CMMC en NIST 800-171 vereisten
CMMC en NIST 800-171 zijn twee compliance-raamwerken die steeds belangrijker worden in de Verenigde Staten, met name voor bedrijven die met de overheid werken of gevoelige informatie verwerken. Op deze woordenlijstpagina geven we een uitgebreid overzicht van beide raamwerken, leggen we de belangrijkste verschillen uit en bespreken we de vereiste om aan te tonen dat aan elk raamwerk wordt voldaan.
Wat zijn CMMC en NIST 800-171 raamwerken?
Het Cybersecurity Maturity Model Certification (CMMC) raamwerk is ontworpen om de beveiliging van Controlled Unclassified Information (CUI) en Federal Contract Information (FCI) in de toeleveringsketen van het Department of Defense (DoD) te waarborgen. Het is grotendeels gebaseerd op de NIST 800-171 normen en is onderverdeeld in drie niveaus. Niveau 1 (Foundational) vereist de implementatie van basismaatregelen voor cyberbeveiliging en het voorkomen dat FCI ongeautoriseerd wordt benaderd, gebruikt of openbaar gemaakt. Niveau 2 (Advanced) kent strengere vereiste en richt zich op het implementeren van meer geavanceerde cyberbeveiligingsmaatregelen. Niveau 3 (Expert) biedt het hoogste beveiligingsniveau voor DoD-contracten en vereist de implementatie van geavanceerde cyberbeveiligingspraktijken en -mogelijkheden.
Het NIST 800-171 raamwerk is een set beveiligingsnormen die zijn ontwikkeld door het National Institute of Standards and Technology. Het is bedoeld om Controlled Unclassified Information (CUI) te beschermen tegen ongeautoriseerde toegang, gebruik of openbaarmaking. Het raamwerk is verdeeld in 14 families, elk gericht op een ander aspect van gegevensbeveiliging. De eerste vier families richten zich op het creëren van een veilige omgeving, het beschermen van de activa van de organisatie, het waarborgen van personeelsbeveiliging en het beheren van toegangscontroles. De overige 10 families behandelen diverse aspecten van gegevensbeveiliging, zoals authenticatie en autorisatie, reactie op incidenten, configuratiebeheer en fysieke en omgevingsbeveiliging.
Hoe vergelijken de CMMC en NIST 800-171 vereiste en controles?
Beide, CMMC en NIST 800-171, bieden organisaties een raamwerk om hun beveiligingsstatus te beoordelen, evenals aanbevelingen voor het implementeren van processen en controles om hun systemen beter te beschermen. Beide regelgeving helpen organisaties door minimale beveiligingsvereiste vast te stellen waaraan moet worden voldaan om compliant te zijn. De controles voor CMMC 2.0 Level 2 zijn afgestemd op NIST 800-171, dat beveiligingscontroles groepeert in 14 domeinen.
Beide regelgeving leggen sterk de nadruk op het documenteren van de beveiligingsstatus van een bedrijf en bieden uitgebreide begeleiding bij het kiezen van de juiste technologieën, beleid en beste practices. NIST 800-171 biedt meer gedetailleerde instructies over hoe specifieke beveiligingscontroles moeten worden geïmplementeerd, terwijl CMMC een meer holistische benadering hanteert en geen specifieke technologieën of procedures voorschrijft. Beide regelgeving richten zich ook op het beschermen van Controlled Unclassified Information (CUI) en Audit en Accountability-standaarden, evenals het ondersteunen van organisaties bij het opstellen van Identity and Access Management-beleid. Beide regelgeving bevatten ook strikte vereiste voor derde partijen en aannemers.
In het volgende gedeelte bekijken we de CMMC 2.0-niveaus en NIST 800-171 vereiste in detail.
CMMC 2.0-niveaus en vereiste
CMMC 2.0 is een certificeringssysteem met drie niveaus, ontworpen om Controlled Unclassified Information (CUI) te beschermen. De drie niveaus van CMMC 2.0 zijn Foundational (Level 1), Advanced (Level 2) en Expert (Level 3).
CMMC Level 1 (Foundational) is gelijk aan CMMC 1.02 Level 1. De 17 controles voor Foundational richten zich op het beschermen van informatiesystemen van aannemers, voornamelijk door de toegang te beperken tot geautoriseerde gebruikers. Dit niveau biedt basisbescherming van aannemersinformatie en is alleen van toepassing op organisaties die Federal Contract Information (FCI) verwerken.
