ผู้รับเหมาช่วงของรัฐบาลสหรัฐประมาณ 300,000 รายกำลังจะพบกับการเปลี่ยนแปลงครั้งใหญ่ ในความพยายามที่จะประเมินและเสริมความแข็งแกร่งให้กับสถานะความปลอดภัยในโลกไซเบอร์ของผู้รับเหมารายย่อยของฐานอุตสาหกรรมกลาโหม (DIB) กระทรวงกลาโหมเพิ่งประกาศการพัฒนากรอบงานใหม่ที่เรียกว่า Cybersecurity Maturity Model Certification (CMMC) กรอบการทำงานนี้เกี่ยวข้องอย่างยิ่งกับข้อมูลที่ไม่เป็นความลับ (CUI) ที่มีการควบคุมภายในห่วงโซ่อุปทาน CUI
เป็นข้อมูลที่ต้องได้รับการปกป้องหรือป้องกัน แต่ไม่ถือว่าถูกจัดประเภท
ตัวอย่าง ได้แก่ ข้อมูลที่ระบุตัวบุคคลได้ ข้อมูลด้านสุขภาพ ข้อมูลทางการเงิน ข้อมูลภาษี ข้อมูลทางเทคนิคที่มีการควบคุมแต่ไม่ได้จัดประเภท เช่น แบบหรือข้อมูลจำเพาะทางวิศวกรรม ข้อมูลข่าวกรอง ข้อมูลการจัดซื้อและการซื้อกิจการ และข้อมูลนิวเคลียร์ที่ไม่เป็นความลับ
CMMC ไม่ใช่ธุรกิจตามปกติปัจจุบัน ข้อกำหนดด้านความปลอดภัยในโลกไซเบอร์สำหรับผู้รับเหมาช่วงของ DIB ยังไม่มีการกำหนดหรือบังคับใช้อย่างเข้มงวด สิ่งนี้กำลังจะเปลี่ยนไป ข้อกำหนดของโปรแกรม CMMC อย่างเป็นทางการจะเปิดตัวในเดือนมกราคม 2020 และจะเริ่มใช้ใน RFI ตั้งแต่เดือนมิถุนายนเป็นต้นไป และหลังจากนั้นไม่นานใน RFP ซึ่งหมายความว่าผู้รับเหมาช่วงของ DIB จะต้องได้รับการตรวจสอบและรับรองสำหรับ CMMC ภายในฤดูใบไม้ผลิปี 2020 เพื่อประมูลและรับสัญญาการป้องกันของรัฐบาล
ข้อกำหนดของ CMMC ยังอยู่ระหว่างการพัฒนา แต่สิ่งที่เราทราบจนถึงตอนนี้มีดังนี้:
ข้อกำหนดด้านความปลอดภัยจะตรงกับความต้องการ การปฏิบัติตาม CMMC จะมีตั้งแต่ระดับ 1 (มาตรฐานไซเบอร์สามัญสำนึก) ถึงระดับ 5 ( การปฏิบัติตาม NIST เต็มรูปแบบและการควบคุมความปลอดภัยเพิ่มเติม) ขึ้นอยู่กับความต้องการเฉพาะของหน่วยงานป้องกันสำหรับโครงการที่กำหนด
จำเป็นต้องมีการตรวจสอบโดยอิสระ การปฏิบัติตาม CMMC ของแต่ละบริษัทจะต้องได้รับการรับรองจากผู้ตรวจสอบที่เป็นบุคคลที่สาม ผู้รับเหมาจะไม่ได้รับอนุญาตให้รับรองด้วยตนเองว่าเป็นไปตาม CMMC
จะมีความโปร่งใสในข้อกำหนดในการทำสัญญา RFP
ทั้งหมดจะระบุระดับ CMMC ที่จำเป็นอย่างชัดเจน
และเฉพาะบริษัทที่มีระดับที่กำหนดหรือสูงกว่าเท่านั้นที่จะได้รับอนุญาตให้ส่งการเสนอราคา
ค่าใช้จ่ายในการรับเลี้ยงบุตรบุญธรรมจะไม่เป็นอุปสรรค ภายใต้ CMMC ผู้รับเหมาจะสามารถรวมค่าใช้จ่ายใด ๆ ที่เกี่ยวข้องกับการรักษาความปลอดภัยเป็นอัตราที่เรียกเก็บเงินได้ นอกจากนี้ เงินช่วยเหลือจะมีให้สำหรับผู้รับเหมารายเล็กเพื่อช่วยในการรับรองเบื้องต้น
การวางตำแหน่งองค์กรของคุณสำหรับการปฏิบัติตาม CMMC
