前言

安恒信息安服咨询规划团队一直关注国内外安全体系的演进,此次解读时间比较仓促,希望给业内专家带来一些有益的思考,如有不足之处还请大家给予指正。团队还持续跟进该模型的后续版本以及相关的操作指南,欢迎联系,共同探讨。

1、网络安全成熟度模型建立背景

网际空间安全问题日益凸显,各个国家网络战军备竞赛愈演愈烈,最近几年各类网络攻击事件已经对全球各个国家的网络空间安全造成了严重威胁,直接威胁到经济安全和国家安全,并认为恶意网络行动者已经并将持续针对国防工业基地(DIB)部门和国防部(DoD)的供应链发起攻击,国防部供应链的知识产权和某些非机密信息的总损失可能削弱美国的技术优势和创新,并显著增加国家安全风险。

美国国防部负责采购与维持的副部长办公室(OUSD(A&S))认为之前的NIST等网络安全控制类标准不能满足当今的网络防御要求,为此,在2019年5月底对合作的研究机构卡内基梅隆大学和约翰霍普金斯大学应用物理实验室有限责任公司提出了整合现有体系标准,开发网络安全成熟度模型认证(CMMC)框架的要求,将要保护的信息数据类型和敏感性以及相关的威胁范围相结合,形成来自多个网络安全标准、框架和其他参考的成熟流程和网络安全最佳实践。参考整合的各类网络安全标准有:

  • NIST SP 800-171

  • NIST SP 800-171B

  • NIST SP 800-53

  • NIST CSF V1.1

  • CERT RMM V1.2

  • CIS Controls

  • ISO 270001和ISO 27032

  • AIA NAS9933

  • 其他成熟的网络安全最佳实践体系(UK NCSC、AU ACSC、FAR等)

但与NIST SP 800-171之类的安全标准体系不同,除了网络安全控制标准外,CMMC将更广泛地“衡量一家公司网络安全实践和安全运营过程制度化的成熟度”。CMMC将实现多个级别的网络安全。除了评估公司实施网络安全控制措施的成熟度外,CMMC还将评估公司网络安全实践和流程的成熟度/制度化水平。

从美国国防部各级官员对于网络安全成熟度模型认证的要求可以看到美国正在倾力打造国防相关的信息数据保护和安全防御体系,强制要求所有国防相关企业快速落地网络安全成熟度模型认证(CMMC)框架。

美国国防部首席信息安全官(CISO)凯蒂·阿灵顿(Katie Arrington)

任何涉及到美国联邦合同信息(FCI)的企业都必须满足基本的网络安全成熟度要求,涉及到美国受控未分类信息(CUI)的企业和组织都需要达到网络安全成熟度安全认证的第三级,而涉及到国家安全的企业和组织必须满足四五级要求,才能应对各类高级持续威胁(APT)黑客组织攻击,保障国家安全。

美国国防部负责采购和维持事务的副部长埃伦·洛德(Ellen Lord)

国防部意识到认证成本对于中小型企业可能是沉重的负担,并将与这些企业合作以确保其符合合规标准。该部门去年向5,200个小型企业国防承包商提供了CMMC合规培训,并预计将来会运行类似的计划。国防部还计划直接向大型承包商提供帮助,以转嫁给较小的分包商。

国防部(DoD)解释创建CMMC原因:

国防部(DoD)的承包商现在已经非常清楚过去几年来席卷整个美国的防网络安全要求。2015年,美国国防部发布了《国防采办联邦法规补充》(称为DFARS),该法规要求私人DoD承包商根据NIST SP 800-171网络安全框架采用网络安全标准。这是政府主导的努力的一部分,旨在保护美国国防供应链免受国内外网络威胁,并降低该部门的整体安全风险。

自从DFARS通过以来,已有超过30万美国国防部承包商争先恐后地了解DFARS并在其公司内实施NIST SP 800-171标准以符合法规要求。一些公司拥有内部资源以使其自己能够合规,而另一些公司则将该任务外包给了托管服务提供商,例如SysArc,后者帮助DoD承包商遵守其网络安全要求。尽管国防部通过在合同授予过程中使其成为“竞争优势”来激励合规性,但许多承包商还是选择推迟合规性。由于DFARS 252.204-7012法规的采用速度很慢,实际效果无法满足国家级网络防护的需求,所以国防部发布了网络安全成熟度模型认证(CMMC),以确保适当水平的网络安全控制和流程适当并已到位,以保护DoD承包商系统上的受控未分类信息(CUI)。

