Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Voldoen aan de FedRAMP Matige Gelijkwaardigheidseis van CMMC

Bescherm CUI door loze gelijkwaardigheidsclaims van leveranciers te vermijden

Wat is DFARS 7012 en waarom is het belangrijk voor CMMC-naleving?

DFARS 7012, of Defense Federal Acquisition Regulation Supplement Clause 252.204-7012, is een reeks cyberbeveiligingsvereiste voor aannemers die werken met het Amerikaanse ministerie van Defensie (DoD). Het richt zich op het beschermen van gecontroleerde, niet-geclassificeerde informatie (CUI) en is gebaseerd op de NIST SP 800-171-standaard. CMMC 2.0, of Cybersecurity Maturity Model Certification, is daarentegen een raamwerk dat de volwassenheid en gereedheid van de cyberbeveiliging van een bedrijf meet om met het DoD samen te werken. De relatie tussen DFARS 7012 en CMMC 2.0 is dat ze met elkaar verbonden zijn. Terwijl DFARS 7012 zich richt op specifieke beveiligingsmaatregelen voor het beschermen van CUI, bouwt CMMC 2.0 voort op DFARS en voegt volwassenheidsniveaus toe om de mate van cyberbeveiligingsvoorbereiding van een organisatie te classificeren. CMMC 2.0 omvat alle vereiste van DFARS 7012 en gaat verder door volwassenheidsniveaus en een formeel beoordelingsproces door derden toe te voegen. Daarom moeten aannemers voldoen aan zowel DFARS 7012 als de specifieke vereiste voor hun CMMC-volwassenheidsniveau, waarbij CMMC 2.0 in feite het DFARS 7012-raamwerk omvat en uitbreidt.

Belangrijkste Oplossingen

  • FedRAMP Matige Autorisatie
  • FIPS-140 conform
  • Granulaire beleidscontroles
  • 3PAO-beveiligingsbeoordelingen
PDF DOWNLOADEN

Voor CMMC-naleving vereist DFARS 7012, met name paragraaf (D), dat als een aannemer van plan is een externe cloudserviceprovider (CSP) te gebruiken voor het verwerken van beschermde informatie over defensie (CDI), de CSP moet voldoen aan beveiligingsvereiste die gelijkwaardig zijn aan de FedRAMP Matige basislijn en moet voldoen aan specifieke beveiligingsmaatregelen zoals beschreven in paragrafen (c) tot en met (g) van de clausule. Dit betekent dat de aannemer verantwoordelijk is voor het waarborgen dat de CSP aan deze beveiligingsstandaarden voldoet bij het verwerken van CDI. CMMC 2.0 omvat alle vereiste van DFARS 7012 en gaat verder door volwassenheidsniveaus en een formeel beoordelingsproces door derden toe te voegen. Daarom moeten aannemers voldoen aan zowel DFARS 7012 als de specifieke vereiste voor hun CMMC-volwassenheidsniveau, waarbij CMMC 2.0 in feite het DFARS 7012-raamwerk omvat en uitbreidt.

Het is belangrijk om duidelijk te begrijpen wat “gelijkwaardig” betekent om daadwerkelijk als gelijkwaardig te worden beschouwd. Gelukkig heeft het DoD onlangs de FedRAMP Equivalency Memo uitgebracht, die richtlijnen en verduidelijkingen geeft over wat gelijkwaardig inhoudt. Volgens de memo moeten CSO’s om als FedRAMP Matig gelijkwaardig te worden beschouwd, 100% naleving bereiken van de meest recente FedRAMP Matige beveiligingscontrolebasis via een beoordeling uitgevoerd door een door FedRAMP erkende Third Party Assessment Organization, een bewijslast aan de aannemer leveren (inclusief het Systeembeveiligingsplan, Beveiligingsbeoordelingsplan, Beveiligingsbeoordelingsrapport uitgevoerd door de 3PAO, en Actieplan en Mijlpalen), en voldoen aan de DFARS 252.204-7012-vereiste voor rapportage van cyberincidenten, kwaadaardige software, mediabewaring en -bescherming, toegang tot aanvullende informatie en apparatuur die nodig is voor forensische analyse, en schadebeoordeling van cyberincidenten.

Voldoen aan de FedRAMP-gelijkwaardigheidseis van CMMC

Met deze verduidelijking zijn er drie vragen die u aan uw CSP-provider moet stellen om te waarborgen dat zij voldoen:

  1. Heeft u een beoordeling laten uitvoeren door een door FedRAMP erkende Third Party Assessment Organization? Als zij dit niet kunnen, worden zij niet daadwerkelijk als gelijkwaardig beschouwd.
  2. Kunt u een bewijslast van deze beoordeling overleggen (inclusief het Systeembeveiligingsplan, Beveiligingsbeoordelingsplan, Beveiligingsbeoordelingsrapport uitgevoerd door de 3PAO, en Actieplan en Mijlpalen)? Als zij dit niet kunnen, worden zij niet daadwerkelijk als gelijkwaardig beschouwd.
  3. Kunt u aantonen hoe u voldoet aan de DFARS 252.204-7012-vereiste voor rapportage van cyberincidenten, kwaadaardige software, mediabewaring en -bescherming, toegang tot aanvullende informatie en apparatuur die nodig is voor forensische analyse, en schadebeoordeling van cyberincidenten? Als zij dit niet kunnen, worden zij niet daadwerkelijk als gelijkwaardig beschouwd.

Voor aannemers die gevoelige overheidsgegevens verwerken en streven naar naleving van strenge defensie-cyberbeveiligingsregelgeving, kan het valideren van de juiste beveiligingsmogelijkheden een zware opgave zijn. Door echter samen te werken met partners die al grondige certificeringen zoals FedRAMP Matige Autorisatie hebben behaald, kunnen organisaties hun beveiligingsstatus efficiënt verifiëren in plaats van uitgebreide onafhankelijke controle-evaluaties uit te voeren. Met een lange geschiedenis van nalevingscertificeringen zoals FedRAMP, FIPS en SOC 2 stelt Kiteworks aannemers in staat om snel te voldoen aan standaarden zoals DFARS 7012 en CMMC 2.0, waardoor aanbestedingen worden versneld en risico’s van niet-conforme “gelijkwaardige” partners worden vermeden. Dankzij uitgebreide functionaliteiten die zijn beveiligd via continue onafhankelijke tests en audits, stellen de oplossingen van Kiteworks aannemers in staat om met vertrouwen aan DoD-vereiste te voldoen en tegelijkertijd de gegevensbescherming te versterken door gebruik te maken van een volwassen, beproefd platform.

 

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks