Jump to content

Сертификация модели зрелости кибербезопасности

    Add links

    Сертификация модели зрелости кибербезопасности ( CMMC ) — это система оценки и программа сертификации экспертов, предназначенная для повышения доверия к мерам соответствия различным стандартам, опубликованным Национальным институтом стандартов и технологий . [1]

    Структура и модель CMMC были разработаны Управлением заместителя министра обороны по закупкам и снабжению США (OUSD(A&S)) Министерства обороны в рамках существующих контрактов с Университетом Карнеги-Меллона , Университетом Джонса Хопкинса, Лабораторией прикладной физики LLC , и Фьючерс, Инк. [2] Орган по аккредитации сертификации модели зрелости кибербезопасности контролирует программу по бесплатному контракту. В настоящее время программа контролируется офисом CIO Министерства обороны США . [3]

    CMMC, которая часто требует оценки третьей стороны, если подрядчик обрабатывает контролируемую несекретную информацию , окажет влияние на оборонную промышленность стоимостью 768 миллиардов долларов – 3,2% валового внутреннего продукта Соединенных Штатов Америки. [4]

    Целью CMMC является проверка соответствия информационных систем, используемых подрядчиками Министерства обороны США для обработки, передачи или хранения конфиденциальных данных, обязательным требованиям информационной безопасности. [5] Цель состоит в том, чтобы обеспечить соответствующую защиту контролируемой несекретной информации (CUI). [6] и информация о федеральном контракте (FCI), которая хранится и обрабатывается партнером или поставщиком. 

    Модель

    [ редактировать ]

    Структура предоставляет подрядчикам оборонно -промышленной базы модель соответствия требованиям безопасности NIST SP 800-171 Rev 2 «Защита контролируемой несекретной информации в нефедеральных системах и организациях». Некоторые контракты также будут включать подмножество требований NIST SP 800–172 , «Расширенные требования безопасности для защиты контролируемой несекретной информации: дополнение к специальной публикации NIST 800–171» . [7]

    CMMC объединяет эти практики в набор доменов, которые напрямую соответствуют семействам NIST SP 800-171 Rev 2 и NIST SP 800-172. В CMMC существует три уровня: уровень 1, уровень 2 и уровень 3. [8]

    Уровень Описание Практики Цели Оценка Область фокуса
    1 Основополагающий 14 на основе FAR 52.204-21 со ссылкой на NIST SP 800-171, ред. 2. 59 Ежегодная самооценка Защита информации о федеральном контракте (FCI)
    2 Передовой 110 практик, соответствующих NIST SP 800-171. 320 Раз в три года сторонние оценки критически важной информации о национальной безопасности. Ежегодная самооценка для отдельных программ Защита контролируемой несекретной информации (КПИ)
    3 Эксперт Более 110 практик, основанных на NIST SP 800-171, а также части требований безопасности NIST SP 800-172. Всего более 320 целей ожидают окончательного руководства Министерства обороны (которое контролируется NIST SP 800-172) Трехгодичные оценки под руководством правительства Повышенная защита контролируемой несекретной информации (CUI)

    CMMC не будет применяться к федеральным контрактам до тех пор, пока не будет завершена окончательная разработка норм и они не будут включены в Кодекс федеральных правил 32 и 48 (CFR). [1] . [7]

    Офис CMMC пообещал, что предстоящие рекомендации помогут определить ожидания компаний на оборонно-промышленной базе относительно того, какого уровня аккредитацию следует добиваться, в зависимости от их роли в качестве главного или субподрядчика в различных контрактах.

    История

    [ редактировать ]

    В 2002 году Федеральный закон об управлении информационной безопасностью потребовал от каждого федерального агентства в США разработать, документировать и реализовать общеведомственную программу по обеспечению информационной безопасности информации и информационных систем.

    В 2002 году Закон о исследованиях и разработках в области кибербезопасности разрешил выделить ассигнования Национальному научному фонду (NSF) и министру торговли Национального института стандартов и технологий (NIST) на создание новых программ и увеличение финансирования некоторых текущих программ, исследования и разработки в области сетевой безопасности (CNS), а также стипендии для исследований CNS. Это привело к разработке требований безопасности в системе сертификации модели зрелости кибербезопасности.

    В 2003 году проект FISMA, теперь проект управления рисками, запустил и опубликовал такие требования, как FIPS 199 , FIPS 200 и специальные публикации NIST 800–53 , 800–59 и 800–6. Затем специальные публикации NIST 800–37, 800–39, 800–171, 800–53A.

    В 2010 году Указ № 13556 «Контролируемая несекретная информация» отменил предыдущий указ и создал стандарт для маркировки данных в правительстве.