3、CMMC网络安全成熟度模型认证体系解读

首先,CMMC是一个基于数据保护为中心的安全成熟度评价体系。在这套体系里面,重点提到保护目标是CUI-受控的非机密信息,那这个定义清晰的界定了所保护数据的范围,任何绝密/秘密的涉及国家安全的数据信息不包含在内,CUI是政府创建或拥有的,或组织实体为政府创建或拥有的或代表政府创建或拥有的信息,这些信息是法律,法规或政府范围内的政策要求或允许机构使用保障或传播控制措施进行处理的信息。在CMMC体系文档中没有明确针对所保护数据信息的分类分级做明确的定义和说明,直接引用在美国的国家档案网站中CUI的分类与细分子类的详细描述说明,以及细分子类的分类指南和示例。

CUI数据信息的总体分类包括:关键基础设施、防御、 出口管制、金融、出入境、情报、国际协定、执法、法律、自然和文化资源、北约、核、隐私、采购与供应链、专有业务信息、临时信息、统计、税务。

重点分析涵盖的这17个域,17个域都是围绕着对数据的全生命周期的保护,从数据的创建、收集、存储、传输使用到销毁进行保护和监控。我们可以提取其中几个比较重要的点来做分析,第1个,数据保护的需求在业务系统开发的早期就得以介入,这一点和欧盟的通用数据数据保护条例GDPR中的PBD是很类似的。第2个,重点关注了对数据的访问控制和身份认证,以及对数据访问的审计追溯,有三个域涵盖了这方面的安全能力。

接着基于以数据为中心的安全能力分类方法对整个17个域做一个分类,基于数据保护的身份与访问管理包括访问控制AC、身份认证IA、审计和问责制AU,基于数据保护的业务系统设计开发运维包括系统和通讯保护SC、系统和信息完整性SI、安全评估CA,基于数据保护的安全运营包括风险管理RM、态势感知SA、配置管理CM、事件响应IR、资产管理AM、运维MA,基于数据保护的人员安全包括安全意识和培训AT、人员安全PS,数据保护技术措施包括介质保护MP、物理安全保护PE、数据备份与恢复RE。

可以看到在这17个域里面所涉及多个安全实践,CMMC体系文档中对每一条实践的描述说明实际上还是比较简单的,所以在实际的落地过程活动中,还需要结合行业和组织的业务场景来开发细粒度的实践指南,用于指导组织建立相关的安全管理制度流程以及部署合适的安全技术手段,并通过安全运营实现PDCA,从而通过其所适配级别的CMMC安全成熟度认证。

4、CMMC标准执行思路解读

全新的网络安全标准由独立第三方组织C3PAO进行审核

CMMC通过创建具有五个级别的新的网络安全标准和一个第三方审核机构C3PAO来执行审核,从而解决了这些问题。CMMC的第一级对应于基本的网络安全,第三级大致对应于NIST SP 800-171标准,而第四级及以上则包括针对高级威胁的防护。CMMC的第三方认证机构将评估所有300,000多家国防工业基础公司,根据他们的网络安全状况为其分配一个级别(从1到5)

鉴于新的攻击手法和攻击态势,信息安全标准的采用尤其重要。安全地使用这些数据(在整个供应链中集成数据),不仅需要增强网络安全性,而且还需要更加谨慎的关注信息安全性。

CMMC框架的概念是针对一系列国防部信息泄露而产生的。这使得国防部重新评估了其对国家标准与技术研究院(NIST)发布的SP800-171中安全控制的要求,认为该标准不足以抵御日益增长和演变的威胁,尤其是来自国家行为网络攻击的威胁。

各级成熟度安全要求

根据CMMC网站发布的信息,CMMC的初始实施仅适用于国防部。但CMMC草案使用了CUI术语,而不是DFARS 252.204-7012中使用的涵盖国防信息(CDI),这表明,该模型在国防部之外的潜在作用更为广泛。根据CMMC要求,所有与国防部开展业务的公司,包括分包商,都必须经过认证。CMMC将各类网络安全标准(如NIST SP 800-171、NIST SP 800-53、ISO 270001和ISO 27032)的相关部分合并为一个统一的网络安全标准。但与NIST SP 800-171不同,CMMC将更广泛地“衡量一家公司网络安全实践和安全运营过程制度化的成熟度”。

