Während sich CMMC noch entwickelt, sollten Sie sicherstellen, dass Ihr Unternehmen bezüglich dessen, was eine CMMC-Zertifizierung ist und wie ihre Aktualisierungen Sie betreffen, auf dem neuesten Stand ist.

Der CMMC-Zertifizierungsprozess ist mühsam, aber unsere CMMC 2.0 Compliance-Roadmap kann helfen.

Was ist CMMC? Die Cybersecurity Maturity Model Certification ist ein Standard, der von Auftragnehmern des Verteidigungsministeriums verlangt, bestimmte Ebenen der Cybersicherheit zu erfüllen, um die sensiblen Daten des Ministeriums zu schützen.

Certification du modèle de maturité en cybersécurité (CMMC)

Was ist CMMC?

Die Cybersecurity Maturity Model Certification (CMMC) ist ein einheitlicher Standard zum Schutz von Controlled Unclassified Information (CUI) innerhalb der Defense Industrial Base (DIB). Es ist ein Rahmenwerk zur Bewertung der Cybersicherheitspraktiken einer Organisation und ermöglicht es dem Verteidigungsministerium (DoD), zu zertifizieren, dass diese Praktiken die Anforderungen gemäß NIST SP 800-171 erfüllen. Die Zertifizierung ist für alle Organisationen erforderlich, die mit dem DoD arbeiten, da CMMC darauf ausgelegt ist, CUI vor Cyberbedrohungen zu schützen und sicherzustellen, dass Auftragnehmer die gleichen Cybersicherheitsrichtlinien und -verfahren befolgen.

CMMC 2.0 Compliance Fahrplan für DoD Auftragnehmer

Jetzt lesen

Was ist das CMMC-Framework?

Die Cybersecurity Maturity Model Certification (CMMC) ist ein gestrafftes und zentralisiertes Cybersicherheitsrahmenwerk, das vom US-Verteidigungsministerium erstellt wurde, um Auftragnehmern in der Verteidigung bei der Einhaltung der Lieferkette und Sicherheitsbemühungen zu unterstützen.

Das Verständnis des CMMC-Frameworks ist für Verteidigungsunternehmer entscheidend, da es die notwendigen Cybersicherheitsstandards und -praktiken skizziert, die erforderlich sind, um sensible Daten zu schützen und Compliance sicherzustellen. CMMC ist darauf ausgelegt, die Sicherheitshaltung des Verteidigungssektors zu verbessern, indem ein gestuftes Cybersicherheits-Framework vorgeschrieben wird. Dieses Framework ist wesentlich für Auftragnehmer, die mit dem Verteidigungsministerium (DoD) und zugehörigen Agenturen arbeiten, da es die Ebenen der Cybersicherheitshygiene und Prozesse spezifiziert, die implementiert werden müssen, basierend auf der Sensibilität der verarbeiteten Daten.

Im Gegensatz zu früheren Vorschriften, die es Auftragnehmern erlaubten, ihre Cybersicherheitsmaßnahmen selbst zu zertifizieren, führt das CMMC-Framework ein gestuftes System der Compliance ein, das von grundlegenden Anforderungen an die Cyberhygiene bis zu fortgeschrittenen Sicherheitsprotokollen reicht, um sicherzustellen, dass alle Verteidigungsauftragnehmer eine Basis von Cybersicherheitsstandards erfüllen, um sowohl unklassifizierte als auch kontrolliert unklassifizierte Informationen zu schützen, die für die nationale Sicherheit entscheidend sind.

Eingeführt im Jahr 2019, wurde das CMMC-Framework etabliert, um die Cybersicherheitshaltung von Verteidigungsauftragnehmern zu verbessern, indem sichergestellt wird, dass sie die erforderlichen Sicherheitsstufen zum Schutz von Federal Contract Information (FCI) und Controlled Unclassified Information (CUI) haben. Im Unterschied zum vorherigen Selbstzertifizierungsprozess unter den NIST 800-171 Richtlinien, schreibt das CMMC-Framework eine Bewertung durch Dritte vor, um die Compliance zu validieren, und beantwortet die wesentliche Frage „Was ist CMMC“ durch Festlegung eines strukturierten Benchmarks für Cybersicherheitsbereitschaft und -resilienz innerhalb der Verteidigungsindustriebasis.

Das CMMC-Framework markiert einen entscheidenden Wandel darin, wie Verteidigungsunternehmer die Compliance in der Cybersicherheit sicherstellen. Zuvor auf Selbstauskünfte angewiesen, führt das CMMC-Framework ein strukturiertes Modell ein, das Audits durch Dritte erfordert, um die Einhaltung von Cybersicherheitsstandards zu überprüfen. Dieses Framework ist in der Zwischenregelung Defense Federal Acquisition Regulation Supplement (DFARS) 2019-D041 zusammengefasst, das die CMMC-Anforderungen in alle Beschaffungsprozesse der Verteidigung integriert. Diese Transformation unterstreicht das Engagement des Verteidigungsministeriums, die Cybersicherheitsmaßnahmen entlang seiner Lieferkette zu stärken und hebt die Wichtigkeit hervor zu verstehen, was CMMC ist und welche Auswirkungen es für Verteidigungsunternehmer hat.

Im November 2021 enthüllte das DoD das CMMC 2.0-Framework, was eine signifikante Weiterentwicklung der Cybersicherheitsstandards für Verteidigungsunternehmer markiert. Wir werden weiter unten detaillierter die mit dem CMMC 2.0-Framework eingeführten Verbesserungen erkunden.

CMMC & CMMC 2.0: Cybersecurity Maturity Model Certification - WICHTIGE ERKENNTNISSE

WICHTIGE ERKENNTNISSE

  1. Verstehen Sie CMMC:
    CMMC ist ein vom DoD vorgeschriebener Standard für Verteidigungsunternehmer, um kontrollierte unklassifizierte Informationen (CUI) gegen Cyberbedrohungen zu schützen.
  2. Migration zu CMMC 2.0:
    CMMC 2.0 ist ein gestrafftes Rahmenwerk, das strengere Kontrollen und Verfahren bietet.
  3. CMMC-Umfang und -Stufen:
    Das CMMC-Rahmenwerk umfasst FCI und CUI. CMMC 2.0 besteht aus drei Reifestufen, jede mit spezifischen, zunehmend strengen Anforderungen.
  4. Zertifizierte Drittanbieter-Prüfer:
    C3PAOs sind entscheidend für die objektive Bewertung der Cybersicherheitspraktiken einer Organisation und die Gewährleistung der Einhaltung von CMMC.
  5. Vorbereitung auf die CMMC-Zertifizierung:
    Nutzen Sie den CMMC-AB-Marktplatz, um seriöse RPOs und C3PAOs für Audits zu identifizieren.

Was ist der Geltungsbereich des CMMC-Frameworks?

Der Geltungsbereich des CMMC-Frameworks umfasst die Sicherheit aller Federal Contract Information (FCI) und Controlled Unclassified Information (CUI), die von der Umgebung eines abgedeckten Auftragnehmers (Organisation) gespeichert oder verarbeitet werden, und gilt für alle Aktivitäten, die von der Organisation durchgeführt werden. Die Verfahren und Prozesse behandeln die Sicherheit aller Bereiche der Organisation des Auftragnehmers, die FCI und CUI verarbeiten, speichern oder übertragen, einschließlich ihrer Netzwerke, Systeme, Personal und anderer Vermögenswerte.

CMMI vs. CMMC: Welches benötigen Verteidigungsunternehmer?

Das Capability Maturity Model Integration (CMMI) ist ein Ansatz zur Prozessverbesserung, der Organisationen die wesentlichen Elemente für eine effektive Prozessverbesserung bietet. CMMI hilft Organisationen, die Leistung von Prozessen zu verbessern und organisatorische Prozesse zu integrieren. Es wird in verschiedenen Branchen eingesetzt, einschließlich Luft- und Raumfahrt, Verteidigung, Softwaretechnik, Finanzen, Regierung und Gesundheitswesen. CMMI ist ein Rahmenwerk, das die Stufen der Prozessverbesserung definiert und die Reife von Organisationen in sechs Schlüsselbereichen der Prozessimplementierung beurteilt: Leistung, Projektmanagement, Dienstleistungen, Unterstützung, Prozessintegration und organisatorischer Prozessfokus.

Die Cybersecurity Maturity Model Certification (CMMC), wie wir besprochen haben, ist eine Zertifizierung, die vom US-Verteidigungsministerium (DoD) erstellt wurde, um unklassifizierte Daten, die entweder auf den Netzwerken von DoD-Auftragnehmern und -Unterauftragnehmern verarbeitet oder gespeichert werden, besser zu schützen. Die CMMC-Zertifizierung ist für DoD-Verträge erforderlich und soll eine zusätzliche Sicherheitsebene für sensible Daten und Informationssysteme bieten. CMMC ist darauf ausgelegt, den Bedarf an zusätzlichen Sicherheitskontrollen für DoD-Auftragnehmer und -Lieferanten zu adressieren, die mit Controlled Unclassified Information (CUI) umgehen.

Der Hauptunterschied zwischen dem CMMI und CMMC liegt im Zweck jeder Zertifizierung. CMMI ist ein Ansatz zur Prozessverbesserung, der verwendet wird, um organisatorische Prozesse und Leistungen zu verbessern, während CMMC eine Sicherheitszertifizierung ist, die darauf abzielt, unklassifizierte Daten zu schützen, die auf den Netzwerken von DoD-Auftragnehmern und -Unterauftragnehmern gespeichert sind. CMMI ist ein Ansatz zur Prozessverbesserung und CMMC eine Sicherheitszertifizierung.

Verteidigungsunternehmer sollten sowohl CMMI als auch CMMC befolgen, um die Sicherheit ihrer Systeme zu erhöhen und sicherzustellen, dass sie mit allen relevanten Vorschriften des DoD konform sind. CMMI hilft Auftragnehmern, ihre Prozesse besser zu verwalten und zu verbessern, während CMMC ihre Netzwerke und unklassifizierten Daten schützt. Darüber hinaus bietet CMMC auch eine Grundlage zur Bestimmung, ob ein Verteidigungsunternehmer seinen vertraglichen Verpflichtungen nachkommt. Durch die Befolgung von sowohl CMMI als auch CMMC können Verteidigungsunternehmer ihre Netzwerke, Daten und Systeme schützen und ihren Ruf wahren.

Was ist CMMC 2.0?

Im November 2021 überarbeitete das DoD die Anforderungen basierend auf Rückmeldungen von Partnerorganisationen und Unternehmen, die den C3PAO-Zertifizierungsprozess durchlaufen. Ihr Ziel mit dieser Überarbeitung war es, das Framework zu straffen, um es für alle Beteiligten weniger kostspielig und zeitaufwendig zu machen, ohne die Wirksamkeit zu opfern.

Die vorgeschlagenen Änderungen in der Version 2.0 umfassen Folgendes:

  • Reduzierung der Reifegrade von fünf auf drei: Unter 2.0 wird das neue Modell nur drei Reifegrade umfassen. Stufe 1 bleibt das Minimum für den Umgang mit FCI und erfordert 17 Praktiken aus NIST 800-171. Stufe 2 wird das Mindestniveau für das Management von CUI sein und repräsentiert eine Fusion der ursprünglichen zweiten und dritten Stufe mit insgesamt 110 erforderlichen Praktiken. Schließlich wird Stufe 3 110+ erforderliche Praktiken umfassen (bestimmt durch die Bedürfnisse der Kundenbehörde).
  • Nur begrenzte Anforderungen für C3PAOs: Anstatt für alle Auftragnehmer einen C3PAO zu fordern, erfordert die Version 2.0 nur ein dreijähriges Audit durch Dritte für die Zertifizierung auf den Stufen 2 und 3. Auftragnehmer, die eine Zertifizierung der Stufe 1 anstreben (und eine begrenzte Anzahl derer, die spezifische Zertifizierungen der Stufe 2 suchen), können sich für eine jährliche Selbstbescheinigung entscheiden.
  • Plan of Action and Milestones: Einige andere Rahmenwerke boten die Option für auditierte Auftragnehmer, am Ende ihrer Audits einen POA&M einzureichen. Angenommen, ihr Auditor stellte fest, dass der Vertrag nicht vollständig konform war, aber in einem angemessenen Zeitrahmen mit relativ einfachen Änderungen konform sein könnte. In diesem Fall könnten sie den Auftragnehmer mit einem abgeschlossenen und verbindlichen POA&M autorisieren. CMMC 1.0 erlaubte diesen Ansatz nicht – der Auftragnehmer musste vollständig konform sein, um die Zertifizierung zu erhalten. Unter Version 2.0 wird das DoD POA&Ms unter bestimmten Bedingungen zulassen.

