Was ist CMMC? Cybersecurity Maturity Model Zertifizierung

Was ist CMMC?

CMMC oder die Cybersecurity Maturity Model Certification ist ein Cybersicherheitsrahmen, der Verteidigungsministerium der Vereinigten Staaten (DoD) wurde zum Schutz der von der Defense Industrial Base (DIB) gespeicherten Daten erstellt.

Im Großen und Ganzen besteht das DIB aus Auftragnehmern und Subunternehmern, die mit dem Verteidigungsministerium zusammenarbeiten und daher hochgradig sensible Informationen.

CMMC 1.0

Im Jahr 2019 kündigte das US-Verteidigungsministerium die Entwicklung eines Modells zur Bewertung und Zertifizierung der Cybersicherheit an. Der ursprüngliche Zweck des CMMC bestand darin, sicherzustellen, dass die Lieferanten und Auftragnehmer des Verteidigungsministeriums ihre Netzwerke ordnungsgemäß sichern und warten. kontrollierte nicht klassifizierte Informationen (CIU) und Bundesvertragsinformationen (FCI).

CMMC 2.0

Im November 2021 – etwas mehr als zwei Jahre nach der Ankündigung der ersten Phase des CMMC durch das US-Verteidigungsministerium – enthüllte die US-Behörde Pläne für ein verstärktes und erweitertes CMMC 2.0-Programm. Phase 2 behält das ursprüngliche Ziel bei, sensible CIU zu schützen und gleichzeitig bestehende Compliance-Hürden zu minimieren.

Die Cybersecurity Maturity Model-Zertifizierung Phase 2.0:

• Vereinfacht die Anforderungen für kleinere Unternehmen
• Vereinfacht und präzisiert Standards für regulatorische, politische und vertragliche Anforderungen
• Erfordert strengere Cybersicherheitsstandards und Bewertungen durch Dritte für Projekte mit höherer Priorität
• Erhöhte Aufsicht des Verteidigungsministeriums über ethische Standards
• Hindernisse für die Einhaltung der Vorschriften und maximiert die Einfachheit der Ausführung
• Fördert eine kollaborative Cybersicherheitskultur

Die Verbesserungen von Version 2.0 zielen darauf ab, die Cybersicherheit der DIB-Unternehmen zu stärken, indem sie eine stärkere Zusammenarbeit mit dem DoB ermöglichen und Auftragnehmern die Möglichkeit geben, Selbstbewertungen durchzuführen und über ihre Einhaltung der Vorschriften zu berichten.

Pentagon-Vertreter deuten darauf hin, dass das Office of Management and Budget (OMB) die CMMC-Vorschriften voraussichtlich 2023 als „Regelvorschlag“ genehmigen wird und dass es eine Kommentierungsfrist von bis zu einem Jahr geben wird, bevor die endgültigen Vorschriften in Kraft treten. Dies würde Unternehmen zusätzliche Zeit geben, die erwartete komplexe Regelung zu verstehen und sich darauf vorzubereiten. Es bedeutet jedoch auch, dass die CMMC-Anforderungen voraussichtlich erst 2024 in Verträgen enthalten sein werden. Laut einheitliche Agenda Herbst 2022Die CMMC-Vorschriften befinden sich derzeit im Stadium der „vorgeschlagenen Regelung“, und es wird erwartet, dass im Mai 2023 eine Bekanntmachung über die vorgeschlagene Regelung veröffentlicht wird. Diese Prognosen können sich jedoch noch ändern.

Was ist der Zweck von CMMC?

Cyber-Bedrohungen für die Verteidigungsindustrie nehmen zu – und diese Bedrohungen werden nicht nur häufiger, sondern auch komplexer. Um die Unternehmen im Verteidigungsministerium vor diesen zunehmenden Angriffen zu schützen, benötigt das Verteidigungsministerium starke, umfassende IT-Sicherheitsmaßnahmen und -Standards.

CMMC bewertet die Sicherheitsprogramme der Lieferanten und stellt sicher, dass diese über ausreichende Systeme verfügen, um alle in ihren Netzwerken vorhandenen CUI zu schützen.

Es soll Schwachstellen in der Lieferkette reduzieren, Informationen des Verteidigungsministeriums vor Verstößen schützen und die Cybersicherheitspraktiken insgesamt verbessern.

Was ist das CMMC-Framework?

