编者按:美国防部正在着手解决启动网络安全成熟度模型认证(CMMC)计划的两大障碍,包括修改联邦法规和为国防承包商提供快速满足要求的路径。
继2024年8月在《联邦公报》上公布《美国国防采购条例补充规定》(DFARS)的拟议修正案后,美国防部即将向美国白宫行政管理和预算局提交第二条修改DFARS的法规。如进展顺利,新的规则将于今年夏末完成、发布并投入使用。美国防部出台新规的挑战主要来自两个方面:一是特朗普政府上台实施的60天监管冻结;二是特朗普发布的“10换1”行政命令,即各机构每出台一项新规,至少废除10项规则、规章或指导文件。
美国防部通过试点发现,国防承包商可以通过获取云服务提供商(CSP)和托管服务提供商(MSP)的服务来快速满足CMMC要求,这可以为中小型企业提供经济实惠的解决方案。包括微软、谷歌、亚马逊网络服务和甲骨文在内的云服务提供商已与托管服务提供商合作,主要通过虚拟桌面向国防承包商提供功能。云服务提供商提供了保护数据的方法,如果数据被下载到另一个系统,就会自动进入连续监控模式。美国防部还与CMMC官方认证机构合作,在网上市场上列出此类CMMC相关服务。
奇安网情局编译有关情况,供读者参考。
美国防部对网络安全成熟度模型认证(CMMC)计划的未来比以往任何时候都更有信心。在首次推出数据安全计划6年多后,美国防部已接近解决CMMC启动面临的两大障碍。
2024年夏天,美国防部敲定了第一条与CMMC相关的规则,建立了正式的计划。现在,美国防部认为,在未来几个月内敲定第二条法规的路径已经很清晰。
美国防部首席信息官办公室国防工业基础网络安全负责人斯泰西·博斯特贾尼克表示,修改《美国国防采购条例补充规定》(DFARS)的规定即将提交给美国白宫行政管理和预算局(OMB)的信息和监管事务办公室(OIRA)进行最终处理。
斯泰西·博斯特贾尼克6月5日在专业服务委员会的采购会议上表示,“美国防部正在进行最后的修改,以便将其送回 OMB OIRA,所以进展顺利,我们真的希望它能够接近我们预期的最初时间表,即在今年夏天晚些时候完成、发布并准备投入使用。”
美国防部于去年8月发布了该拟议规则。该规则将涵盖多项内容,包括定义受控非机密信息(CUI),并为 CMMC制定招标条款和规定。
CMMC于2020年1月正式启动,旨在为处理受控非机密信息(CUI)的承包商制定新的标准和程序。但即使在其发布之前,企业仍需遵守2014年美国国家标准与技术研究院(NIST)的CUI标准,这些标准取决于企业处理的CUI级别。例如,CMMC 2级需要满足NIST SP 800-171列出的110项安全要求,而CMMC 3 级需要满足NIST SP 800-172中另外列出的24项安全要求。
美国防部面临的挑战源于特朗普政府上任第一天实施的60天监管冻结。虽然该冻结最近已解除,但特朗普还发布了一项行政命令,要求各机构每出台一项新规,至少废除10项规则、规章或指导文件。CMMC DFARS规则就因监管冻结和10换1的交换要求而受到影响。
斯泰西·博斯特贾尼克表示,其绝对希望结束有关CMMC因监管冻结而消失的任何谣言。
试点展示降低CMMC成本的方法
美国防部的第二个重大变化是与云服务提供商(CSP)和托管服务提供商(MSP)成功试点,为企业满足CMMC要求提供了更便捷的途径。
美国防部估计,国防工业基础有22万至30万家公司,大约8万家公司需要达到CMMC 2级,另外1500家公司需要达到CMMC 3级。
此外,经过认证的第三方评估机构只有50到60个,这意味着美国防部必须帮助找到处理潜在积压问题的方法。
斯泰西·博斯特贾尼克表示,“你必须认识到网络安全对我们国家的重要性。现在我们也意识到,我们确实听到过你们说,‘嘿,实现网络安全并满足这些要求并不容易。’我们一直在与云服务提供商和托管服务提供商合作,恳求他们帮助我们开发一种功能,让企业能够轻松上手。”她说。
斯泰西·博斯特贾尼克提到的“轻松上手”是指一些公司可以采取的一种途径,即聘请亚马逊网络服务 (AWS)、甲骨文、微软、谷歌等云服务提供商,快速帮助公司符合CMMC标准。
博斯特贾尼克举例称,一些大型云服务提供商能够在两个月内让一家不符合NIST标准的公司符合所有110项标准。 她称,“如果你是一家小公司,还没有真正考虑过网络安全,但现在,突然之间,你受到了沉重的打击,比如,‘哦,天哪,我无法获得那份合同,因为我的网络安全能力不足’,那么就去看看亚马逊、谷歌和他们的产品吧。”
斯泰西·博斯特贾尼克表示,与托管服务提供商的测试表明,这种共享服务方式可以减少认证的时间和成本。她表示,“我们见过一家公司,我不方便透露名称,但他们在两个月内就把控制从零增加到110项,每个座位花费约1300美元,评估费用为3.2万美元。帮助他们达到合规标准并安装110项控制的那家公司无法进行评估,所以你必须找另一家公司来做评估。这相当于两个月的工作量,而且花费不多。”
斯泰西·博斯特贾尼表示,通过与托管服务提供商(MSP)或云服务提供商(CSP)合作,公司将从平台继承80%到90%的控制项。
斯泰西·博斯特贾尼表示,“对于公司来说,理解并遵循客户责任矩阵至关重要,因为NIST SP-800-171标准中确实有一些内容要求公司在自己的空间内开展工作。现在,许多托管服务提供商(MSP)提供模板和指导,帮助公司实现目标,但客户责任矩阵能让你清楚地了解并明确自己在实现110项控制方面需要发挥的作用,并且你知道大多数与你合作的MSP都会全程为你提供帮助。我对这项要求催生出的功能感到非常欣慰。业界确实迎接了挑战,帮助我们,并且他们确实为中小型企业找到了经济实惠的解决方案。”
即将分阶段推出
包括微软、谷歌、亚马逊网络服务和甲骨文在内的云服务提供商(CSP)已与托管服务提供商(MSP)合作,主要通过虚拟桌面向国防承包商提供功能。
斯泰西·博斯特贾尼表示,云服务提供商(CSP)的其中一种或两种方法可以保护数据,如果数据被下载到另一个系统,它就会自动进入连续监控模式。
美国防部还与行业咨询小组Cyber AB(CMMC官方认证机构)合作,在网上市场上列出这些类型的CMMC相关服务。
斯泰西·博斯特贾尼表示,“我们目前正在与 Cyber AB 合作,讨论网站建设,以及吸纳公司并将其托管在网站上的标准是什么?未来还会有更多合作。但我们已经看到了一些很棒的功能,它们成本低廉,并且为公司提供了良好的运营环境。”
虽然供应商已经有望满足NIST 800-171的要求,但CMMC标准距离成为合同授予的一部分还需要一年多的时间。
斯泰西·博斯特贾尼表示,美国防部将监督分阶段实施这些要求。她称,“我们最初设定的第一阶段为6个月,在此期间你可以继续专注于自我认证,但根据CMMC规则,这将是自我认证,这意味着你无法再制定到2099年才能完成的行动计划和里程碑(POA&M)。因此,现在,你的POA&M必须在6个月内完成,并且你必须进行年度确认,以确认符合NIST 800-171标准。”
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
