптимизировать безопасность и управление поставщиками для NIST 800-171, CMMC или других фреймворков соответствия.

Загрузите брошюру нашей компании.

Альянс Лазаря

Веб-сайт: