Die Zertifizierung nach dem Cybersecurity Maturity Model (CMMC) wurde vom US-Verteidigungsministerium entwickelt, um die Cybersicherheit der Defense Industrial Base zu stärken. Bisher mussten sich Rüstungsunternehmen als konform mit NIST SP 800-171 – einen wichtigen Beitrag zum CMMC leistet. Nachdem das CMMC vollständig in Kraft getreten ist, muss jede Organisation, die an Verteidigungsverträgen arbeiten möchte, ein gewisses Maß an CMMC- Compliance aufrechterhalten.
Die Cybersecurity Maturity Model Certification wurde entwickelt, um die kontrollierten und anderweitig sensiblen Daten zu schützen, die einem Unternehmen im Rahmen eines Verteidigungsvertrags zur Verfügung gestellt werden. Dazu gehören sowohl Federal Contract Information (FCI) als auch Controlled Unclassified Information (CUI).
Jede Organisation, die plant, als Hauptauftragnehmer oder Subunternehmer an einem Verteidigungsauftrag zu arbeiten, muss die Compliance mit der Cybersecurity Maturity Model Certification erreichen, sobald die Verordnung vollständig in Kraft tritt. Der erforderliche Grad der CMMC- Compliance hängt vom Vertrag selbst, der Rolle der Organisation innerhalb des Vertrags und dem Zugriff des Unternehmens auf FCI und CUI als Teil des Vertrags ab.
Die Details von CMMC 2.0 sind noch in Arbeit, und der Standard wird voraussichtlich nicht vor Mai 2023 eingeführt. Ab diesem Zeitpunkt beginnt für Verteidigungsverträge eine fünfjährige Übergangsphase, bis alle neuen Verträge CMMC- Compliance erfordern.
Ursprünglich umfasste die Cybersecurity Maturity Model-Zertifizierung fünf Compliance-Stufen, die in Praktiken und Prozesse unterteilt waren. Eine Überarbeitung des Standards auf CMMC 2.0 eliminierte jedoch die Prozesse und reduzierte die Stufen auf die folgenden drei:
Diese Modifikationen eliminierten die "Übergangsphasen" 2 und 4 und behielten drei progressive Stufen bei. Ziel dieser Änderungen war es, die Komplexität und Kosten im Zusammenhang mit Compliance für kleine und mittlere Unternehmen (KMU) zu verringern.
Aufgrund der Änderungen spiegelt das CMMC Compliance der NIST-Standards genau wider. Compliance der Stufe 2 entspricht der vollständigen Compliance mit NIST SP 800-171, während Stufe 3 ebenfalls auf NIST SP 800-172 basiert.
Der erforderliche Grad an CMMC- Compliance , den eine Organisation erreichen muss, hängt von den Einzelheiten des jeweiligen Vertrags ab. Es wird jedoch von jedem Verteidigungsunternehmen erwartet, dass es mindestens die Compliance mit dem Cybersecurity Maturity Model Certification Level 1 erreicht, das sich mit dem Schutz von FCI befasst. Für Organisationen mit Zugang zu CUI ist ein höheres Maß an Compliance erforderlich.
Die Compliance-Anforderungen hängen von der erforderlichen Stufe ab und umfassen:
Da sich CMMC 2.0 noch in der Entwicklung befindet, sind die genauen Anforderungen für Compliance der einzelnen Ebenen noch im Fluss. Die Sammlung von Sicherheitskontrollen und -prozessen, die für Compliance der Level 1 und 2 erforderlich sind, wurde jedoch bereits definiert, sodass Unternehmen einen Vorsprung bei der Erreichung Compliance erhalten, bevor sie zur Teilnahme an Verteidigungsverträgen verpflichtet werden.
Der Prozess zur Erlangung einer CMMC-Zertifizierung hängt vom Grad der erforderlichen Compliance ab. Für die Stufen, die nur eine Selbsteinschätzung erfordern, hat das CMMC einen Bewertungsleitfaden veröffentlicht. Nach Abschluss der Selbstbewertung muss ein hochrangiger Unternehmensmitarbeiter jährlich die Compliance des Unternehmens bestätigen.
Für CMMC- Compliance , die Audits durch Dritte erfordert, muss eine Organisation diese Audits mit einer akkreditierten Third Party Assessment Organization (C3PAO) und möglicherweise einem staatlichen Gutachter vereinbaren. Die Liste der akkreditierten C3PAOs ist auf dem CMMC Marketplace verfügbar, und die Prozesse für die Durchführung und den Abschluss von Audits werden näher am Datum des Inkrafttretens von CMMC 2.0 verfügbar sein.
Um die Compliance mit dem Cybersecurity Maturity Model zu erreichen und aufrechtzuerhalten, ist Compliance von NIST SP 800-171 und möglicherweise NIST SP 800-172 auf allen Systemen mit Zugriff auf FCI und CUI erforderlich. Um dies zu erreichen, müssen die erforderlichen Sicherheitskontrollen implementiert und eine kontinuierliche Compliance nachgewiesen werden.
Check Point CloudGuard kann Organisationen dabei helfen, die CMMC- Compliance zu erreichen und aufrechtzuerhalten, indem es eine kontinuierliche Überwachung der Unternehmenssysteme auf Compliance der Vorschriften durchführt. Erfahren Sie mehr darüber, wie Check Point Ihrem Unternehmen dabei helfen kann Implementieren Sie die erforderlichen Sicherheitskontrollen und langfristig zu überwachen und zu warten, Melden Sie sich für eine kostenlose Demo von CloudGuard an.