Das ursprüngliche CMMC – oder Version 1.0 – gliederte die Sicherheitsprozesse in fünf Reifegrade, darunter:

Level 1: Grundkenntnisse
Safeguards FCI online – 17 Praktiken
Level 2: Mittelstufe
Eine Übergangsebene – 72 Praktiken
Stufe 3: Gut
Schutzmaßnahmen CUI zusätzlich zu FCI – 130 Praktiken
Stufe 4: Proaktiv
Schützt CUI und reduziert das Risiko von Advanced Persistent Threats (APTs) – 156 Praktiken
Level 5: Fortgeschritten
Progressives Cyber-Programm – 171 Praktiken

Jeder Reifegrad baute auf dem vorherigen auf und erforderte, dass ein Unternehmen alle Praktiken eines Levels beherrschte, bevor es zum nächsten übergehen konnte.

Das optimierte CMMC 2.0 reduziert die Anzahl der Reifegrade von fünf auf drei, streicht 20 Sicherheitsanforderungen, orientiert sich stärker an den Sicherheitskontrollen von NIST SP 800-171 und ermöglicht einigen Organisationen die Selbstbewertung ihrer Programme, anstatt sie einer Überprüfung durch Dritte zu unterziehen. Die neuen, vereinfachten Stufen von 2.0 sind:

Stufe 1: Grundkenntnisse
Erfordert jährliche Selbstbewertungen – 17 Praxen
Level 2: Fortgeschritten
Erfordert entweder jährliche Selbstbewertungen für ausgewählte Organisationen – oder Bewertungen durch Dritte für kritische nationale Sicherheitsinformationen; Entspricht den Richtlinien von NIST SP 800-171 – 110 Praktiken
Level 3: Experte
Erfordert staatlich geführte Bewertungen; entspricht den Richtlinien von NIST SP 800-172 – über 110 Praktiken

CMMC-Anforderungen

Es gibt eine Reihe von Anforderungen, die Organisationen erfüllen müssen, um die CMMC-Zertifizierung zu erhalten, darunter:

• Identifizierung und Dokumentation aller Systeme und Vermögenswerte, einschließlich Daten, die für den Schutz kontrollierter, nicht klassifizierter Informationen (CUI) relevant sind
• Erstellen und Pflegen eines Systemsicherheitsplans (SSP), der beschreibt, wie die im CMMC-Framework beschriebenen Sicherheitsanforderungen erfüllt werden
• Implementierungs- und Dokumentationspraktiken und -verfahren für die Verwaltung des Zugriffs auf nicht klassifizierte kontrollierten Informationen (Controlled Unclassified Information, CUI), einschließlich Authentifizierung, Autorisierung und Auditierung
• Entwickeln und pflegen Sie einen Vorfallreaktionsplan, der die Verfahren für die Reaktion auf und die Meldung von Sicherheitsvorfällen beschreibt.
• Verfahren zur regelmäßigen Überwachung, Bewertung und Prüfung der Sicherheitskontrollen, um deren Wirksamkeit sicherzustellen
• Nachweis der Einhaltung der entsprechenden CMMC-Zertifizierungsstufe durch eine formelle Bewertung durch eine CMMC Third Party Assessor Organization (C3PAO)

Wer muss CMMC einhalten?

Das Verteidigungsministerium arbeitet mit mehr als 30.000 Auftragnehmern und Subunternehmern zusammen. Dazu zählen Unternehmen aus den Bereichen Technologie, Finanzen, Fertigung, Design und Entwicklung, Forschung, Cloud-Service-Anbieter und mehr. Nach Version 1.0 mussten alle von ihnen zertifiziert sein.

Phase 2.0 unterteilt die Zertifizierungsanforderungen jedoch nach Level. Unternehmen der Stufe 1, die FCI schützen, die für die nationale Sicherheit nicht kritisch sind, müssen sich nicht mehr unterziehen. staatliche oder Drittbewertungen und können sich auf die Selbstzertifizierung verlassen.

Verteidigungsunternehmen der Stufe 2, die aus Gründen der nationalen Sicherheit mit sensiblen CUI umgehen, benötigen eine Zertifizierung, während Unternehmen, die nicht priorisierte Projekte abwickeln, möglicherweise keine Zertifizierung benötigen.

Wie erhalten Sie die CMMC-Zertifizierung?

Während einige Zertifizierungsdetails noch in der Entwicklung sind, ist die Akkreditierungsstelle – oder CMMC-AB – ist für die Akkreditierung der Drittorganisationen verantwortlich, die Auftragnehmer des Verteidigungsministeriums zertifizieren.

Diese Gutachter, die als CMMC Third Party Assessment Organizations (C3PAOs) bezeichnet werden, sind befugt, Bewertungen der Sicherheitsnetzwerke von Auftragnehmern durchzuführen und die für die jeweilige Organisation geeigneten Zertifizierungen bereitzustellen.

