Сертификация модели зрелости кибербезопасности (CMMC) — это система соответствия для подрядчиков Министерства обороны (DoD), которая находится в процессе разработки. CMMC затронет любую компанию, работающую с Министерством обороны, или любую компанию, которая захочет работать с Министерством обороны в будущем. Эта структура разделена на 5 уровней. В диапазоне от одного до пяти требования CMMC становятся все более сложными и зрелыми по мере повышения уровней до уровня 5. Для практических целей CMMC наиболее важными уровнями являются уровень 1, уровень 3 и уровень 5. Уровень 1 является базовым. кибергигиена и повлияет на любую компанию, работающую с Министерством обороны. Уровень 3 — это следующая точка останова, а уровень 2 — просто ступенька к уровню 3. А уровень 5 требует зрелых методов кибербезопасности. Самая широкая категория требований CMMC — это домены. Всего существует 17 доменов, каждый из которых охватывает отдельный аспект безопасности. Контроль доступа является первой областью, охватываемой CMMC, и охватывает доступ к информационным системам. Возможности находятся под доменами и описывают общую цель в этом домене.
Первый домен «Контроль доступа» описывает, как пользователи и сотрудники получают доступ к информационным системам. Первая возможность в области управления доступом — «Установить требования к системному доступу» (C001). Эта возможность направлена на обеспечение того, чтобы доступ к информационной системе имели только те лица, которые должны иметь доступ к ней. Управление CUI также рассматривается в домене управления доступом. CUI относится к контролируемой несекретной информации и является контролируемой и защищенной информацией. Способы, которыми должна контролироваться информация, изложены в контракте и CMMC. В каждом контракте с Министерством обороны будет указано, что считается CUI и как с этим CUI следует обращаться. Вторая возможность — «Управление доступом к внутренней системе» (C002). Важным аспектом этой возможности является принцип наименьших привилегий. Этот принцип должен быть реализован во всех информационных системах и является требованием Уровня 2. Принцип наименьших привилегий гласит, что пользователи должны иметь доступ только к минимальному количеству информационных систем, необходимых им для выполнения требуемых действий. То, как это выглядит, может сильно зависеть от структуры вашей компании, однако это требование CMMC уровня 2.
48 % сотрудников имеют доступ к большему объему информации, чем им нужно для работы¹.
Особенно при работе с контрактами, касающимися сеансов удаленной работы CUI, многие компании могут столкнуться с большими трудностями. Учитывая, что нынешний карантин из-за COVID-19 и удаленная работа стали новой нормой, найти способ использовать методы удаленной работы, соответствующие CMMC, как никогда важно. Еще до Covid-19 удаленная работа увеличилась на 400% с 2010 года². Уровень 1 CMMC не предъявляет каких-либо особенно сложных требований при работе с удаленной работой; однако при рассмотрении CMMC уровня 3 и работе с CUI задача усложняется из-за элементов управления CMMC в CUI. Третья возможность CMMC — «Управление удаленным доступом к системе» (C003). Некоторые из препятствий, с которыми сталкиваются компании в отношении удаленной работы, — это сетевые препятствия VPN, а также потребность в машинах, принадлежащих компании. Эти проблемы могут остановить удаленную работу для проектов Министерства обороны, если не будет надлежащей подготовки.
Последней возможностью в домене управления доступом является «Ограничить доступ к данным для авторизованных пользователей и процессов» (C004). Наиболее важным выводом из этой возможности является требование шифрования CUI на всех мобильных устройствах и управления CUI на мобильных устройствах. Потенциальной сложностью может быть то, что сотрудник имеет доступ к своей электронной почте на своем телефоне и открывает вложение электронной почты с материалами CUI. Это простое действие просто нарушило CMMC и привело к тому, что эта компания не прошла аудит. Чтобы предотвратить этот сбой, компании необходимо шифровать мобильные устройства и контролировать передачу CUI между сторонами.
Контроль доступа — это широкая область, охватывающая все, от управления информационными системами до методов удаленной работы. Особенно с учетом пандемии COVID-19 многим компаниям пришлось ускорить свою политику удаленной работы. Если у вас или вашей компании есть вопросы, обращайтесь в Red Berry Innovations по адресу [email protected].
Red Berry Innovations — это компания, занимающаяся киберинженерией, которая стремится обслуживать своих клиентов, имея опытный персонал и прозрачное общение. Благодаря истории Red Berry Innovations с Министерством обороны у нас есть специальные ресурсы для понимания и реализации требований CMMC. Мы проводим консультации, анализ пробелов и услуги по интеграции. Если у вас или вашей компании есть какие-либо опасения или вопросы относительно CMMC и того, как это может повлиять на ваш бизнес, не стесняйтесь обращаться к нам.
Пожалуйста, ознакомьтесь с нашим предыдущим блогом, в котором дается общий обзор CMMC.
JB
Кибер-инженер
[2] https://www.businesswire.com/news/home/20200122005406/en/