    В 2011 году в Дополнении к Постановлению о федеральных закупках Министерства обороны США (DFARS) в деле 2011-D039 было предложено правило 7000, вводящее в действие требования по защите несекретной информации, в частности, связанной с фундаментальными исследованиями.

    В 2013 году вступает в силу правило DFARS 252.204-7000, которое требует защиты конфиденциальных данных в нефедеральных системах.

    В 2016 году вступает в силу пункт DFARS 7012, требующий от всех держателей контрактов провести самооценку соответствия требованиям безопасности NIST SP 800-171.

    В 2019 году Министерство обороны объявило о создании Сертификации модели зрелости кибербезопасности (CMMC) для перехода от механизма самоаттестации базовой кибергигиены организации, который использовался для управления оборонно-промышленной базой. С 2017 года все оборонные подрядчики были обязаны проводить самооценку и сообщать о своей готовности к кибербезопасности в соответствии со стандартом NIST SP 800-171 .

    После серии нарушений в цепочке поставок, [9] Министерство обороны в сотрудничестве с промышленностью создало модель CMMC.

    В 2019 году временное правило, разрешающее включение CMMC в контракты на закупки, Дополнение к Правилам закупок Министерства обороны ( DFARS ) 2019-D041, было опубликовано 29 сентября 2020 года и вступило в силу 30 ноября 2020 года. [10]

    8 декабря 2020 г. Совет по аккредитации CMMC и Министерство обороны опубликовали обновленный график. [11] модель будет полностью реализована к сентябрю 2021 года.

    8 декабря 2020 года Министерство обороны выпустит семь исследовательских грантов, которые станут пилотным проектом системы CMMC и потребуют от любого подрядчика, получающего грант, нанять сертифицированного стороннего оценщика для оценки соответствия компании. [12]

    31 декабря 2020 года Управление общих служб опубликовало запрос предложений по своей программе Polaris, в котором отмечалось, что, хотя CMMC в настоящее время применяется только к Министерству обороны, все государственные подрядчики, гражданские или военные, должны подготовиться к выполнению требований CMMC. [13]

    4 ноября 2021 года Министерство обороны объявило о выпуске CMMC 2.0. [14] Эта новая версия была разработана для упрощения требований.

    29 сентября 2022 года Cyber ​​AB (орган по аккредитации CMMC Министерства обороны) учредил дочернюю компанию для управления обучением и сертификацией под названием «Сертификация оценщиков и инструкторов кибербезопасности» (CAICO). [15]

    25 октября 2022 года Организация по сертификации инструкторов и оценщиков кибербезопасности (CAICO) объявила о запуске экзамена на получение сертификата сертифицированного профессионала CMMC (CCP). Этот экзамен проверяет знание кандидатом структуры CMMC Министерства обороны, а также ролей и обязанностей различных должностей в ней. [16]

    5 января 2023 года компания RedSpin, сторонний оценщик CMMC, объявила, что успешно провела оценку клиента в рамках программы добровольной оценки совместного наблюдения (JSVAP). [17]

    26 декабря 2023 года Министерство обороны опубликовало в Федеральном реестре Предлагаемое правило программы сертификации модели зрелости кибербезопасности (CMMC), устанавливающее обновленные требования для CMMC 2.0. [18]

    Критика

    [ редактировать ]

    Профессионалы отрасли выразили серьезную обеспокоенность по поводу отсутствия централизованной официальной коммуникации и ускорения сроков внедрения. Огромное количество компаний, затронутых оборонной промышленной базой, создает такой объем работы для еще не аккредитованных сторонних организаций по оценке CMMC (C3PAO), который кажется нереальным в соответствии с предложенными сроками и активно обсуждается в LinkedIn. [19] [20] В ответ Аррингтон заявил, что взаимность с существующими программами сертификации, такими как FedRAMP и FIPS 140, устранит дублирующую работу и сохранит минимальный уровень работы для компаний, уже соблюдающих требования. [21]

    Председатель органа по аккредитации CMMC Тай Шибер покинул совет вместе с Марком Берманом, директором по связям с общественностью, на фоне явно несанкционированной спонсорской программы «Pay to Play», опубликованной на веб-сайте CMMC-AB. Карлтон Джонсон вступил в должность председателя. [22] [23]

    См. также

    [ редактировать ]

