گواهینامه CMMC یا مدل امنیت سایبری یک استاندارد یکپارچه برای اجرا امنیت سایبری در سراسر پایگاه های صنعتی دفاعی (DIB) می باشد که شامل بیش از 300.000 شرکت در زنجیره تامین است. می توان گفت CMMC پاسخ وزارت دفاع به مصالحه قابل توجه اطلاعات حساس دفاعی است که در سیستم های اطلاعاتی پیمانکار قرار می گیرد. وزارت دفاع ایالات متحده (DoD) این گواهینامه را در 31 ژانویه سال 2020 منتشر کرده است. این سند با اطلاعات قابل توجهی از مراکز تحقیقاتی وابسته به دانشگاه ها و مراکز توسعه با بودجه فدرال تهیه شده .
پیش از این استاندارد، پیمانکاران مسئول پیاده سازی، نظارت و تایید امنیت سیستم های امنیت اطلاعات خود و هر گونه اطلاعات حساس وزارت دفاع را بر عهده داشتند. پیمانکاران همچنین مسئول اجرا الزامات مهم امنیت سایبری هستند، اما CMMC با الزمان به ارزیابی شخص ثالث در مورد انطباق پیمانکاران با برخی از شیوه ها، رویه ها و تکنیک های الزامی که می توانند با تهدیدات سایبری جدید و در حال تحول از سوی دشمنان سازگار شوند، این الگو را تغییر می دهد.
پیمانکاران وزارت دفاع چه اقداماتی را باید انجام دهند ؟
پس از به وجود آمدن استاندارد CMMC، پیمانکاران وزارت دفاع باید فورا الزامات فنی این استاندارد را فرا بگیرند و برای دریافت گواهینامه و امنیت بیشتر سیستم های سایبری خود آماده شوند. جزئیات نحوه ارزیابی و نحوه به چالش کشیدن این ارزیابی ها هنوز در دسترس نیست و به زودی اطلاعات تکمیلی در مورد آن به وجود خواهد آمد. پیمانکاران وزارت دفاع که قبلا شروع به اجرا ارزیابی عملکرد، شکاف ها و رویه ها کرده اند، برای برآورده کردن الزامات CMMC موقعیت منابتری را خواهند داشت.
چارچوب های گواهینامه CMMC
CMMC برای صدور گواهینامه 5 سطح را ایجاد می کند که نشان دهنده قابلیت اطمینان زیرساخت های امنیت سایبری شرکت برای حفاظت از اطلاعات حساس دولتی در سیستم های اطلاعاتی پیمانکاران است. این پنج سطح بر اساس اطلاعات فنی هر کدام از سطح های دیگر طراحی شده اند و به یکدیگر وابستگی دارند. هر سطح مستلزم رعایت الزامات سطح پایین و نهادینه سازی فرآیندهای اضافی برای اجرای شیوه های خاص مبتنی بر امنیت سایبری است. در ادامه مروری بر فرایند های مربوط به هر سطح را مورد بررسی قرار می دهیم.
سطح اول
یک شرکت باید اقدامات اولیه امنیت سایبری را بر روی سیستم های خود اجرا کند. برخی از این الزامات از جمله نصب آنتی ویروس یا اطمینان از تغییر رمز عبور کارکنان به طور منظم برای محافظت از اطلاعات حساس می باشد
سطح دوم
پیمانکاران باید برخی از شیوه های امنیت سایبری در سطح متوسط را برای محافظت از هرگونه اطلاعات طبقه بندی نشده، در سیستم های خود اجرا کنند. (برای اطلاعات طبقه بندی شده نیاز به سطح امنیتی بالاتری هستند)
سطح سوم
یک شرکت باید برنامه مدیریتی و نهادینه شده را برای پیاده سازی شیوه های امنیت سایبری در حفاظت از اطلاعات CUI شامل کلیه الزامات امنیتی (NIST 800-171 r2) و استاندارد های اضافی را داشته باشد.