Das CMMC 2.0 Modell ist derzeit nur eine Veröffentlichung und durchläuft Überprüfungs- und Regelungsprozesse. Es wird erwartet, dass dieser Prozess in 9–24 Monaten abgeschlossen ist. In der Zwischenzeit ehrt und operiert das CMMC-AB weiterhin unter den Audits und Zertifizierungen der Version 1.0.

Was ist eine zertifizierte Drittprüferorganisation?

Das andere wichtige Update von CMMC 1.0 ist die Anforderung einer Drittprüfung durch eine zertifizierte Drittprüferorganisation (C3PAO).

C3PAOs sind entscheidende Sicherheitsfirmen in der Verteidigungscybersicherheit, die eine Akkreditierung von der CMMC-Akkreditierungsstelle (CMMC-AB) erhalten haben, um Audits bei Verteidigungsunternehmern durchzuführen. Jede Organisation, die mit anderen Sicherheitsrahmen wie FedRAMP vertraut ist, wird diesen Prozess sofort erkennen. CMMC entlehnt einen Teil seines Auditprozesses von denselben Dokumenten, nämlich NIST 800-53 und FIPS 140-2.

Einer der Nachteile der Zusammenarbeit mit einem C3PAO ist, dass sie nicht gleichzeitig als Berater für Ihre Organisation tätig sein können. Deshalb gibt es unter den Vorschriften eine sekundäre Bezeichnung – die Registered Provider Organization. Ein RPO kann Beratung, Empfehlungen und Ratschläge an Kunden geben, die sich auf ihre Compliance-Reise vorbereiten. Dieselbe Sicherheitsfirma kann nie sowohl als RPO als auch als C3PAO für eine einzelne Organisation fungieren.

Best Practices für die CMMC-Zertifizierung

Die folgenden sind nur einige Best Practices, um Verteidigungsunternehmern den CMMC-Zertifizierungsprozess zu erleichtern:

  • Nutzen Sie den Marktplatz: Die Cyber AB-Website beinhaltet einen Marktplatz sowohl für RPOs als auch für C3PAOs (auch solche, die sich gerade in ihrer eigenen Zertifizierung befinden). Wählen Sie potenzielle Partner immer von dieser Seite aus, einer echten, authentifizierten und legitimen Quelle für renommierte Sicherheitsfirmen auf diesem Markt.
  • Arbeiten Sie mit konformer Technologie: Höchstwahrscheinlich arbeiten Unternehmen mit einem Cloud-Anbieter, Managed Service Provider oder Dateimanagement-Anbieter als Teil ihrer Operationen. Die Einhaltung der Compliance erfordert, dass Unternehmen ihre Anbieter überprüfen und nur mit solchen arbeiten, die zertifizierte Technologie haben oder unterstützen können.
  • Arbeiten Sie mit einem RPO: Machen Sie es sich nicht schwerer als nötig. Während ein C3PAO bei Ihrem Audit helfen kann, kann ein RPO auf Weisen vorbereiten, die ein C3PAO nicht kann. Erkunden Sie RPO und CMMC-Beratungsdienste, wenn Sie mit Compliance-Bemühungen beginnen.
  • Machen Sie sich bereit für Version 2.0: Wenn Sie jetzt bereits mit CMMC arbeiten, dann werden Sie unter den aktuellen Vorschriften zertifiziert und in CMMC 2.0 übernommen. Das Verteidigungsministerium bereitet bereits den Übergang vor, aber in der Zwischenzeit ist es am besten, jetzt schon zu wissen, welche Verpflichtungen Sie unter einem neuen Rahmenwerk haben werden.

