Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS

Erfüllung der FedRAMP-Gleichwertigkeitsanforderung des CMMC

Schützen Sie CUI – leere Gleichwertigkeitsversprechen von Anbietern vermeiden

Was ist DFARS 7012 und warum ist es für die CMMC-Compliance wichtig?

DFARS 7012, oder Defense Federal Acquisition Regulation Supplement Clause 252.204-7012, ist eine Reihe von Cybersecurity-Anforderungen für Auftragnehmer, die mit dem US-Verteidigungsministerium (DoD) zusammenarbeiten. Im Fokus steht der Schutz von kontrollierten, nicht klassifizierten Informationen (CUI) auf Basis des NIST SP 800-171 Standards. CMMC 2.0, das Cybersecurity Maturity Model Certification, ist hingegen ein Rahmenwerk, das die Cybersecurity-Reife und Einsatzbereitschaft eines Unternehmens für die Zusammenarbeit mit dem DoD bewertet. DFARS 7012 und CMMC 2.0 stehen in enger Beziehung zueinander: Während DFARS 7012 konkrete Sicherheitskontrollen zum Schutz von CUI vorgibt, baut CMMC 2.0 darauf auf und ergänzt Reifegrade, um den Stand der Cybersecurity-Vorbereitung eines Unternehmens zu klassifizieren. CMMC 2.0 umfasst sämtliche Anforderungen von DFARS 7012 und erweitert diese um Reifegrade sowie einen formalen Prüfprozess durch Dritte. Daher müssen Auftragnehmer sowohl DFARS 7012 als auch die spezifischen Anforderungen ihres jeweiligen CMMC-Reifegrads erfüllen – CMMC 2.0 fasst das DFARS 7012-Rahmenwerk zusammen und erweitert es.

Solution Highlights

  • FedRAMP Moderate Authorized
  • FIPS-140 konform
  • Granulare Richtlinien
  • 3PAO-Sicherheitsbewertungen
PDF HERUNTERLADEN

Für die CMMC-Compliance verlangt DFARS 7012, insbesondere Absatz (D), dass ein Auftragnehmer, der einen externen Cloud Service Provider (CSP) zur Verarbeitung von geschützten Verteidigungsinformationen (CDI) einsetzen möchte, sicherstellt, dass der CSP Sicherheitsanforderungen erfüllt, die dem FedRAMP Moderate Baseline entsprechen, und die spezifischen Sicherheitsmaßnahmen gemäß den Absätzen (c) bis (g) der Klausel einhält. Das bedeutet, der Auftragnehmer ist dafür verantwortlich, dass der CSP diese Sicherheitsstandards beim Umgang mit CDI einhält. CMMC 2.0 umfasst sämtliche Anforderungen von DFARS 7012 und erweitert diese um Reifegrade sowie einen formalen Prüfprozess durch Dritte. Daher müssen Auftragnehmer sowohl DFARS 7012 als auch die spezifischen Anforderungen ihres jeweiligen CMMC-Reifegrads erfüllen – CMMC 2.0 fasst das DFARS 7012-Rahmenwerk zusammen und erweitert es.

Um als „äquivalent“ zu gelten, muss eindeutig verstanden werden, was dies bedeutet. Das US-Verteidigungsministerium hat dazu kürzlich das FedRAMP Equivalency Memo veröffentlicht, das Leitlinien und Klarstellungen liefert. Laut Memo müssen CSOs, um als FedRAMP Moderate äquivalent zu gelten, eine 100%ige Compliance mit dem aktuellen FedRAMP Moderate Sicherheitskontroll-Baseline durch eine Bewertung einer von FedRAMP anerkannten Third Party Assessment Organization erreichen, dem Auftragnehmer einen Nachweis vorlegen (einschließlich System Security Plan, Security Assessment Plan, Security Assessment Report der 3PAO und Plan of Action and Milestones) und die Anforderungen von DFARS 252.204-7012 hinsichtlich Cyber-Vorfallmeldung, bösartiger Software, Medienaufbewahrung und -schutz, Zugang zu zusätzlichen Informationen und Geräten für forensische Analysen sowie Schadensbewertung nach Cyber-Vorfällen erfüllen.

Erfüllung der FedRAMP-Äquivalenzanforderung der CMMC

Vor diesem Hintergrund sollten Sie Ihrem CSP-Anbieter drei Fragen stellen, um sicherzustellen, dass er konform ist:

  1. Wurde eine Bewertung durch eine von FedRAMP anerkannte Third Party Assessment Organization durchgeführt? Ist dies nicht der Fall, gilt keine Äquivalenz.
  2. Können Sie einen Nachweis dieser Bewertung vorlegen (einschließlich System Security Plan, Security Assessment Plan, Security Assessment Report der 3PAO und Plan of Action and Milestones)? Ist dies nicht der Fall, gilt keine Äquivalenz.
  3. Können Sie nachweisen, dass Sie die Anforderungen von DFARS 252.204-7012 hinsichtlich Cyber-Vorfallmeldung, bösartiger Software, Medienaufbewahrung und -schutz, Zugang zu zusätzlichen Informationen und Geräten für forensische Analysen sowie Schadensbewertung nach Cyber-Vorfällen erfüllen? Ist dies nicht der Fall, gilt keine Äquivalenz.

Für Auftragnehmer, die mit sensiblen Regierungsdaten arbeiten und die Einhaltung strenger Cybersecurity-Vorgaben im Verteidigungsbereich sicherstellen müssen, kann die Validierung geeigneter Sicherheitsfunktionen eine große Herausforderung darstellen. Durch die Zusammenarbeit mit Partnern, die bereits anspruchsvolle Zertifizierungen wie FedRAMP Moderate Authorized abgeschlossen haben, können Unternehmen ihre Sicherheitslage effizient überprüfen, anstatt aufwändige eigene Kontrollen durchzuführen. Mit langjähriger Erfahrung bei Compliance-Zertifizierungen wie FedRAMP, FIPS und SOC 2 ermöglicht Kiteworks Auftragnehmern, die Einhaltung von Standards wie DFARS 7012 und CMMC 2.0 schnell zu validieren, Beschaffungsprozesse zu beschleunigen und Risiken durch nicht-konforme „äquivalente“ Partner zu vermeiden. Dank umfassender Funktionen, die durch kontinuierliche unabhängige Prüfungen und Audits abgesichert sind, unterstützen Kiteworks-Lösungen Auftragnehmer dabei, DoD-Anforderungen mit Vertrauen zu erfüllen und gleichzeitig den Schutz ihrer Daten durch eine ausgereifte, bewährte Plattform zu stärken.

 

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN
Teilen
Twittern
Teilen
Explore Kiteworks