安恒信息安全服务咨询规划团队一直关注国内外安全体系的发展。解释时间相对较短,我希望给行业专家带来一些有益的思考。如有不足,请纠正。团队还继续跟进模型的后续版本和相关操作指南。欢迎联系并一起讨论。
建立背景网络安全成熟模型
网络空间安全问题日益突出,各国网络战军备竞争日益激烈。近年来,各种网络攻击事件对世界各国网络空间安全构成了严重威胁,直接威胁到经济安全和国家安全为恶意网络行动者已经并将继续针对国防工业基地(DIB)部门和国防部(DoD)随着供应链的攻击,国防部知识产权和一些非机密信息的总损失可能会削弱美国的技术优势和创新,显著增加国家安全风险。美国国防部副部长办公室负责采购和维护(OUSD(A&S))认为之前的NIST2019年5月底,卡内基梅隆大学和约翰霍普金斯大学应用物理实验室有限公司提出整合现有系统标准,开发网络安全成熟度模型认证(CMMC)框架要求将要保护的信息数据类型、敏感性和相关威胁范围相结合,形成多个网络安全标准、框架等参考的成熟过程和最佳网络安全实践。各种网络安全标准的参考和整合包括:
· NIST SP 800-171
· NIST SP 800-171B
· NIST SP 800-53
· NIST CSF V1.1
· CERT RMM V1.2
· CIS Controls
· ISO 270001和ISO 27032
· AIA NAS9933
· 其他成熟的网络安全最佳实践系统(UK NCSC、AU ACSC、FAR等)
但与NIST SP 800-171除网络安全控制标准外,安全标准体系不同,CMMC将更广泛地衡量公司网络安全实践和安全运行过程的制度化成熟度。CMMC将实现多层次的网络安全。除评估公司实施网络安全控制措施的成熟度外,CMMC还将评估公司网络安全实践和流程的成熟度/制度化水平。
从国防部各级官员对网络安全成熟度模型认证的要求可以看出,美国正在努力建立国防相关信息数据保护和安全防御体系,迫使所有国防相关企业快速实施网络安全成熟度模型认证(CMMC)框架。
国防部首席信息安全官(CISO)凯蒂·阿灵顿(Katie Arrington):
任何涉及美国联邦合同的信息(FCI)企业必须满足网络安全成熟度的基本要求,涉及美国控制的未分类信息(CUI)企业和组织需要达到网络安全成熟度安全认证的第三级,涉及国家安全的企业和组织必须满足四、五级要求,以应对各种高级持续威胁(APT)黑客组织攻击,确保国家安全。
埃伦,美国国防部副部长,负责采购和维持事务·洛德(Ellen Lord):
国防部意识到认证成本对中小企业来说可能是一个沉重的负担,并将与这些企业合作,以确保其符合标准。该部门去年向5200家小国防承包商CMMC合规培训,预计类似的计划将在未来运行。国防部还计划直接帮助大型承包商转移给小型分包商。
国防部(DoD)解释创建CMMC原因:
国防部(DoD)承包商对过去几年席卷美国的防网络安全要求非常清楚。2015年,美国国防部发布了《国防采办联邦法律法规补充》(称为DFARS),法律法规要求私人DoD承包商根据NIST SP 800-171网络安全框架采用网络安全标准。这是政府努力的一部分,旨在保护美国国防供应链免受国内外网络的威胁,降低该部门的整体安全风险。
自从DFARS美国国防部30多万承包商争相了解DFARS并在其公司内实施NIST SP 800-171标准符合法律法规的要求。有的公司有内部资源让自己合规,有的公司把这个任务外包给托管服务提供商,比如SysArc,后者帮助DoD承包商应遵守其网络安全要求。虽然国防部通过使其成为合同授予过程中的竞争优势来鼓励合规,但许多承包商仍然选择推迟合规。DFARS 252.204-7012法律法规采用缓慢,实际效果不能满足国家网络保护的需要,因此国防部发布了网络安全成熟模型认证(CMMC),保护适当水平的网络安全控制和流程DoD承包商系统中未分类信息的控制(CUI)。
CMMC解读网络安全成熟模型认证体系