CMMC จะอิงตามNIST SP 800-171แต่อาจรวมมาตรฐานและข้อบังคับอื่นๆ ไว้ด้วย ( ISO 27001 , NIST SP 800-53 , AIA MAS 9933 , FIPSฯลฯ) ทั้งนี้ขึ้นอยู่กับระดับ ขณะนี้ข้อกำหนดของ CMMC ยังคงอยู่ในรูปแบบร่างและกรอบเวลาระหว่างข้อกำหนดอย่างเป็นทางการในเดือนมกราคม 2020 ที่ออกไปจนถึงกำหนดเส้นตายของผู้ประมูลใบรับรองในฤดูใบไม้ผลิ 2020 จะเข้มงวดมาก ต่อไปนี้เป็นคำแนะนำบางประการเพื่อวางตำแหน่งองค์กรของคุณเพื่อความสำเร็จในการปฏิบัติตาม CMMC:
กำหนดระดับความปลอดภัย CMMC ที่เหมาะสมซึ่งใช้กับเครือข่ายของบริษัทของคุณ เว้นแต่ว่าองค์กรของคุณจะจัดเก็บ CUI ไว้ในเครือข่าย ระดับ 1 หรือ 2 อาจเพียงพอแล้ว
ดำเนินการตรวจสอบภายในเพื่อระบุและแก้ไขความไม่สอดคล้องกันระหว่างข้อกำหนดด้านความปลอดภัยขององค์กรและ CMMC ขึ้นอยู่กับทรัพยากรของบริษัทและบุคลากรด้านไอที คุณอาจสามารถดำเนินการภายในให้สำเร็จได้ หรืออาจเป็นประโยชน์ในการหาที่ปรึกษาจากภายนอก องค์กรที่ยื่นขอการรับรองจนถึงระดับ 3 อาจใช้คู่มือของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ 162
จองการตรวจสอบการปฏิบัติตามข้อกำหนดของบุคคลที่สามโดยเร็วที่สุด เนื่องจากกรอบเวลาสั้นสำหรับการปฏิบัติตาม กำหนดการของผู้สอบบัญชีจึงมีแนวโน้มที่จะเต็มอย่างรวดเร็ว
บทบาทที่เป็นไปได้ของอุปกรณ์ CSfC ในโปรแกรม CMMC ใหม่
ผู้รับจ้างที่ยื่นขอการรับรอง CMMC อาจต้องการประเมินโซลูชันการรักษาความปลอดภัยที่ได้รับการตรวจสอบแล้วเพื่อใช้ในระบบของรัฐบาล เพื่อป้องกันข้อมูลที่เป็นความลับและเป็นความลับ เช่น ที่ได้รับอนุมัติภายใต้โครงการ Commercial Solutions for Classified (CSfC) โปรแกรม CSfC ได้รับการออกแบบมาเพื่อให้หน่วยงานรัฐบาลมีโซลูชันการรักษาความปลอดภัยที่จำเป็นในการปกป้องข้อมูลลับและข้อมูล CUI โดยเร็วที่สุด แทนที่จะจำกัดการได้มาซึ่งฮาร์ดแวร์ของรัฐบาลนอกชั้นวาง (GOTS) โปรแกรม CSfC รับรองการค้านอกชั้นวาง (COTS) ว่าเป็นไปตามความต้องการด้านความปลอดภัยบางประการ ในความเป็นจริง เพื่อลดต้นทุน โปรแกรม CSfC จำเป็นต้องให้ความสำคัญกับ COTS มากกว่าผลิตภัณฑ์ GOTS เมื่อเป็นไปได้
เพื่อให้ได้รับการอนุมัติจาก CSfC ผลิตภัณฑ์ต้องผ่านการตรวจสอบสองระดับ: การตรวจสอบกับโปรไฟล์การป้องกัน ตามด้วยการทดสอบตามมาตรฐานความปลอดภัย Common Criteria โดยห้องปฏิบัติการทดสอบอิสระที่ได้รับการรับรอง เกณฑ์ทั่วไปคือข้อตกลงระหว่างประเทศเกี่ยวกับมาตรฐานความปลอดภัยที่จำเป็นสำหรับอุปกรณ์ที่ได้มาจากรัฐบาล แม้ว่าจะไม่ได้รับการแมปโดยตรงกับข้อกำหนดของ NIST SP 800-171 แต่ระดับความปลอดภัยของอุปกรณ์ CSfC ควรเป็นไปตามหรือสูงกว่าข้อกำหนดของ CMMC สำหรับการจัดการข้อมูลที่เป็นความลับหรือเป็นความลับ
Credit : ยูฟ่าสล็อต
