Wie Sie auf dem richtigen Weg in Ihrer CMMC-Reise kommen

Die neueste Version des Cybersecurity Maturity Model Certification (CMMC) ist gerade in Kraft getreten, und es gibt viel zu besprechen, wie Sicherheitsexperten die Anforderungen erfüllen können.

Für wen ist dieser Blog?

Arbeiten Sie für eine Organisation, die als Haupt- oder Subunternehmer für das Verteidigungsministerium (DoD) tätig ist? Ist Ihr Unternehmen Mitglied der Defense Industrial Base (DIB)? Verwaltet Ihr Unternehmen Controlled Unclassified Information (CUI) und/oder Federal Contract Information (FCI)? Wurden Sie beauftragt, Ihre Organisation CMMC-konform zu machen?

Wenn die Antwort auf eine dieser Fragen Ja lautet, dann ist dieser Artikel für Sie.

Worum geht es hier?

Dieser Blog soll Ihnen helfen zu verstehen, wie Sie Ihr CMMC-Compliance-Projekt vom ersten Tag an am besten angehen. Wenn Sie mehr Informationen über CMMC benötigen, lesen Sie diesen DOD article.

Seit Version 1 hat sich viel verändert

Wir befinden uns derzeit bei CMMC Version 3. Der größte Unterschied zum Original besteht darin, wie es das erforderliche Sicherheitsniveau für die konformen Entitäten kategorisiert. Insgesamt gibt es 3 Stufen und je nach Schwere der Daten, die Sie verarbeiten, ist es wahrscheinlicher, dass Sie eine höhere Stufe einhalten.

Stufe 1: Besteht aus 15 grundlegenden Sicherheitshygienetechniken und konzentriert sich auf FCI, aber nicht auf CUI-Sicherheit.

Stufe 2: 110 Anforderungen, die direkt von NIST SP 800-171 stammen und sich auf den Schutz von CUI konzentrieren.

Stufe 3: 134 Anforderungen basierend auf NIST SP 800-172, die sich erneut auf CUI konzentrieren, wobei der entscheidende Unterschied ist, dass alle implementierten Werkzeuge, Richtlinien und Verfahren vom DoD genehmigt sein müssen.

Okay, was jetzt?

Also, wir verstehen, was die verschiedenen Stufen bedeuten, aber wir müssen sie sinnvoll einordnen, um zu sehen, welche für Ihre Organisation relevant ist. Dafür sollten wir den Datentyp bewerten, den Sie verwalten.

Zukünftig finden Sie hier die offiziellen Regierungsdefinitionen für Federal Contract Information FCI und Controlled Unclassified Information CUI.

Kurz gesagt, FCI sind Informationen, die vom oder für die US-Regierung im Rahmen eines DoD-Vertrags bereitgestellt oder erzeugt werden und nicht für die öffentliche Freigabe bestimmt sind. Es kann sich um Vertragsspezifikationen, technische Vorschläge, interne Projektberichte oder Kommunikation mit DoD-Agenturen handeln.

In der Zwischenzeit ist CUI: sensible, aber nicht klassifizierte Informationen, die gemäß Bundesgesetzen, Vorschriften und Richtlinien geschützt werden müssen. Es kann sich um alles Mögliche handeln, wie technische Zeichnungen, Schaltpläne und exportkontrollierte Ingenieurdaten (ITAR, EAR usw.), Personalakten und PII (z. B. Informationen über Militärpersonal), Beschaffungsdokumente (RFPs, Verträge, DoD-Berichte).

Welche Stufe bin ich?

Das Beste, was man zu Beginn eines CMMC-Compliance-Projekts tun sollte, ist zu entscheiden, welche Art von Informationen Ihre Organisation verwaltet. Handelt es sich um FCI, um CUI oder um beides? Wenn es nur FCI ist, müssen Sie lediglich auf Stufe 1 der CMMC konform sein, so einfach ist das. Wenn es sich um CUI handelt, hängt es dann von dessen Schwere ab. Wenn die Informationen, die Sie besitzen, in irgendeiner Weise die nationale Sicherheit der USA bedrohen könnten, müssen Sie wahrscheinlich auf Stufe 3 abzielen; andernfalls ist Stufe 2 Ihre beste Wahl.

Wie treffe ich eine Entscheidung?

Der beste Weg, um zu beginnen, ist eine Netwrix Data Classification-Überprüfung Ihrer gesamten Infrastruktur durchzuführen. Identifizieren Sie alle Daten, die Sie haben, wo sie gespeichert sind und wer darauf Zugriff hat. Auf diese Weise können Sie sie zunächst alle genau kennzeichnen (z.B. es handelt sich um PII, es ist FCI oder es ist CUI). Anschließend können Sie Vertraulichkeitsstufen zuweisen, also wie geschäfts- oder landeskritisch sie sind. Dann können Sie sehen, wo sie sich aktuell in Ihrer Umgebung befinden. Sind sie öffentlich zugänglich oder nicht? Abschließend können Sie definieren, wer darauf zugreifen kann und in welchem Umfang. Eine gute Klassifizierung sollte immer von einer guten alten rechtebasierten Schwärzung begleitet sein.

Das Letzte, was Sie möchten, ist, dass einige Ihrer Daten schließlich in einem War Thunder Forum auftauchen.

Mindestens 109 stehen noch aus

Die Identifizierung Ihrer Daten, deren Standort und der Personen, die Zugriff haben, ist ein großartiger Anfang, aber hier fängt der Spaß erst an. Aus der Sicht von jemandem, der CMMC bereits mindestens 5 Mal gelesen hat, ist der Unterschied zwischen NIST 800-171 und 172 nicht so groß, wie man denkt. Es beinhaltet nur 24 zusätzliche Anforderungen, die bereits in 171 existieren, aber in einem strengeren Format beschrieben sind.

Die beste Strategie für jeden, unabhängig von dem Niveau, das Sie erreichen sollen, ist es, zunächst von einem Level 2 auszugehen. Wenn Sie darunter liegen müssen, konzentrieren Sie sich einfach auf die 15 Anforderungen, die für Sie relevant sind. Es lohnt sich dennoch, dies gemäß 800-171 zu tun, da es den späteren Übergang zu Level 2 erheblich erleichtert. Wenn Sie höher hinaus wollen, erfüllen Sie zuerst ein Level 2 und passen Sie die verbleibenden Anforderungen danach an. Der Grund für beides ist Einfachheit und ein leichterer Übergang auf lange Sicht.

Wie können wir helfen?

Ich würde meiner Arbeit nicht gerecht werden, wenn ich nicht erwähnen würde, wie wir Organisationen dabei helfen können, die Einhaltung zu gewährleisten. Wenn Ihnen jemals ein Unternehmen weismachen will, dass es all Ihre Compliance-Anforderungen lösen wird, sprechen Sie wahrscheinlich mit einem Lügner. Leider gibt es so etwas wie eine Komplettlösung für Compliance nicht.

Unternehmen wie Netwrix bieten jedoch mehrere Lösungen an, die jeweils unterschiedliche Sicherheits- und Regulierungsbereiche abdecken und in Kombination einen erheblichen Teil der CMMC-Anforderungen abdecken können, egal ob auf 800-171 oder 172 basierend.

Hier ist eine kurze Übersicht darüber, wie unser Portfolio die CMMC-Anforderungen unterstützt. Wenn Sie mehr erfahren möchten, schauen Sie sich unsere detaillierten Compliance-Mapping-Dokumente hier an.