CMMC Level 2 (Advanced) is gelijk aan CMMC 1.02 Level 3 en omvat alle 14 domeinen en 110 beveiligingscontroles uit NIST SP 800-171. Dit niveau is bedoeld voor bedrijven die met CUI werken.
CMMC Level 3 (Expert) is van toepassing op bedrijven die CUI verwerken voor DoD-programma’s met de hoogste prioriteit. Het vereist de 110 controles uit NIST SP 800-171, aangevuld met een subset van NIST SP 800-172-controles. Dit niveau is bedoeld om de kwetsbaarheid van een systeem voor Advanced Persistent Threats (APT’s) te verminderen.
NIST 800-171 vereiste families
De 14 vereiste families van NIST 800-171 vormen de basis voor het creëren van een veilig informatiesysteem voor federale aannemers die CUI verwerken. Deze families bestrijken veel aspecten van het beveiligen van een informatiesysteem, van systeemconfiguratie en toegangscontrole tot monitoring en audit logs. De specifieke vereiste moeten door de aannemer worden geïmplementeerd om compliant te blijven.
NIST 800-171 vereiste familie #1: Toegangscontrole
De vereiste voor Toegangscontrole zijn bedoeld om ongeautoriseerde toegang tot CUI te voorkomen, zodat de informatie beschermd en veilig blijft. Deze familie van vereiste behandelt onderwerpen zoals gebruikersauthenticatie, sessievergrendeling, least privilege, toegangscontrollijsten, accountmonitoring en meer.
NIST 800-171 vereiste familie #2: Audit en Accountability
Deze familie van vereiste zorgt ervoor dat personen en acties kunnen worden herleid tot hun oorsprong. Dit wordt bereikt door gebeurtenissen in het systeem vast te leggen en gebruikersactiviteit in logs bij te houden. Het omvat ook vereiste voor het beoordelen van audit logs en het beschermen van audit logs.
NIST 800-171 vereiste familie #3: Bewustwording en Training
De vereiste voor Bewustwording en Training zijn bedoeld om het belang van beveiliging bij het personeel in het systeem te benadrukken. Dit omvat vereiste om formele training te bieden aan personeel over onderwerpen zoals informatieverwerking, systeembeveiliging en encryptie.
NIST 800-171 vereiste familie #4: Configuratiebeheer
De vereiste voor Configuratiebeheer zijn bedoeld om consistente en veilige systeemconfiguraties in de hele organisatie te waarborgen. Deze familie van vereiste behandelt onderwerpen zoals de veilige basisconfiguratie van systemen en het gebruik van tools voor configuratie-instellingenbeheer.
NIST 800-171 vereiste familie #5: Identificatie en Authenticatie
Deze familie van vereiste richt zich op hoe gebruikers zich authenticeren en toegang krijgen tot het systeem. Het omvat vereiste met betrekking tot gebruikersreferenties, multi-factor authentication, cryptografische modules en meer.
NIST 800-171 vereiste familie #6: Reactie op incidenten
Deze familie van vereiste richt zich op het voorbereiden op, reageren op en herstellen van beveiligingsincidenten die zich kunnen voordoen. Het omvat vereiste met betrekking tot incidentdetectie, indamming, uitroeiing en herstel.
NIST 800-171 vereiste familie #7: Onderhoud
De vereiste voor Onderhoud zijn bedoeld om ervoor te zorgen dat systeemcomponenten regelmatig worden onderhouden om hun beveiliging te vergroten. Deze familie van vereiste omvat controles zoals patching, inventarisatie van software en hardware, en antivirusbescherming.
NIST 800-171 vereiste familie #8: Mediabescherming
Deze familie van vereiste richt zich op het beschermen van media, zoals harde schijven, USB’s en meer. Het omvat vereiste met betrekking tot medialabeling, tracking en sanering.
NIST 800-171 vereiste familie #9: Fysieke beveiliging
De vereiste voor Fysieke beveiliging zijn bedoeld om ervoor te zorgen dat de fysieke omgeving waarin CUI wordt opgeslagen veilig is. Dit omvat vereiste met betrekking tot beveiliging van alternatieve locaties, omgevingsbescherming en toegangscontrole.
NIST 800-171 vereiste familie #10: Risicobeoordeling
De vereiste voor Risicobeoordeling zijn bedoeld om ervoor te zorgen dat risico’s voor het systeem worden geïdentificeerd en aangepakt. Deze familie van vereiste omvat controles zoals kwetsbaarheidsscans, risicobeoordeling en risicobeperking.
