网络安全成熟度模型认证(CMMC)

网络安全成熟度模型认证CMMC

网络安全成熟度模型认证(CMMC)认证框架影响着美国的网络安全.S. 国防部(DoD)承包商、供应链、解决方案提供商和系统集成商.

查看服务单张(PDF)

Video


播放按钮

概述CMMC

什么是网络安全成熟度模型认证(CMMC)?

CMMC是网络安全成熟度模型认证, 这将有助于保护国防部的供应链免受网络安全相关威胁. 国防部在未来的合同中包括了对CMMC成熟度模型的认证要求, 包括分包商吗. 供应链, 在国防部称为国防工业基地, 可能会成为国家对手的目标,因为DIB中的供应商可能拥有与国家安全有关的敏感或机密信息. 其理念是,如果没有一个安全的基础,所有功能都处于危险之中. 网络安全应该作为国家国防工业基础的各个方面的基础.

为什么会有CMMC?

美国国防部供应链遭受来自外国对手的全球网络攻击, 行业竞争对手, 而国际罪犯则是美国国家安全担忧的首要问题.  像中国这样的国家, 俄罗斯, 朝鲜在美国窃取了超过6000亿美元(占全球GDP的1%), 根据艾伦·洛德, 负责采办和维持的国防部副部长. 即使在今天, 这些不法分子利用COVID-19大流行为他们的邪恶行动打掩护,而组织则分散了注意力,因为他们的业务从实体办公室扩展到个人的家庭.

CMMC向谁申请?

国防工业基地(DIB)在一定程度上涉及30万家企业, 不管他们是直接与国防部签订合同,还是分包给大公司. 不管和国防部的关系如何, 所有供应链承包商将需要获得至少一级认证.

什么是CMMC认证流程?

CMMC计划在很大程度上是由国防部采购副部长办公室推动的. 一般, 认证过程将与许多其他认证或网络安全评估过程类似, 如ISO或FedRAMP. 第一个, 一个认证机构的成立是为了形成整个评估和认证过程的规则和框架. 然后,评估机构必须向认证机构申请对其组织进行认证,使其能够进行CMMC评估,然后培训和认证其员工进行评估工作. 一旦评估机构完成认证, 培训, 以及人员认证流程, 然后他们将能够执行CMMC评估来认证客户.

谁是CMMC评审员?

整个2020年,这一进程一直在向前推进, 首先是CMMC认证委员会的成立, 或CMMC-AB. AB最初被一个完全由志愿者组成的委员会妥协,该委员会致力于为评估机构建立一个框架, 专业人士, 以及寻求认证的组织. 框架包括标准本身, 认可资格的要求, 评估和认证的过程, 和培训. CMMC-AB建立了临时审核员测试版程序. 这些评估人员是从评估领域中挑选出来的一个较小的群体,目前正在接受培训,以便在临时基础上进行评估. 国防部已经选择了非常具体的合同,这些合同目前正在进行新的CMMC要求的采购过程,作为beta/临时评估的beta测试. 这个经过仔细考虑的测试步骤将允许遵从性评估人员, 的认证机构, 行业, 国防部CMMC PMO执行一些评估,然后评估过程,以确定什么是最好的.

在进行这些临时评估之后, CMMC-AB将推进更大规模的训练可用性, 评估公司认证, 以及需求的最终确定. CMMC-AB还处于建立认证生态系统的早期阶段. 目前的试点阶段被认为是临时阶段,涉及数量有限的临时评估人员及其相关认证机构(或第三方评估机构). 国防部今年试点的合同不超过15份,并将在2025年之前全面实施该要求.

2021年2月, 省政府解决方案(PGS), NIST和FISMA评估的领导者,LBMC的战略伙伴, 成为首批获得CMMC-AB认证的第三方评估机构(C3PAO). 了解PGS和LBMC如何合作提供CMMC评估服务: http://www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc

什么时候需要CMMC?

一般, CMMC是你需要担心的事情如果你是国防部的承包商或供应商, 或分包给国防部承包商. 然而, 国防部和CMMC认证机构表示,国防部将在未来数年内在新合同中部署这一要求. CMMC需求不期望插入到活动契约中. 即使你现在还不需要担心,但考虑你的安全姿势永远不会太早.

对CMMC有疑问吗? LBMC可以帮助您的组织准备并获得CMMC认证. 联系 HB火博体育app官网现在.

CMMC框架

根据 负责采办的国防部副部长办公室 & 维护, CMMC框架包含五个成熟度流程和171个网络安全最佳实践,在五个成熟度级别上逐步推进. CMMC成熟流程将网络安全活动制度化,以确保其一致性, 可重复的, 和高质量的. CMMC框架与认证程序相结合,以验证过程和实践的实施.