Das CMMC-Framework: Kritische Compliance für die nationale Verteidigung

Das CMMC-Framework, oder die Cybersecurity Maturity Model Certification, ist eine wesentliche Komponente für jeden Auftragnehmer innerhalb der Lieferkette der Verteidigungsindustrie, um sicherzustellen, dass ihre Technologie, Prozesse, Personal und der gesamte Betrieb strengen Cybersicherheitsstandards entsprechen. CMMC sollte als (viel) mehr als eine regulatorische Hürde betrachtet werden; es verkörpert ein umfassendes Sicherheitsprotokoll, das die Cybersicherheitsverteidigung, -ressourcen und -reife eines Unternehmens verbessert. Die Einhaltung des CMMC-Frameworks erfüllt nicht nur eine kritische Anforderung, sondern stärkt auch erheblich die Cybersicherheitsposition eines Unternehmens und sichert seine Stellung innerhalb der Lieferkette des Verteidigungssektors.

Das KiteworksPrivate Content Network, eine nach FIPS 140-2 Level validierte sichere Plattform für Dateiaustausch und Dateiübertragung, konsolidiert E-Mail, Filesharing, Web-Formulare, SFTP, Managed File Transfer, und Lösung für das Management digitaler Rechte der nächsten Generation, damit Organisationen kontrollieren, schützen, und verfolgen jede Datei, die in das Unternehmen ein- und austritt.

Kiteworks unterstützt fast 90% der Anforderungen von CMMC 2.0 Level 2 direkt ab WerkDadurch können Auftragnehmer und Unterauftragnehmer des DoD ihren Akkreditierungsprozess für CMMC 2.0 Level 2 beschleunigen, indem sie sicherstellen, dass sie die richtige Plattform für die Kommunikation sensibler Inhalte haben.

Mit Kiteworks vereinigen DoD-Auftragnehmer und -Unterauftragnehmer ihre Kommunikation sensibler Inhalte in einem dedizierten Private Content Network, nutzen automatisierte Richtlinienkontrollen und verfolgen Cybersecurity-Protokolle, die mit den CMMC 2.0-Praktiken übereinstimmen.

Kiteworks ermöglicht eine schnelle CMMC 2.0-Compliance mit Kernfunktionen und -merkmalen einschließlich:

  • Zertifizierung mit wichtigen Compliance-Standards und -Anforderungen der US-Regierung, einschließlich SSAE-16/SOC 2, NIST SP 800-171 und NIST SP 800-172
  • FIPS 140-2 Level 1 Validierung
  • FedRAMP-Zertifizierung für Moderate Impact Level CUI
  • AES 256-Bit-Verschlüsselung für Daten im ruhenden Zustand, TLS 1.2 für Daten während der Übertragung und alleiniger Besitz des Verschlüsselungsschlüssels

KiteworksBereitstellungsoptionenumfassen On-Premises, gehostet, privat, hybrid undFedRAMPvirtuelle private Cloud. Mit Kiteworks: Zugriff auf sensible Inhalte kontrollieren; diese schützen, wenn sie extern geteilt werden, unter Verwendung vonautomatisierter Ende-zu-Ende-Verschlüsselung, Multi-Faktor-Authentifizierung und Sicherheitsinfrastruktur-Integrationen; sehen, verfolgen und berichten Sie alle Dateiaktivitäten, nämlich wer was an wen sendet, wann und wie. Schließlich die Einhaltung von Vorschriften und Standards wie DSGVO, HIPAA, CMMC, Cyber Essentials Plus, IRAP und vielen weiteren nachweisen.

Um mehr über Kiteworks und die CMMC-Zertifizierung zu erfahren, vereinbaren Sie heute eine individuelle Demo.

Zurück zum Risiko- & Compliance-Glossar

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Explore Kiteworks