NIST 800-171 vereiste familie #11: Systeem- en communicatiebeveiliging
Deze familie van vereiste richt zich op het beschermen van de communicatiekanalen en systemen binnen de organisatie. Het omvat controles zoals encryptie, firewalls, gedemilitariseerde zones en het hardenen van netwerkapparaten.
NIST 800-171 vereiste familie #12: Systeem- en informatie-integriteit
De vereiste voor Systeem- en informatie-integriteit zijn gericht op het beschermen van de integriteit van het systeem en de informatie daarin. Dit omvat vereiste met betrekking tot bescherming tegen kwaadaardige code, bescherming van het bestandssysteem en validatie van informatie-invoer.
NIST 800-171 vereiste familie #13: Systeembeveiligingsplan
Deze familie van vereiste beschrijft de stappen voor het opstellen van een systeembeveiligingsplan voor de bescherming van CUI. Het omvat controles zoals systeemdocumentatie, testen van systeembeveiliging en onderhoud van het plan.
NIST 800-171 vereiste familie #14: Verwerving van systemen en diensten
De vereiste voor Verwerving van systemen en diensten zijn bedoeld om te waarborgen dat alle systemen en diensten veilig worden verworven. Deze familie van vereiste behandelt controles zoals systeem- en dienstvereiste, veilige verwervingspraktijken en het gebruik van CUI door aannemers.
Belangrijkste verschillen tussen CMMC 2.0 en NIST 800-171
De vereiste van de twee raamwerken overlappen deels, maar er zijn enkele belangrijke verschillen. CMMC 2.0 vereist dat organisaties geavanceerde cyberbeveiligingsmaatregelen implementeren, zoals encryptie, kwetsbaarheidsbeheer en reactie op incidenten. Ter vergelijking: NIST 800-171 vereist alleen de implementatie van basismaatregelen voor cyberbeveiliging.
CMMC 2.0 vereist ook dat organisaties bewijs leveren van compliance met het raamwerk. Organisaties moeten hun implementatie van de diverse vereiste en controles documenteren en hun compliance-documentatie indienen bij het DoD. NIST 800-171 vereist niet hetzelfde niveau van documentatie. Organisaties moeten er alleen voor zorgen dat hun gegevensbeveiligingsmaatregelen aan de vereiste voldoen.
Ben ik met CMMC 2.0 automatisch compliant met NIST 800-171?
Voldoen aan CMMC-vereiste garandeert geen compliance met NIST 800-171. CMMC 2.0 is specifiek ontwikkeld voor het Department of Defense (DoD) en is bedoeld om Controlled Unclassified Information (CUI) te beschermen die in handen is van defensie-aannemers.
Hoewel NIST 800-171 ook CUI beschermt, is het een set standaarden die geldt voor alle overheidsaannemers die CUI verwerken. Om compliant te zijn met NIST 800-171 moeten aannemers voldoen aan de specifieke vereiste in alle 14 families; alleen compliance met CMMC is niet voldoende. Hoewel de twee sets standaarden op veel punten overlappen, zijn er ook verschillen. CMMC 2.0 biedt bijvoorbeeld compliance voor kleinere aannemers door de drie beoordelingsniveaus vast te stellen.
Kiteworks voor CMMC 2.0 Level 2 en NIST SP 800-171 compliance
Het Private Content Network biedt overheidsaannemers een veilig platform voor bestandsoverdracht dat CMMC 2.0 Level 2 en NIST SP 800-171 compliance faciliteert. Het is een FedRAMP-geautoriseerde oplossing voor CUI op Matig niveau die gegevens onderweg en in rust versleutelt met respectievelijk TLS 1.2 en AES-256 Encryptie. Kiteworks ondersteunt bijna 90% van de CMMC 2.0 Level 2 vereiste direct en voldoet aan alle beveiligingsvereiste die zijn gespecificeerd in NIST SP 800-171. Kiteworks helpt organisaties ook te voldoen aan andere regelgeving, waaronder ITAR, GDPR, SOC 2 (SSAE-16) en FISMA.
Kiteworks biedt een essentiële laag van beveiliging en governance over de gebruikers en systemen die gevoelige informatie zoals CUI beheren en overdragen. Organisaties die compliance met CMMC 2.0 Level 2 of NIST 800-171 nastreven, kunnen een aangepaste demo van Kiteworks plannen om meer te weten te komen.