什么是CMMC 5级别?

CMMC实践提供了一系列跨级别的缓解措施, 从1级的基本防护开始, 转向在3级上广泛保护受控非机密信息(CUI), 最终将高级持续威胁(APTs)的风险降低到4级和5级.

CMMC是如何带领你通过网络安全5个级别的实际例子是什么?

从共同安全进程的角度来看,
例一:事件回应:

  • 一级,基本网络卫生,不直接处理事件响应
  • 二级,中级网络卫生,记录事件响应程序
  • 3级, 良好的网络卫生, 管理阶段, 包括管理报告事件的实践,并报告到适当的水平
  • 4级, 主动网络卫生, 包括持续地审查事件和建立响应能力
  • 5级, 先进/进步的网络卫生, 事件响应能力包括异常活动和CIRT的建立

要求:

水平 数量 实践
2 IR.2.096 根据预先确定的程序,制定并实施对已申报事件的响应.
3 IR.3.098 Track, 文档, 并向组织内部和外部指定的官员和/或当局报告事件.
4 IR.4.101 建立和维护安全操作中心的能力,促进24/7响应能力.
5 IR.5.102 使用手动和自动的组合, 对匹配事件模式的异常活动的实时响应.
5 IR.5.108 建立并维护一个网络事件响应团队,能够在24小时内在任何地点实地或虚拟地调查问题.

例2—执行配置和变更管理:

  • 这种能力对于1级成熟度来说不是必需的.
  • 在2级, 控件侧重于控制实践的文档,HB火博体育app官网引入了安全配置, 变更控制跟踪, 以及安全影响分析
  • 3级, 围绕配置的控制变得更加成熟,并进展到托管状态, 需要物理和逻辑访问限制, 删除不必要的函数, 以及软件黑白名单访问限制.
  • 第4级引入基于管理评审的应用白名单
  • 第5级引入了一个持续评审有效性的过程,它引入了优化. 以这种方式观看,显示出日益成熟, 改进的安全状况, 以及围绕配置的能力如何在组织开展业务的方式中变得越来越根深蒂固.

要求:

水平 数量 实践
2 CM.2.064 建立和执行组织系统中使用的信息技术产品的安全配置设置.
2 CM.2.065 跟踪、审查、批准或不批准,并记录对组织系统的更改.
2 CM.2.066 在实施更改之前,分析更改对安全性的影响.
3 CM.3.067 定义, 文档, 批准, 并执行与组织系统更改相关的物理和逻辑访问限制.
3 CM.3.068 限制, 禁用, 或者阻止使用不必要的程序, 功能, 港口, 协议, 和服务.
3 CM.3.069 应用deny-by-exception(黑名单)策略来防止使用未经授权的软件或deny-all, 例外允许(白名单)策略允许执行授权软件.
4 CM.4.073 对组织识别的系统采用应用程序白名单和应用程序审查程序.
5 CM.5.074 验证组织定义的安全关键或基本软件的完整性和正确性(e.g.、信任的根源、正式验证或加密签名).

通过安全域跨前3级的增加

  • 1级,跨越6个域的17个控件:
    1. 访问控制(AC)
    2. 识别和认证(ia)
    3. 媒体保护(议员)
    4. 实物保护(PE)
    5. 系统和通信保护(sc)
    6. 系统和信息完整性(si)
  • 第2级,跨越15个域的72个控件,它增加了:
    1. 审计及问责制(au)
    2. 意识和培训(在)
    3. 配置管理(CM)
    4. 事件反应(IR)
    5. 维护(MA)
    6. 人员安全(PS)
    7. 恢复(RE)
    8. 风险管理(RM)
    9. 安全评估(CA)
  • 第3级,跨越17个域的130个控件,这增加了:
    1. 资产管理(AM)
    2. 态势感知(SA)
CMMC一级实践 CMMC二级实践 CMMC三级实践

大多数公司都属于第一级,那这17个控制是什么呢?

这17项控制实际上是大多数公司已经在做的事情, 你可能需要将它们正式化一点,为审核做好准备. 这些基本步骤包括使用用户id和有效密码, 限制系统的访问权限, 和功能, 消毒媒体, 限制/记录/控制物理访问和控制访问者, 控制系统边界(通常通过防火墙和DMZ), 修补漏洞, 和, 最后但并非最不重要的, 恶意代码保护,更新和扫描.