سطح چهارم
شرکت های پیمانکاری باید فرایند هایی را برای بازبینی و اندازه گیری میزان اثربخشی تمرینات پیاده سازی کرده و روش های تقویت شده دیگری را شناسایی کند تا به تغییر تاکتیک ها و رویه ها را تهدید واکنش مناسبی نشان دهد. اجرا APT یکی از روش هایی است که به عنوان یک حریف در نظر گرفته می شود و دارای سطح تخصص پیچیده ای می باشد و اجازه می دهد تا فرصت هایی را برای ایجاد حملات متعدد به وجود بیاید.
سطح پنجم
یک شرکت باید دارای فرایند های استاندارد و بهینه شده در سراسر سازمان و شیوه های پیشرفت اضافی باشد که قابلیت های پیچیده تری برای تشخیص و پاسخ به APT ها ارائه می کند.
چه شرکت هایی باید از گواهی CMMC استفاده کنند ؟
همه پیمانکاران DoD در نهایت ملزم به استفاده از CMMC هستند و شامل همه تامین کنندگان در سطح زنجیره تامین، مشاغل کوچک، پیمانکاران اغلام تجاری و تامین کنندگان خارجی می شود. نهایت اثربخشی CMMC مستقیما با فعالیت های سازمان در ارتباط می باشد و برای دریافت این استاندارد باید ارزشیابی شخص ثالث (CP3AOs) انجام بگیرد و ارزیابی ها نیز باید در سطح CMMC باشد.
چه زمانی رعایت سیستم امنیت سایبری الزامی است ؟
چه زمانی رعایت سیستم امنیت سایبری الزامی است ؟با اینکه هنوز مراحل اعتبار بخشی به استاندارد های CMMC آغاز نشده است، اما برای آماده سازی استاندارد، می توانید از همین حالا دست به کار شوید. برای اعتبار دهی نیز سازمان ها باید منتظر دستورالعمل هایی که توسط وزارت دفاع تعیین می شود باشند. وزارت دفاع تخمین زده که این استاندارد شامل بیش از 300.000 شرکت پیمانکاری که قصد ادامه فعالیت در این زمینه را دارند خواهد شد. در اصل برای حضور در رقابت فعالیت های پیمانکاری وزارت دفاع، استفاده از این گواهینامه الزامی می باشد. همچنین آماده سازی اولیه می تواند منجر به ارزیابی کارآمدتر به همراه نتایج مثبت باشد.
برای دریافت گواهینامه باید روش ها و شیوه هایی با سیستم CMMC مطابقت دارند را در سازمان خود اجرا کنید و برای دریافت استاندارد در سطوح بالاتر بهتر است از الزامات فراتر بروید. پیمانکاران اصلی همچنین باید کار خود را با پیمانکاران فرعی در سراسر زنجیره تامین آغاز یا ادامه دهند، تا در صورت لزوم به برنامه های انطباق یا بررسی برنامه های موجود بتوانند از آنها کمک بگیرند.
استاندارد های امنیت اطلاعات ایزو
از استاندارد های ایزو که در سالهای اخیر با پیشرفت در علم فناوری اطلاعات محبوبیت گسترده ای در میان مصرف کنندگان داشته اند، می توان به استاندارد های خانواده ایزو 27000 اشاره کرد. این خانواده از استاندارد ها به صورت تخصصی بر روی مدیریت سیستم های امنیت اطلاعات متمرکز شده اند و میتوان آنها را به راحتی در هر نوع سازمانی برای اجرا الزامات قانونی و حفاظت از اطلاعات مشتریان و ذینفعان اجرا کرد. تنها استاندارد از این خانواده که می توانید برای آن گواهینامه داشته باشید، استاندارد ایزو 27001 می باشد که الزامات سیستم مدیریت امنیت اطلاعات را برای را برای سازمان ها فراهم می کند. برای اخذ و صدور انواع استاندارد های ایزو از جمله استاندارد ایزو 27001 می توانید همین حالا با کارشناسان رایان سرت در تماس باشید تا در کوتاهترین زمان خدمات مورد نیازتان را ارائه دهند.