    Ссылки

    [ редактировать ]
    1. ^ «Обзор модели сертификации модели зрелости кибербезопасности (CMMC). По состоянию на 1 апреля 2022 г.» (PDF) .
    2. ^ «Обзор модели сертификации модели зрелости кибербезопасности (CMMC). По состоянию на 1 апреля 2022 г.» (PDF) .
    3. ^ «Главный директор по информационным технологиям Министерства обороны. Доступ: 17 апреля 2023 г.» .
    4. ^ «Стокгольмский международный институт исследования проблем мира. «Тенденции мировых военных расходов, 2019 г.», стр. 2–3. По состоянию на 7 декабря 2020 г.» (PDF) .
    5. ^ «Стратегическое направление программы сертификации модели зрелости кибербезопасности (CMMC)» . Министерство обороны США . Проверено 27 декабря 2022 г.
    6. ^ Росс, Рон; Пиллиттери, Виктория; Демпси, Келли; Риддл, Марк; Гиссани, Гэри (28 января 2021 г.). «Защита контролируемой несекретной информации в нефедеральных системах и организациях» . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
    7. ^ Перейти обратно: а б «Сертификация модели зрелости кибербезопасности (CMMC)» .
    8. ^ «Обзор модели сертификации модели зрелости кибербезопасности (CMMC). По состоянию на 1 апреля 2022 г.» (PDF) .
    9. ^ «Стратегия ФБР по борьбе с растущей киберугрозой – Федеральное бюро расследований» . Федеральное бюро расследований . 16 сентября 2020 г. Проверено 8 января 2021 г.
    10. ^ «Дополнение к Правилам оборонных закупок: оценка выполнения подрядчиком требований кибербезопасности (дело DFARS 2019-D041)» . Федеральный реестр . 29 сентября 2020 г. Проверено 9 января 2021 г.
    11. ^ «Обновление хронологии CMMC» . КиберДИ . 5 января 2021 г. . Проверено 9 января 2021 г.
    12. ^ Сербу, Джаред (15 декабря 2020 г.). «Пентагон раскрывает первые контракты, которые послужат первопроходцами для CMMC» . Федеральная сеть новостей . Проверено 8 января 2021 г.
    13. ^ Бойд, Аарон (4 января 2021 г.). «GSA публикует проект нового государственного контракта на ИТ-услуги Polaris» . Nextgov.com . Проверено 8 января 2021 г.
    14. ^ «ОУСД» . 4 ноября 2021 г. Архивировано из оригинала 4 ноября 2021 г.
    15. ^ «Cyber ​​AB формирует организацию по оценке кибербезопасности и сертификации инструкторов» . Провод правительства . 29 сентября 2022 г. Проверено 21 февраля 2023 г.
    16. ^ «Организация по сертификации инструкторов и экспертов по кибербезопасности запускает сертифицированный профессиональный экзамен CMMC» . www.businesswire.com . 25 октября 2022 г. Проверено 21 февраля 2023 г.
    17. ^ «Redspin становится первым C3PAO, успешно выполнившим оценку JSVAP» . www.businesswire.com . 5 января 2023 г. . Проверено 17 апреля 2023 г.
    18. ^ Программа сертификации модели зрелости кибербезопасности (CMMC), 88 FR 89058 (предложено 26 декабря 2023 г.) (подлежит кодификации в 32 CFR § 170). https://www.federalregister.gov/documents/2023/12/26/2023-27280/cybersecurity-maturity-model-certification-cmmc-program
    19. ^ «Технологические компании сообщают Министерству обороны, что их новые киберстандарты не соответствуют действительности» . Федеральная сеть новостей . 27 марта 2020 г. . Проверено 9 января 2021 г.
    20. ^ «Министерство обороны предупреждает поставщиков о поддельных сертификатах CMMC третьих сторон» . Федеральная сеть новостей . 24 февраля 2020 г. . Проверено 9 января 2021 г.
    21. ^ Уильямс, Лорен С. (8 сентября 2020 г.). «Руководящие принципы взаимности CMMC все еще находятся в стадии разработки» . ФКВ . Проверено 9 января 2021 г.
    22. ^ «Проблемы сертификации модели зрелости кибербезопасности» . Федсовок . 28 июля 2020 г. Архивировано из оригинала 28 июля 2020 г. Проверено 9 января 2021 г.
    23. ^ «CMMC AB увольняет председателя Тая Шибера и Марка Бермана» . Федсовок . 16 сентября 2020 г. Архивировано из оригинала 1 октября 2020 г. Проверено 9 января 2021 г.
    [ редактировать ]
    Retrieved from "https://en.wikipedia.org/w/index.php?title=Cybersecurity_Maturity_Model_Certification&oldid=1232007474"
    Arc.Ask3.Ru: конец переведенного документа.
    Arc.Ask3.Ru
    Номер скриншота №: 8b02f1d7db4798e1a21f615dec962e67__1719826920
    URL1:https://arc.ask3.ru/arc/aa/8b/67/8b02f1d7db4798e1a21f615dec962e67.html
    Заголовок, (Title) документа по адресу, URL1:
    Cybersecurity Maturity Model Certification - Wikipedia
    Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)