前情回顾·美政府承包商安全合规动态

安全内参1月3日消息,美国《联邦公报》上周发布有关“网络安全成熟度模型认证”CMMC 2.0的拟议规则,披露了国防部对承包商和其他组织实施五角大楼CMMC计划的最新成本预测。

根据该计划要求,处理联邦合同信息(FCI)和受控非机密信息(CUI)的国防承包商及分包商,必须根据信息类型和敏感程度,实施不同等级的网络安全标准,并评估自身合规满足情况。

为了简化规则,CMMC 2.0具备三大特征:首先是采用分层模型,要求承包商根据信息敏感程度,按三个不同等级实施网络安全标准。其次是要求进行评估,允许国防部核验标准的实施情况。第三是以合同的形式落实,一旦CMMC规则生效,处理敏感信息的国防部承包商必须达到特定的CMMC等级才能赢得合同。

一旦CMMC纳入《联邦法规第48编》,国防部将在招标书和随后的合同中指定所需的CMMC级别。新规则可能影响超过20万家国防工业公司。

五角大楼计划分阶段实施CMMC计划。第一步将在2026年10月1日或之后所有适用招标活动中纳入CMMC要求。当然,招标之前会视具体项目判断可否豁免。

承包商和分包商必须自我评估,判断是否达到规定的安全等级。评估也可以由第三方机构(称为C3PAO)或政府评估员实施。

评估规划、准备、实施和结果上报等活动将产生成本。

一级认证预计每年支出4000-6000美元

拟议规则表示,“估算公共成本时,国防部考虑了适用的非经常性工程成本、经常性工程成本、评估成本和每个CMMC等级所需的确认成本。”

规则指出,“对于CMMC 1级和2级,成本估算只考虑国防承包商、分包商或生态系统成员必须采取的评估、认证和确认活动,这些活动便于国防部核实相关基础安全要求是否得到落实。”

“国防部没有考虑实施安全要求本身的成本。《联邦采购条例》(FAR)第52.204–21条款和《国防联邦采购条例补充》(DFARS)第252.204–7012条款规定的实施期限分别是2016年6月15日和2017年12月31日。因此,CMMC 1级和2级安全要求的实施成本应该已经发生,与本拟议规则无关。”

公司需每年进行一次1级自我评估和确认,证明已根据《联邦法规第32编》第170.14(c)(2)条款规定,落实了保护联邦合同信息的所有基本要求。

五角大楼估计,小型实体进行1级自我评估和确认的成本将近6000美元,较大实体约为4000美元。

二级认证预计支出10-12.8万美元

承包商每三年需进行2级自我评估和确认,证明已根据《联邦法规第32编》第170.14(c)(3)条款规定,落实了保护受控非机密信息的所有安全要求。每三年由第三方机构进行2级认证评估,亦可验证承包商符合安全要求。

拟议规则指出,“如实施合同时,需在组织信息系统中处理、存储或传输受控非机密信息,则该(寻求认证的)组织必须实施CMMC 2级评估。”

对于小型实体,2级自我评估和相关确认估计成本超过3.7万美元,较大实体约为4.9万美元(包括每三年一次的评估和确认,以及两次额外的年度确认)。对于小型实体,2级认证评估成本将近10.5万美元,较大实体约为11.8万美元(包括每三年一次的评估和确认,以及两次额外的年度确认)。

三级认证预计支出数百万美元

拟议规则表示,“进行CMMC 3级认证评估之前,用于CMMC 3级评估范围内的信息系统必须接受CMMC 2级最终认证评估。CMMC 3级认证评估由(国防合同管理局)国防工业基础网络安全评估中心(DIBCAC)负责实施,将核实(寻求认证的组织)是否按照《联邦法规第32编》第170.14(c)(4)条款规定,实施CMMC 3级安全要求。”

如执行合同时需处理、存储或传输受控非机密信息,公司信息系统必须每三年进行一次3级认证评估。

根据拟议规则,3级认证将要求“在先前规则之外,实施美国国家标准与技术研究院800–172号特别出版物(NIST SP 800-172)规定的安全要求。因此,此次成本评估包括了初步实施和维护NIST SP 800–172要求产生的非经常性工程成本和经常性工程成本。”

3级认证评估的总成本包括与2级认证评估相关的支出,以及实施、评估3级独有安全要求的支出。

对于小型组织,满足3级保障措施需承担的经常性和非经常性工程成本分别为49万美元和270万美元。认证评估的预计成本超过1万美元(包括每三年一次的评估和确认,以及两次额外的年度确认)。

对于较大组织,满足3级保障措施需承担的经常性和非经常性工程成本分别为410万美元和211万美元。认证评估及相关确认的预计成本超过4.1万美元(包括每三年一次的评估和确认,以及两次额外的年度确认)。

拟议规则指出,3级标准预计只适用于“一小部分”国防承包商和分包商。

国防工业企业预计每年需增加40亿美元支出

在计算成本时,官员们力求考虑小公司和较大国防承包商之间的组织差异。比如,他们假定小公司的IT和网络安全基础设施和运行环境较为简单、规模较小。拟议规则称,小公司更有可能将IT和网络安全外包给外部服务提供商。

此外,官员们预计参与2级评估的组织将咨询外部服务提供商,寻求实施支持,帮助他们为评估做好准备或参与第三方机构的评估。

根据预测,为实施CMMC 2.0,未来20年,承包商和其他非政府实体的年化成本将约为40亿美元。对于政府,年化成本将约为1000万美元。

五角大楼正在征求公众对拟议规则的反馈,截止日期为2024年2月26日。

CMMC的实施成本和程序要求一直是国防承包商和贸易协会重点关注的问题。

上周二,美国航空工业协会总裁兼首席执行官Eric Fanning发布声明,表示,“长期以来,繁重的监管一直是一大障碍。对于为国防工业基础做出贡献的中小型企业而言,尤为如此。就国防公司而言,必须获得合适的工具和标准,既能保护我们国家敏感非机密材料的安全,又能不阻碍公司为国防工业基础做出贡献。我们期待审查拟议规则并提供全面反馈,确保国防部制定的最终规则能够充分考虑到国防工业基础的复杂程度。”

参考资料:https://defensescoop.com/2023/12/28/cmmc-implementation-cost-estimates/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。