以下是这17个控件的外观:

  • 限制授权用户访问信息系统, 代表授权用户的流程, 或设备(包括其他信息系统).
  • 限制信息系统访问授权用户可以执行的事务和功能的类型.
  • 核实和控制/限制与外部信息系统的连接和使用.
  • 控制在公开可获取的信息系统上张贴或处理的信息.
  • 识别信息系统用户、代表用户的进程或设备.
  • 验证(或验证)这些用户的身份, 流程, 或设备, 作为允许访问组织信息系统的先决条件.
  • 包含联邦合同信息的信息系统介质应在处理或释放之前进行消毒或销毁.
  • 限制对组织信息系统的物理访问, 设备, 以及各自的操作环境给授权的个人.
  • 陪同访客并监控访客活动.
  • 维护物理访问的审计日志.
  • 物理接入设备的控制和管理.
  • 监视、控制和保护组织通信(i.e., 由组织信息系统传送或接收的信息)位于信息系统的外部边界和关键内部边界.
  • 为公共访问的系统组件实现物理或逻辑上与内部网络分离的子网.
  • 及时发现、报告和纠正信息和信息系统缺陷.
  • 在组织信息系统的适当位置提供保护,防止恶意代码.
  • 当有新版本可用时,更新恶意代码保护机制.
  • 定期对信息系统进行扫描,并在文件下载时对外部源文件进行实时扫描, 打开, 或执行.

当我进入第2关的时候会是什么样子?

另外还有55个控制点,总共有72个. 这个列表可能太长了,不能在这里全部列出. 但为了让你们了解HB火博体育app官网正在观察的东西.

  • 访问控制和身份识别/授权, 在第一级, 专注于限制对系统和功能的访问, 使用身份验证机制和标识符, 以及维护对外部和公开访问系统的访问控制, 现在更进一步. 二级添加隐私/安全通知, 便携设备存储的限制, 最小特权, 会话锁, 登录尝试限制, 无线控制, 远程访问控制, 以及特定的密码管理和加密要求
  • 系统和通信, 在级别1上需要在边界和DMZ的实现处进行防火墙类型的保护, 增加了对协作工具的远程控制和网络设备管理会话的加密控制.

也, 为什么一个公司要申请二级认证, 而国防部只需要1级或3级? 第2级意在显示公司向第3级工作的过渡状态. 如果例如, 贵公司希望获得一份需要3级证书的合同, 但你的安全姿态还没到那个地步, 您可以获得二级认证,以更好地展示您目前的过渡状态. 目前,合同认证级别在合同奖励前是不需要的. So, 2级认证的过渡状态可以帮助您的组织在合同授予前显示合同提议的进展.

好吧,告诉我三、四、五层的情况?

第3个关卡是另一个主要提升,即在总共130个控制中添加了58个控制. 对于一个不太成熟的安全程序来说,提升到第3级的过程可能意义重大. 三级是良好的网络卫生. 虽然大多数公司将解决大多数风险在3级提出, 他们可能没有在这些需求的具体情况下这样做. 此外,有能力显示这些控制的实现可能是一个挑战. 在三级, 您不仅有政策/程序要求, 还有与持续实施控制相关的计划.

回到前面的两个例子, 访问控制, 从1级的4到2级的14, 现在为总共22个控件添加8个控件. 然后是识别和认证, 从1级的2到2级的7, 现在增加4个控件,总共有11个控件. 为这两个域添加的控件类型—用于无线的附加控件, 远程访问, 职责的划分, 特权用户、移动设备、加密和多因素身份验证.

系统和通信-从第1级的2级开始到第2级的4级, 现在增加了15个控件,总共有19个控件. 其他要求包括更具体的防火墙, 远程访问, 和加密技术, 围绕移动代码的新要求, 网络电话, 会话控制, 和密钥管理.

4级和5级采用最少的主动网络控制和先进的网络保护. 这些级别适用于信息敏感度高于3级的公司. 在CMMC最初的试验阶段, 重点是1到3级,4和5级被认为是未来的状态. 尽管如此,还是提出了控制水平的建议.

让HB火博体育app官网回到访问控制域,看看HB火博体育app官网为第4级添加了什么:

  • 控制连接系统上安全域之间的信息流.
  • 定期审核和更新CUI程序的访问权限.
  • 根据组织定义的风险因素(如每天的时间)限制远程网络访问, 访问的位置, 物理位置, 网络连接状态, 以及当前用户和角色的度量属性.

5级:

  • 识别并降低与连接到网络的未识别无线接入点相关的风险.

对CMMC水平有问题吗? LBMC可以帮助您的组织准备和导航CMMC框架. 联系 HB火博体育app官网现在.

链接到标记网络安全成熟度模型认证(CMMC)

Mark Burnette

信息安全咨询服务组组长,主管股东

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接画了网络安全成熟度模型认证(CMMC)

画了 Hendrickson

股东,信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到Caryn网络安全成熟度模型认证(CMMC)

Caryn 伍利

质量保证和专业发展主任

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