一级可以是“简单到你的公司有防病毒软件吗?你在更新你的杀毒软件吗?你在更新你的密码吗?CMMC框架确定了网络安全的17个特定方面(来自于NIST 800-171 rev1),一级遵从性只需要在17个方面中的每一个中建立一个基本的“控制”措施。

第二阶段是一个过渡阶段,需要实施NIST 800-171 rev1的另外48个控件以及7个新的“其他”控件,通过制定新的流程、规划和预算,帮助企业为更高层次做好准备。

最大的飞跃是第三级,这是处理受控非保密信息的最低要求,公司必须从第一级和第二级所需的17项控制上升到110多项。这些标准也同样源于国家标准NIST 800-171 rev1。

第四级和第五级为“非常关键的技术公司”的最敏感合同增加了额外的控制。这些标准将源于NIST 800-171 RevB、国际标准组织(ISO)、航空工业协会(AIA)和其他机构发布或正在制定的标准。

CMMC 2020执行时间表

1月:来自工业界、学术界和网络安全界的13位专家——其中一半有小企业背景——齐聚一堂,组成了一个CMMC“认证机构。这基本上是一个独立的、非盈利的、由行业资助的委员会,负责监督第三方评估员的培训和认证。国防部和委员会之间的详细谅解备忘录正在起草中。

3-4月:DOD的在线“市场”将上线,在那里寻求CMMC认证的公司可以找到并雇佣第三方认证公司。

5-6月:五角大楼将完成正式的规则制定过程,并发布一份新的国防部联邦采购条例(DFAR),说明CMMC的工作原理。

7月:国防采购部门(DAU)将开始提供CMMC在线课程,五角大楼将发布前10个“探路者”合同的信息请求(RFI),每个合同预计将影响约150个承包商和分包商。其中一些合同只要求CMMC一级,其他三级,而“一个或两个”可能要求四级或五级。

9月:根据行业反馈,五角大楼将发布10份探路者合同的正式征求建议书(RFP)。实际的证书将在数周或数月后颁发。

企业如何准备CMMC审核

如上所述,各种CMMC级别要求NIST SP 800-171版本1 和NIST SP 800-171版本B中概述的不同控件。国防部承包商应确定他们希望获得的CMMC等级,然后实施必要的控制措施。对于已经实施了所有NIST SP 800-171控制措施的国防部承包商,他们结合标准,配合外部咨询公司成功通过CMMC审核直至CMMC 3级方面应该没有问题。

拥有足够资源和安全人员的DoD承包商或供应商可以在内部满足适当的CMMC网络安全级别。内部IT部门可以使用美国国家标准技术研究院(NIST)提供的“自我评估手册-NIST手册162”。该手册是由NIST创建的,旨在协助为国防部提供产品和服务的美国国防部承包商。不幸的是,该手册仅涵盖NIST SP 800-171版本1(适用于CMMC 3级认证),目前尚无NIST SP 800-171版本B的自我评估手册。

如果承包商不具备满足NIST SP 800-171版本1或版本B要求的专业知识,则国防部承包商可以选择将要求外包给提供CMMC合规性服务的第三方CMMC顾问。美国有许多合格且经验丰富的托管安全服务提供商(MSSP),他们专门提供法规遵从服务并为需要实施NIST网络安全控制的国防部承包商监控网络安全。合格的MSSP将能够执行此评估并执行通过CMMC审核所需的任何补救工作。

NIST SP 800-171自我评估手册下载:https://nvlpubs.nist.gov/nistpubs/hb/2017/NIST.HB.162.pdf

外包:与CMMC顾问合作

对于许多国防部承包商而言,满足CMMC网络安全要求的最有效方法是将任务外包给专门从事CMMC咨询的托管安全服务提供商(MSSP)。请记住,国防部承包商仍然要最终负责确保其公司满足适当的网络安全要求,因此选择您确定可以信任的MSSP至关重要。

通过将NIST网络安全工作外包给合格的提供商,国防部承包商应节省大量时间和金钱,以保持和遵守CMMC。外包供应商将具有差距分析和系统安全计划所需的所有必需文档模板,以及监视和响应安全事件所需的高级工具。他们还将拥有执行合规性所需的补救步骤所需的资源,以及在需要进行CMMC审核时将证明已达到合规性的法律文件并得到维护。

