為新國防部IT安全準則做好準備

    國防部為承包商發布了新的網絡安全指南。了解新的CMMC規則與其他任務以及如何準備進行了比較。

    聯邦承包商IT安全準則

    今天，聯邦承包商面臨著令人眼花array亂的IT安全準則。對于想要與聯邦機構和其他政府實體開展業務的任何人來說，了解這些結構的差異以及如何將其應用于您的業務至關重要。

    國防部正在推出一套新的網絡安全標準，稱為網絡安全成熟度模型認證（CMMC）計劃。CMMC將于2020年6月開始接受提案請求。它與其他情況下使用的其他網絡安全指南（包括NIST SP 800-171和《聯邦采購條例》（FAR）以及《國防聯邦采購》）并入并具有許多相似之處法規補充（DFARS）。

    而且，這些結構還依賴于其他兩個概念-受控未分類信息（CUI）和零信任體系結構。這足以讓任何IT高管或C級官員肚子疼。

    讓我們從這些準則尋求保護的數據開始。

    什么是CUI？

    受控的未分類信息是需要由非政府實體保護的未分類數據的集合。它通常涵蓋屬于以下類別之一的信息：

    政府合同中確定的信息

    國防部提供給承包商的信息

    承包商在執行政府合同期間創建的信息

    認為CUI的信息各不相同，分為各種類別。例如，專利申請和發明被視為CUI。一個CUI類別的一部分。另一類包括隱私數據，包括死亡記錄，遺傳信息，健康信息，學生記錄，人員記錄和軍事記錄。

    所涵蓋的數據顯然是敏感的，值得保護。隨著時間的推移，聯邦機構已使用各種方法來確保承包商確保數據安全。

    什么是零信任架構？

    2019年底，美國商務部國家標準技術研究院發布了一套新的標準，包括旨在幫助組織采用零信任架構方法的術語和定義。ZTA是一種越來越流行的網絡安全方法。

    從歷史上看，網絡安全一直集中在廣泛的網絡邊界上。而使用ZTA時，該關注點會縮小到一小部分資源或個人。ZTA根本缺乏信任。作為局域網的一部分或位于本地已不再足夠。

    使用ZTA，僅在需要資源時才授予訪問權限。在建立連接之前，用戶和設備均已通過身份驗證。

    云應用和遠程用戶的急劇增長推動了向ZTA的轉變。外圍不再是網絡安全的正確重點。ZTA而是專注于保護資源。

    國防部新的網絡安全要求是什么？

    在查看新的CMMC指南之前，請務必注意用于聯邦合同的一般指南。FAR是一套指導企業如何與聯邦政府合作的準則。FAR準則包括承包商必須遵循的一些有關網絡安全的基本規則。

    DFARS是一組專門針對與國防部合作的承包商的準則，要求供應商提供足夠的安全性并及時報告網絡事件。

    多年來，NIST SP 800-171是承包商網絡安全以及如何滿足DFARS合規性的標準。NIST SP 800-171準則要求承包商和分包商在14個類別中展示對IT安全的合規性，這些類別涵蓋了技術領域，例如事件響應，配置管理和維護時間表。它們還涵蓋培訓，政策，風險評估和人身安全。在這14個類別中，有110個特定的遵從點。

    CMMC有望接管IT安全的主要監管結構，這是由于大量數據泄露事件引起的，并且擔心NIST指令不能提供足夠的保護。

    另一個問題是某些NIST SP 800-171組件的自我報告性質。這意味著在競標國防部合同時，不嚴格采用嚴格要求（以及相關成本）的承包商可能會占優勢。

    CMMC圍繞五個合規性級別進行組織。 基本的網絡衛生（第一級）符合維護承包商信息系統的最基本的聯邦標準。NIST SP 800-171映射到CMMC（良好的網絡衛生）之下的中層。承包商必須達到訪問CUI的級別。

    承包商保留了兩個較高級別的合規性，以表現出對高級和持續性網絡攻擊的更強大防御。

    CMMC如何幫助國防部？

    對于國防部而言，CMMC旨在幫助該機構簡化對潛在承包商的評估。首先，國防部合同將定義必須在哪個CMMC級別上對承包商進行認證才能投標。它還可以幫助與以前一直自我報告許多合規性要求的承包商建立公平的競爭環境。

    盡管尚未設置認證期限，但可以通過獨立的第三方評估員來認證企業。

    我的企業可以做什么來滿足CMMC要求？

    丞昊信息與企業合作以保護數據和系統。我們的網絡安全評估工具可幫助企業為CMMC評估做準備并提供持續的合規性管理解決方案。通過 今天與我們聯系，詳細了解LaScala IT如何使您的業務合規并受到保護 。