Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

DMARC

Startpagina Woordenlijst DMARC

Het Department of Defense (DoD) is verantwoordelijk voor het waarborgen van de bescherming van de Verenigde Staten tegen externe en interne bedreigingen, het handhaven van wettige en effectieve militaire operaties, en het ontwikkelen en behouden van het vermogen van de Verenigde Staten om alle noodzakelijke militaire missies uit te voeren ter bescherming van het land. Deze verantwoordelijkheden omvatten ook het opstellen van nationaal veiligheidsbeleid en toezicht, het reageren op nationale veiligheidsdreigingen, en het beheren van onderzoek en ontwikkeling van nieuwe technologieën.

Het DoD kan deze taken niet in isolatie uitvoeren; het vertrouwt op meer dan 300.000 aannemers en onderaannemers voor ondersteuning. Dit uitgebreide netwerk in de toeleveringsketen wordt de Defense Industrial Base (DIB) genoemd. Gezien het gevoelige karakter van het werk van het DoD is het essentieel dat de aannemers in de DIB beschikken over de juiste cyberbeveiligingstools om de gevoelige informatie die zij met het DoD delen te beschermen. Als reactie hierop heeft het DoD het Cybersecurity Maturity Model Certification (CMMC) ontwikkeld om de vertrouwelijkheid van deze informatie te waarborgen. CMMC is bedoeld om beveiligingsmaatregelen rond de DIB-toeleveringsketen op te bouwen door de beveiliging van netwerken en systemen van defensie-aannemers te beoordelen en zo naleving van overheidsnormen voor gegevensbeveiliging te verzekeren.

DMARC

Inzicht in het Department of Defense en CMMC

De DIB van het DoD is een vitaal ecosysteem dat bestaat uit bedrijven uit de private sector die het DoD in staat stellen haar doelen te bereiken. Het levert essentiële materialen, componenten en diensten. Hieronder volgt een kort overzicht van enkele producten en diensten die door de DIB worden geleverd:

  1. Militaire vliegtuigen: Productie, modificatie en onderhoud van militaire vliegtuigen, waaronder transport-, gevechts- en verkenningsvliegtuigen.
  2. Geleidings- en navigatiesystemen: Ontwerp en productie van geleidings- en navigatiesystemen voor oorlogsplatforms, inclusief niet-GPS-gebaseerde traagheidsnavigatiesystemen.
  3. Wapensystemen: Productie, onderhoud en ondersteunende diensten voor wapensystemen zoals raketten, artillerie, torpedo’s, bommen en elektronische tegenmaatregelen.
  4. Communicatiesystemen: Ontwerp en productie van communicatiesystemen voor zowel operationele als inlichtingen-netwerken.
  5. Logistiek en ondersteunende diensten: Levering van logistieke en ondersteunende diensten, zoals opslag, transport, supply chain management en personeelsondersteuning.
  6. Onbemande platforms: Ontwerp, productie en onderhoud van onbemande platforms zoals drones, robots en autonome onderwatervoertuigen.
  7. Cybersecurity-oplossingen: Ontwerp en implementatie van cybersecurity-oplossingen, waaronder firewalls, malwarebescherming en netwerkbeveiligingsmonitoring.
  8. Scheepsbouw en reparatie: Ontwerp, bouw en onderhoud van zowel militaire als civiele vaartuigen.
  9. Training en simulatie: Levering van trainings- en simulatie-diensten voor militair personeel, evenals logistieke en missiesupport.
  10. Onderzoek en ontwikkeling: Onderzoek en ontwikkeling van opkomende oorlogsvoeringstechnologieën, waaronder kunstmatige intelligentie, biometrie en robotica.

CMMC 2.0 stelt een reeks maatregelen vast voor DoD-leveranciers om hun netwerken en gegevens te beschermen tegen kwaadwillende en accidentele bedreigingen. Het certificeringsschema is een raamwerk met drie niveaus dat de beveiligingspraktijken en -capaciteiten van organisaties binnen de DIB evalueert. Bedrijven die CMMC-gecertificeerd willen worden, moeten voldoen aan de criteria van een van de drie niveaus, afhankelijk van de complexiteit van hun activiteiten en de gevoeligheid van de informatie waarover zij beschikken.

CMMC Level 1 legt basisbeveiligingsvereisten op aan organisaties, zoals het correct beveiligen van fysieke toegang tot gevoelige informatie en het gebruik van goede wachtwoordbeheerprocessen. CMMC Level 2 omvat aanvullende controles, zoals het identificeren van gebruikersrollen en het toewijzen van privileges, en het waarborgen dat toegang alleen wordt verleend aan degenen die het nodig hebben. CMMC Level 3 bevat de strengste cybersecurity-vereisten, waaronder geavanceerde detectie en reactie op bedreigingen, en is voorbehouden aan organisaties die werken met Controlled Unclassified Information (CUI).

Wat is Controlled Unclassified Information (CUI)

CUI verwijst naar informatie die door het DoD als gevoelig wordt beschouwd, maar niet als geclassificeerd. CUI omvat informatie die wordt gereguleerd of beperkt door zowel federale als niet-federale wetten en regelgeving. Voorbeelden van CUI zijn eigendomsinformatie, vertrouwelijke bedrijfsinformatie of door de overheid beheerde informatie.