CMMC准备情况评估

认证的第一步是让DoD承包商完成第三方准备情况评估,以查看DoD承包商距离适当CMMC级别概述的最低要求有多近或多远。就绪评估旨在发现可能无法满足所有必需控制要求的不足的系统设置和流程。仔细研究公司的网络和程序是确保合规性的第一步。

CMMC准备状况评估的结果可能会揭示以下问题:

  • 如何控制对信息系统的访问

  • 管理人员和信息系统管理员的培训方式

  • 数据记录如何存储

  • 如何实施安全控制和措施

  • 事故响应计划如何制定和实施

没有差距分析,就不可能知道组织在达到要求的CMMC级别之前需要进行哪些更改。MSSP的专业人员使用他们的发现来制定补救计划,该计划将纠正任何问题并使我们的客户符合CMMC的要求。差距分析将帮助国防部承包商执行他们自己的补救计划,或者他们可能选择让第三方(例如MSSP)为他们进行补救。

整改计划

CMMC准备情况顾问应根据准备情况评估中概述的结果制定补救计划。或者从头开始可能涉及更广泛的开发符合当今网络安全标准的兼容网络和过程。

修复计划提供了不符合当今标准的详细过程文档,精心研究的计划还可以使国防部承包商更轻松地对其系统进行必要的更改。

持续的网络安全监控和报告

一旦修复计划完成并且DoD承包商的系统和程序符合相应的CMMC级别,MSSP将拥有适当的工具和过程来监视,检测和报告DoD承包商系统中的网络安全漏洞。如果DoD承包商未将合规性外包给MSSP,则他们可以选择自行报告网络事件,因为他们具有监视和检测此类事件的工具。

5、总结

网络安全成熟度模型认证(CMMC)框架包含五个成熟度过程和171个跨越五个成熟度级别的网络安全最佳实践。CMMC成熟度过程使网络安全活动制度化,以确保它们是一致的、可重复的和高质量的。

从2018年美国的加州消费者隐私法案(CCPA)到欧盟的通用数据保护条例GDPR,再到国内数据安全成熟度模型以及个人隐私法案的落地,全球对与数据安全和用户隐私安全的要求愈加严格,而CMMC从创立的背景要求来看是对《国防采办联邦法规补充》(称为DFARS)要求遵循的NIST SP 800-171强有力的补充优化,而实际上成熟度模型认证(CMMC)是将数据安全的要求进一步和多种标准以及最佳实践相融合,把信息数据安全的要求提到最重要的维度,关注安全运营过程的成熟度,弥补了传统网络安全控制类防护要求的不足,更符合现现代网际空间对抗形式下对与高级威胁的防御保护要求。

附录

A. 标准文件翻译-安恒信息安全服务咨询规划团队译制

B. 名词注释

  • CMMC:网络安全成熟度模型认证;

  • NIST:美国国家标准与技术研究院;

  • DoD:美国国防部;

  • DIB:国防工业基地;

  • CUI:受控未分类信息;

  • FCI:联邦合同信息;

  • APT:高级可持续性威胁;

  • DOMAIN:域;

  • Level:级别。

C. 参考来源

  • https://www.cpomagazine.com/cyber-security/department-of-defense-now-requires-defense-contractors-to-obtain-cybersecurity-certification-how-difficult-will-it-be/?utm_campaign=coschedule&utm_source=twitter&utm_medium=dataprivacyasia&utm_content=Department%20of%20Defense%20Now%20Requires%20Defense%20Contractors%20to%20Obtain%20Cybersecurity%20Certification%3B%20How%20Difficult%20Will%20It%20Be%3F

  • https://www.complyup.com/cmmc-accreditation-body-rfi-update/

  • https://www.fbo.gov/index?s=opportunity&mode=form&id=4a4b539a0e347e540b30b3121916031c&tab=core&_cview=0

  • https://www.insidegovernmentcontracts.com/2019/07/dod-announces-the-cybersecurity-maturity-model-certification-cmmc-initiative/

  • https://www.acq.osd.mil/cmmc/draft.html

  • https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf

  • https://mp.weixin.qq.com/s/xkqJQinxe4AYdSu6fsspWQ

小福利

《网络安全成熟度模型认证(CMMC)》译文下载

https://pan.baidu.com/s/1qtGxIlZToSDbGhFWiC7s1A

提取码: qb6u

声明:本文来自雷神众测,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。