Warum ist Compliance der Cybersecurity Maturity Model Certification (CMMC) wichtig?
Die Cybersecurity Maturity Model Certification wurde entwickelt, um die kontrollierten und anderweitig sensiblen Daten zu schützen, die einem Unternehmen im Rahmen eines Verteidigungsvertrags zur Verfügung gestellt werden. Dazu gehören sowohl Federal Contract Information (FCI) als auch Controlled Unclassified Information (CUI).
Wer braucht diese Zertifizierung?
Jede Organisation, die plant, als Hauptauftragnehmer oder Subunternehmer an einem Verteidigungsauftrag zu arbeiten, muss die Compliance mit der Cybersecurity Maturity Model Certification erreichen, sobald die Verordnung vollständig in Kraft tritt. Der erforderliche Grad der CMMC- Compliance hängt vom Vertrag selbst, der Rolle der Organisation innerhalb des Vertrags und dem Zugriff des Unternehmens auf FCI und CUI als Teil des Vertrags ab.
Die Details von CMMC 2.0 sind noch in Arbeit, und der Standard wird voraussichtlich nicht vor Mai 2023 eingeführt. Ab diesem Zeitpunkt beginnt für Verteidigungsverträge eine fünfjährige Übergangsphase, bis alle neuen Verträge CMMC- Compliance erfordern.
Stufen von CMMC
Ursprünglich umfasste die Cybersecurity Maturity Model-Zertifizierung fünf Compliance-Stufen, die in Praktiken und Prozesse unterteilt waren. Eine Überarbeitung des Standards auf CMMC 2.0 eliminierte jedoch die Prozesse und reduzierte die Stufen auf die folgenden drei:
- Grundlagen (Stufe 1)
- Fortgeschritten (Stufe 2)
- Experte (Stufe 3)
Diese Modifikationen eliminierten die "Übergangsphasen" 2 und 4 und behielten drei progressive Stufen bei. Ziel dieser Änderungen war es, die Komplexität und Kosten im Zusammenhang mit Compliance für kleine und mittlere Unternehmen (KMU) zu verringern.
Aufgrund der Änderungen spiegelt das CMMC Compliance der NIST-Standards genau wider. Compliance der Stufe 2 entspricht der vollständigen Compliance mit NIST SP 800-171, während Stufe 3 ebenfalls auf NIST SP 800-172 basiert.
CMMC- Compliance
Der erforderliche Grad an CMMC- Compliance , den eine Organisation erreichen muss, hängt von den Einzelheiten des jeweiligen Vertrags ab. Es wird jedoch von jedem Verteidigungsunternehmen erwartet, dass es mindestens die Compliance mit dem Cybersecurity Maturity Model Certification Level 1 erreicht, das sich mit dem Schutz von FCI befasst. Für Organisationen mit Zugang zu CUI ist ein höheres Maß an Compliance erforderlich.
Die Compliance-Anforderungen hängen von der erforderlichen Stufe ab und umfassen:
- Stufe 1: Compliance der Stufe 1 erfordert eine jährliche Selbstbewertung anhand von 17 Sicherheitskontrollen. Diese Kontrollen sind in FAR 52.204-21 Basic Safeguarding of Covered Contractor Information beschrieben.
- Stufe 2: Compliance der Stufe 2 ist für Organisationen mit Zugriff auf CUI erforderlich und entspricht der vollständigen Compliance mit NIST SP 800-171. Level 2 Compliance erfordert für einige Programme alle drei Jahre eine Beurteilung durch einen externen Prüfer und für andere eine jährliche Selbstbeurteilung, abhängig von der Sensibilität der betreffenden Informationen.
- Stufe 3: Compliance der Stufe 3 erfordert die vollständige Compliance mit NIST SP 800-171 und Compliance einiger Kontrollen von NIST SP 800-172. Compliance-Audits für CMMC Level 3 werden von staatlichen Prüfern geleitet.
Da sich CMMC 2.0 noch in der Entwicklung befindet, sind die genauen Anforderungen für Compliance der einzelnen Ebenen noch im Fluss. Die Sammlung von Sicherheitskontrollen und -prozessen, die für Compliance der Level 1 und 2 erforderlich sind, wurde jedoch bereits definiert, sodass Unternehmen einen Vorsprung bei der Erreichung Compliance erhalten, bevor sie zur Teilnahme an Verteidigungsverträgen verpflichtet werden.
So erhalten Sie eine CMMC-Zertifizierung
Der Prozess zur Erlangung einer CMMC-Zertifizierung hängt vom Grad der erforderlichen Compliance ab. Für die Stufen, die nur eine Selbsteinschätzung erfordern, hat das CMMC einen Bewertungsleitfaden veröffentlicht. Nach Abschluss der Selbstbewertung muss ein hochrangiger Unternehmensmitarbeiter jährlich die Compliance des Unternehmens bestätigen.
Für CMMC- Compliance , die Audits durch Dritte erfordert, muss eine Organisation diese Audits mit einer akkreditierten Third Party Assessment Organization (C3PAO) und möglicherweise einem staatlichen Gutachter vereinbaren. Die Liste der akkreditierten C3PAOs ist auf dem CMMC Marketplace verfügbar, und die Prozesse für die Durchführung und den Abschluss von Audits werden näher am Datum des Inkrafttretens von CMMC 2.0 verfügbar sein.
Erreichen Sie die CMMC- Compliance mit Check Point
Um die Compliance mit dem Cybersecurity Maturity Model zu erreichen und aufrechtzuerhalten, ist Compliance von NIST SP 800-171 und möglicherweise NIST SP 800-172 auf allen Systemen mit Zugriff auf FCI und CUI erforderlich. Um dies zu erreichen, müssen die erforderlichen Sicherheitskontrollen implementiert und eine kontinuierliche Compliance nachgewiesen werden.
Check Point CloudGuard kann Organisationen dabei helfen, die CMMC- Compliance zu erreichen und aufrechtzuerhalten, indem es eine kontinuierliche Überwachung der Unternehmenssysteme auf Compliance der Vorschriften durchführt. Erfahren Sie mehr darüber, wie Check Point Ihrem Unternehmen dabei helfen kann Implementieren Sie die erforderlichen Sicherheitskontrollen und langfristig zu überwachen und zu warten, Melden Sie sich für eine kostenlose Demo von CloudGuard an.
Feedback