CMMC-Bewertungstypen

Selbsteinschätzungen: sind eine Option, bei der das Unternehmen die Bewertung selbst durchführt. Diese Art der Bewertung wird in der Regel für niedrigere CMMC-Zertifizierungsstufen verwendet und kann dem Unternehmen helfen, Schwachstellen in der Cybersicherheit zu identifizieren. Es ist jedoch wichtig zu beachten, dass Selbstbewertungen nicht immer für alle Zertifizierungsstufen akzeptiert werden und möglicherweise eine Überprüfung durch Dritte erfordern, um die Genauigkeit und Gültigkeit der Ergebnisse sicherzustellen.

Bewertungen durch Dritte: Diese Art der Bewertung wird von einer externen Organisation durchgeführt, die von der CMMC-Akkreditierungsstelle autorisiert wurde. Ziel dieser Bewertung ist es, die Einhaltung der im CMMC festgelegten spezifischen Praktiken und Anforderungen durch das Unternehmen zu beurteilen und eine unabhängige Bewertung der Cybersicherheit des Unternehmens vorzunehmen. Die Bewertung durch Dritte ist ein entscheidender Bestandteil der CMMC-Zertifizierung und notwendig, um sicherzustellen, dass Unternehmen wirksame Cybersicherheitskontrollen implementiert haben.

Einschätzungen der Regierung: Diese Bewertung wird von der US-Regierung durchgeführt und bewertet die Einhaltung der im CMMC beschriebenen spezifischen Praktiken und Anforderungen sowie aller zusätzlichen Sicherheitsanforderungen der Behörde. Regierungsbewertungen werden häufig zusätzlich zu Bewertungen durch Dritte durchgeführt, um die Ergebnisse zu verifizieren oder zusätzliche Sicherheitsmaßnahmen zu evaluieren. Das Hauptziel einer Regierungsbewertung besteht darin, sicherzustellen, dass das Unternehmen wirksame Cybersicherheitskontrollen und -maßnahmen zum Schutz sensibler Informationen implementiert hat.

Was bedeutet CMMC-Konformität?

Unternehmen, die mit dem US-Verteidigungsministerium Verträge abschließen, müssen die hochsensiblen Daten, auf die sie Zugriff haben, schützen. Wenn Sie einen Vertrag mit dem US-Verteidigungsministerium abschließen möchten, müssen Sie mit den Richtlinien, Praktiken und Standards der Verordnung vertraut sein. Für den Umgang mit bestimmten Datentypen benötigen Sie zudem eine Zertifizierung durch Dritte oder die Regierung.

Die Einhaltung der Sonderveröffentlichung 800-171 des National Institute of Standards and Technology (oder NIST SP 800-171-Framework) ist die halbe Miete, da die neuen Verbesserungen eng an den Sicherheitsrichtlinien des NIST ausgerichtet sind.

Unternehmen, die mit dem US-Verteidigungsministerium zusammenarbeiten oder sich um Regierungsaufträge bewerben möchten, müssen sicherstellen, dass sie über wirksame Sicherheitspraktiken verfügen. Die fortschrittlichen, ML-basierten Sicherheitslösungen von BigID Helfen Sie Unternehmen, alle sensiblen Daten unternehmensweit und in großem Umfang zu schützen. So geht's:

• Sie können nicht schützen, was Sie nicht wissen, dass Sie es haben: Entdecken Sie alle Ihre sensiblen, regulierten und risikoreichen Daten überall — einschließlich CUI und FCI
• Klassifizieren und katalogisieren Sie mehr Datentypen im großen Maßstab mithilfe von NPL- und ML-Techniken
• Identifizieren Sie Hochrisikobenutzer sensibler Daten und beschränken Sie den Dateizugriff auf autorisierte Benutzer.
• Beheben, Aufbewahren oder Verwerfen vertraulicher Daten
• Reduzieren Sie proaktiv das Risiko für Ihre sensibelsten Daten durch Risikobewertung
• Bestimmen Sie nach einem Datenverstoß genau die betroffenen Benutzer und vereinfachen Sie die Reaktion auf Vorfälle
• Richten Sie Ihre Datenschutzpraktiken aus mit NIST-Konformitätsstandards

Richten Sie ein BigID-Demo um zu sehen, wie wir Ihnen helfen können Sichern Sie hochsensible Informationen zur nationalen Sicherheit.

Autor

BigID

Lernen Sie das Autorenkollektiv von BigID kennen, ein vielfältiges Team aus Produktvermarktern, Fachexperten und Textern, die sich mit Datenschutz, Sicherheit und Governance bestens auskennen. Unser kollaborativer Ansatz nutzt eine Fülle von Branchenkenntnissen, um aufschlussreiche und informative Inhalte zu erstellen und sicherzustellen, dass Sie in dieser sich ständig weiterentwickelnden Landschaft informiert bleiben.