CMMC 2.0: нові вимоги в сфері кібербезпеки

Модель оцінки кібербезпеки (Cybersecurity Maturity Model Certification), або скорочено CMMC, є системою безпеки для захисту Контрольованої Некласифікованої Інформації (CUI) у нефедеральних системах та організаціях. Вимоги відповідності CMMC відображають набір контролів, викладених у родинах NIST SP 800-171 Rev 2 та NIST SP 800-172.

CMMC версії 2.0 набула чинності 26 грудня 2023 року та призначена для забезпечення дотримання суворих політик та практик кібербезпеки в державному секторі та серед широкого кола партнерів галузі.

Хоча багато контролів стосуються того, як організації проводять свої ІТ-операції, існує кілька специфічних технологічних вимог, і Ubuntu Pro включає функції, які безпосередньо відповідають цим вимогам.

Які рівні зрілості CMMC?

CMMC 2.0 має 3 рівні, розроблені для задоволення зростаючих рівнів безпеки:

  1. Захист Федеральної Контрактної Інформації (FCI) з щорічною самооцінкою.
  2. Захист Контрольованої Некласифікованої Інформації (CUI) з трирічною оцінкою третьою стороною для критичної інформації національної безпеки, та щорічною самооцінкою для інших випадків.
  3. Посилений захист Контрольованої Некласифікованої Інформації з трирічними оцінками, які проводяться урядом.

Більшість незалежних підрядників та партнерів галузі використовуватимуть рівень 2 і виконуватимуть щорічну самооцінку своєї позиції безпеки відповідно до вимог програми.

Коли відповідність CMMC стане обов’язковою вимогою?

Хоча стандарт 2.0 діє з грудня 2023 року, CMMC стане договірною вимогою через 3 роки, тобто у 2026 році. Проте для опрацювання контролів та досягнення вимог безпеки потрібен час. Організаціям може знадобитися від кількох місяців до років для досягнення цього рівня зрілості, залежно від їхнього розміру та гнучкості.

Безсумнівно, найкращим варіантом є почати планування зараз, щоб залишатися прийнятними для контрактів і продовжувати вигравати бізнес.

Як CMMC порівнюється з NIST SP 800-171?

CMMC базується на основі контролів безпеки NIST SP 800-171 для обробки Контрольованої Некласифікованої Інформації – подібно до FedRAMP. Тому ті, хто знайомі з цими публікаціями, почуватимуться комфортно з вимогами CMMC.

Хоча NIST SP 800-171 надає широкий спектр контролів безпеки, точна реалізація може бути залишена на розсуд користувача. CMMC дає точні вимоги та забезпечує основу для самооцінки та аудиту.

5 кроків до відповідності CMMC

Для досягнення відповідності CMMC слід підходити систематично. Ось як діяти:

  1. Визначте вимоги до рівня зрілості CMMC: це залежить від типу інформації, яку ви обробляєте. Рівень 1 призначений лише для федеральних контрактів, тоді як Рівень 2 – найбільш широко використовуваний рівень – для CUI. Рівень 3 призначений для критичної інфраструктури.
  2. Визначте свій обсяг та активи: дуже важливо визначити межі систем, які оброблятимуть конфіденційні дані, та відстежувати, які ІТ-активи включені до них.
  3. Проведіть аналіз розривів: перегляньте структуру контролю CMMC та перевірте, які контролі вже відповідають вимогам, а які потребують уваги; для існуючих систем чи для майбутніх проектів.
  4. Виберіть правильні технологічні платформи: такі як Ubuntu Pro, передплата для безпеки з відкритим кодом, яка виправляє критичні вразливості протягом 24 годин.
  5. Завершіть самооцінку.

Як Canonical може підтримати ваш шлях до CMMC

Виправлення вразливостей безпеки

Ubuntu Pro підтримує вимогу CMMC щодо своєчасного виправлення вразливостей програмного забезпечення. З моменту свого заснування 20 років тому, Canonical зазвичай випускає виправлення для критичних вразливостей протягом 24 годин. Ми забезпечуємо 12 років оновлень безпеки для всіх програмних додатків та інфраструктурних компонентів в екосистемі Ubuntu.

Криптографічні модулі, сертифіковані FIPS

Ubuntu Pro надає сертифіковані криптографічні модулі FIPS 140-2 та FIPS 140-3, які можна розгорнути за допомогою однієї команди. Ці сертифіковані модулі замінюють стандартні криптографічні бібліотеки, що поставляються з Ubuntu за замовчуванням, роблячи систему сумісною з FIPS 140.

Це дозволяє існуючим додаткам використовувати криптографічні алгоритми та шифри, схвалені FIPS, без додаткової сертифікації чи модифікації.

Зміцнення системи

DISA-STIG — це посібник із зміцнення