導語
9月4日,美國國防部部長辦公室發佈了網絡安全成熟度模型認證(Cybersecurity Maturity Model Certification,CMMC)草案(0.4版),對外公開徵詢意見。CMMC未來將替代NIST SP 800-171,成為美國國防部對外部項目承包商約束的統一安全標準。
9月4日,美國國防部部長辦公室發佈了網絡安全成熟度模型認證(Cybersecurity Maturity Model Certification,CMMC)草案(0.4版),對外公開徵詢意見。CMMC其主要目的是為了應對國防工業基地(DIB)及其供應鏈所面臨的日益嚴重的網絡安全威脅。根據相關規劃,該草案將來是美國國防部保護CUI信息的統一安全標準,替代NIST SP 800-171。
未來,所有美國國防部的供應商都將通過該體系認證,以保護DIB中的CUI。
CMMC框架的內容是由“域”,“功能”和“實踐和流程”組成。域由功能組成,功能由實踐和流程組成,總共包含18個不同的“網絡安全關鍵功能集”。CMMC的核心內容條款來源於NIST 800-171,但又不拘泥於800-171的內容,參考了眾多現有網絡安全框架和標準,包括ISO 27001,NIST 800-53,RMF,FIPS 140-2,CMMI,SANS,FedRAMP等。在0.4版本中,在SP 800-171 14個功能點的基礎上,新增了四個功能點,“Asset Management”“Recovery”“Cybersecurity Governance”“Situational Awareness”,總計18個功能點。
Access Control
Identification and Authentication
Recovery
Asset Management**
Incident Response
Risk Assessment
Awareness and Training
Maintenance
Security Assessment
Audit and Accountability
Media Protection
Situational Awareness**
Configuration Management
Personnel Security
System and Communications Protection
Cybersecurity Governance**
Physical Protection
System and Information Integrity
**標註的是CMMC在SP 800-171基礎之上新增的。
安全能力成熟度的評估則從practice和process兩個維度分別進行評估。一個是落地實踐Practice方面,另外一個是制度體系Process方面,等級均分為5級。
Maturity of Practice
Level 5 - Advanced /Progressive
Level 4 - Proactive
Level 3 - Good Cyber Hygiene
Level 2 - Intermediate Cyber Hygiene
Level 1 - Basic Cyber Hygiene
Maturity of Process
Level 5 - Optimized
Level 4 - Reviewed
Level 3 - Managed
Level 2 - Documented
Level 1 - Performed
然而,CMMC未來需要做的事情非常多,有一大堆的問題等待著他們去解決。
時間計劃:
1、2019年11月,發佈0.6版本;
2、2020年1月,正式發佈1.0版本;
3、2020年6月,納入 REQUEST FOR INFORMATION (RFI) 信息邀請書;(諮詢的要求,無約束)
4、2020年秋天,納入 REQUEST FOR PROPOSAL (RFP) 建議邀請書。(有約束)
DIB:Defense Industrial Base
美國國防工業基地(Defense Industrial Base)是由U.S.C(United States Code) Title 10,第148章規定的,形成了NTIB(National Technology and Industrial Base),為國防工業基地的發展奠定了法律基礎,為相關工作提供了便利。美國U.S.C Title 10 第10章規定,國防部秘書可以確定設立工業基地基金(IBF,Industrial Base Fund),其主要職能包括:
(1) 支持、監測和評估工業基地的情況。
(2)根據緊要的運行需要,提出工業基地的關鍵議題。
(3)支持工業基地的擴張。
(4)提出供應鏈的薄弱之處。
美國國防工業基地是美國國防工業強大的基礎,為了體現統一指揮、集中力量發展美國國防工業的特點,美國國防部還成立了“製造和工業基地政策”(MIBP,Manufacturing and Industrial Base Policy)的組織,專門研究和協調相關的工作。
CUI:Controlled Unclassified Information
CUI受控非涉密信息,是政府創建或擁有的信息,或者是某組織為政府或代表政府創建或擁有的信息,或者是法律、法規或政府範圍的政策要求或允許機構使用保護或傳播控制進行處理的信息。CUI不包括機密信息,也不包括非執行分支機構在其自身系統中擁有和維護的信息。
關注:網安工人
獲取更多信息。
閱讀更多 CyberWorker 的文章
