Come rimanere in carreggiata nel tuo percorso CMMC

L'ultima versione del Cybersecurity Maturity Model Certification (CMMC) è appena entrata in vigore, e c'è molto da discutere su come i professionisti della sicurezza possono aggiornarsi per soddisfare i suoi requisiti.

Per chi è questo blog?

Lavori per un'organizzazione che agisce come appaltatore principale o subappaltatore per il Dipartimento della Difesa (DoD)? La tua azienda è membro della Base Industriale della Difesa (DIB)? La tua azienda gestisce Informazioni Non Classificate Controllate (CUI) e/o Informazioni sui Contratti Federali (FCI)? Ti è stato assegnato il compito di rendere la tua organizzazione conforme al CMMC?

Se la risposta a una di quelle domande è sì, allora questo articolo è per te.

Di cosa si tratta?

Questo blog è per aiutarti a capire come affrontare al meglio il tuo progetto di conformità CMMC fin dal primo giorno. Se hai bisogno di ulteriori informazioni su CMMC, leggi questo DOD article.

Molte cose sono cambiate dalla versione 1

Attualmente siamo alla versione 3 del CMMC. La differenza più grande rispetto all'originale è il modo in cui categorizza il livello di sicurezza richiesto dalle entità conformi. In generale, ci sono 3 livelli e, a seconda della gravità dei dati che si stanno gestendo, è più probabile che si sia conformi a un livello superiore.

Livello 1: Comprende 15 tecniche di base per l'igiene della sicurezza e si concentra sulla sicurezza FCI ma non sulla sicurezza CUI.

Livello 2: 110 requisiti che derivano direttamente da NIST SP 800-171 e si concentrano sulla protezione delle CUI.

Livello 3: 134 requisiti derivanti da NIST SP 800-172 incentrati nuovamente sul CUI, ma la differenza fondamentale è che tutti gli strumenti, le politiche e le procedure implementati devono essere approvati dal DoD.

Okay, ottimo, e adesso?

Quindi, comprendiamo quali sono i livelli, ma dobbiamo dare un senso a tutto ciò per vedere quale è rilevante per la vostra organizzazione. Per farlo valutiamo il tipo di dati che gestite.

Per riferimento futuro ecco le definizioni ufficiali del governo per Federal Contract Information FCI e Controlled Unclassified Information CUI.

In breve, FCI sono informazioni fornite o generate per il governo degli Stati Uniti nell'ambito di un contratto DoD che non sono destinate alla pubblicazione pubblica. Possono essere specifiche di contratto, proposte tecniche, rapporti interni di progetto o comunicazioni con agenzie DoD.

Nel frattempo, CUI è: informazioni sensibili ma non classificate che richiedono protezione secondo le leggi, i regolamenti e le politiche federali. Può essere qualsiasi cosa come disegni tecnici, schemi e dati di ingegneria soggetti a controllo delle esportazioni (ITAR, EAR, ecc.), registri del personale e PII (ad esempio, informazioni sul personale militare), documenti di approvvigionamento (RFP, contratti, rapporti del DoD).

A che livello sono?

La cosa migliore da fare all'inizio di un progetto di conformità CMMC è decidere quale tipo di informazioni gestisce la tua organizzazione. Si tratta di FCI, di CUI, o di entrambi? Se si tratta solo di FCI devi conformarti al CMMC a livello 1, semplice così. Se si tratta di CUI, allora dipende dalla sua gravità. Se le informazioni che possiedi potrebbero in qualche modo minacciare la sicurezza nazionale degli Stati Uniti, probabilmente dovrai puntare al livello 3; altrimenti, il livello 2 è la tua migliore opzione.

Come faccio a decidere?

Il modo migliore per iniziare è eseguire una verifica di Data Classification sull'intera infrastruttura. Identifica tutti i dati che possiedi, dove si trovano e chi ha accesso ad essi. In questo modo, puoi prima etichettarli tutti accuratamente (ad esempio, sono PII, sono FCI o sono CUI). Successivamente, puoi assegnare loro livelli di riservatezza, ovvero quanto sono critici per l'azienda o per la nazione. Poi puoi vedere dove si trovano attualmente nel tuo ambiente. Sono esposti ad accesso pubblico o no? Infine, puoi definire chi può accedervi e in che misura. Una buona classificazione dovrebbe sempre essere accompagnata da una buona vecchia redazione basata sui diritti.

L'ultima cosa che vorresti è che alcuni dei tuoi dati finiscano per comparire su un forum di War Thunder.

Almeno uno giù, mancano ancora 109

Identificare i tuoi dati, la loro posizione e le persone che possono accedervi è un ottimo punto di partenza, ma è solo l'inizio del divertimento. Parlando da qualcuno che ha letto CMMC almeno 5 volte, la differenza tra NIST 800-171 e 172 non è tanta quanto si pensa. Incorpora solo 24 requisiti aggiuntivi che esistono già nel 171 ma sono descritti in un formato più rigoroso.

La migliore opzione per tutti, indipendentemente dal livello che si intende raggiungere, è trattarlo prima come un livello 2. Se è necessario essere al di sotto, concentrarsi solo sui 15 requisiti pertinenti. È comunque utile farlo secondo lo standard 800-171 poiché facilita le transizioni successive al livello 2. Nel frattempo, se si deve puntare più in alto, prima soddisfare un livello 2 e poi adeguare i rimanenti. Il motivo di entrambi è la semplicità e una transizione più facile nel lungo periodo.

Come possiamo aiutare?

Non renderei giustizia al mio lavoro se non menzionassi come possiamo aiutare le organizzazioni a conformarsi. Se un'azienda prova mai a dirvi che risolverà tutti i vostri bisogni di conformità, probabilmente state parlando con un bugiardo. Purtroppo, non esiste una soluzione di conformità 'tutto in uno'.

Ma aziende come Netwrix offrono molteplici soluzioni, ognuna che copre diverse aree di sicurezza e regolamentari, che combinate possono coprire una parte significativa dei requisiti CMMC, sia basati su 800-171 che su 172.

Ecco una rapida panoramica di come il nostro portfolio supporta i requisiti CMMC. Se desideri saperne di più, consulta i nostri documenti dettagliati di mappatura della conformità qui.