 

CMMC vs. NIST SP 800-171

CMMC 2.0 Level 2 sluit aan bij de praktijkvereisten in NIST 800-171, een lijst van 110 praktijkcontroles waarmee overheidsaannemers die CUI verwerken moeten voldoen. In vergelijking met de NIST Special Publication (SP) 800-171 is CMMC 2.0 Level 2 grondiger en vereist het meer diepgaande en betrouwbare evaluaties die niet beschikbaar zijn bij de NIST SP 800-171. CMMC 2.0 Level 2 vereist dat organisaties geavanceerde cybersecurity-praktijken implementeren, zoals encryptie, kwetsbaarheidsbeheer en incidentrespons. NIST 800-171 vereist daarentegen alleen de implementatie van basis cybersecurity-praktijken. CMMC 2.0 vereist ook dat organisaties bewijs leveren van naleving van het raamwerk. Organisaties moeten hun implementatie van de verschillende vereisten en controles documenteren en hun nalevingsdocumentatie indienen bij het DoD. De NIST 800-171 vereist niet hetzelfde niveau van documentatie. Organisaties hoeven er alleen voor te zorgen dat hun gegevensbeveiligingspraktijken aan de vereisten voldoen.

CMMC 2.0 Level 2 is een effectief instrument om de beveiliging in de DoD-toeleveringsketen te verhogen, omdat het aannemers verplicht hun beveiligingspraktijken voortdurend te actualiseren en ervoor te zorgen dat ze voldoen aan de hoogste beveiligingsnormen. Dit helpt ervoor te zorgen dat CUI veilig blijft en niet in gevaar komt. Bovendien stelt het het DoD in staat om beter inzicht te krijgen in de beveiligingsmaatregelen die hun aannemers nemen, zodat ze erop kunnen vertrouwen dat ze samenwerken met organisaties die CUI kunnen beschermen op het juiste beveiligingsniveau.

Inzicht in de drie CMMC 2.0-niveaus

CMMC 2.0-niveaus variëren van basis tot expert, en elk niveau vereist strengere beveiligingsmaatregelen dan het vorige niveau. Hierdoor worden aannemers gedwongen een proactievere benadering van beveiliging en risicobeheer te hanteren. Deze moeten worden geïntegreerd als onderdeel van de strategie voor risicobeheer cyberbeveiliging van een organisatie.

CMMC 2.0 Level 1 vereist dat organisaties basisbeveiligingsmaatregelen instellen. Dit omvat fysieke beveiliging, toegangscontrole, systeeminventarisatie, gegevensbescherming en incidentrespons. Organisaties moeten ook voldoen aan NIST SP 800-171-vereisten, zoals encryptie en gebruikersauthenticatie.

CMMC 2.0 Level 2 vereist dat organisaties een meer uitgebreide set beveiligingsmaatregelen hebben. Dit omvat niet alleen de vereisten van Level 1, maar ook meer gedetailleerd beleid en procedures, zoals het beperken van toegang tot gevoelige systemen en gegevens, het identificeren van gebruikersrollen en het toewijzen van privileges, en het bijhouden van een inventaris van systeemassets. Organisaties moeten ook voldoen aan NIST SP 800-171-vereisten, zoals het voorkomen van ongeautoriseerde toegang en het authenticeren van gebruikers.

CMMC 2.0 Level 3 is het hoogste certificeringsniveau en sluit aan bij NIST SP 800-172. Organisaties moeten risicogebaseerde beveiligingsmaatregelen implementeren en meer geavanceerde gegevensbeveiligingscontroles instellen, zoals geavanceerde detectie en reactie op bedreigingen. Ze moeten er ook voor zorgen dat al het personeel, onderaannemers en leveranciers voldoen aan de CMMC-vereisten. Organisaties moeten ook voldoen aan NIST SP 800-171-vereisten, zoals encryptie en gebruikersauthenticatie.

Inzicht in CMMC-vereisten

Inzicht in CMMC-vereisten is essentieel voor elke organisatie die momenteel met het DoD werkt of dat in de toekomst wil doen. Inzicht in CMMC-vereisten kan helpen ervoor te zorgen dat de systemen van aannemers voldoen aan de beveiligingsmaatregelen die nodig zijn om gevoelige operaties uit te voeren.

Om te zorgen voor naleving van de diverse CMMC-vereisten, moeten DoD-aannemers hun bestaande cyberbeveiligingspraktijken en -processen in kaart brengen. Veel organisaties hebben gebruikgemaakt van een C3PAO (CMMC Organisatie van derde beoordelaars), die een beoordeling geeft van het nalevingsniveau van een aannemer, advies geeft over verbeterpunten en helpt bij het ontwikkelen en uitvoeren van een goedgekeurd CMMC-actieplan. Voor DoD-aannemers die sterk afhankelijk zijn van gegevensdeling, kan ook een Private Content Network worden ingezet om het proces van het behalen van CMMC-naleving te vereenvoudigen en te versnellen.

DoD-aannemers moeten zich ook bewust zijn van de mogelijke sancties die zij kunnen krijgen als zij niet aan de noodzakelijke CMMC-vereisten voldoen. Dit omvat boetes, schorsing van contracten of in extreme gevallen verlies van contracten en het recht om op nieuwe DoD-contracten te bieden. Het is belangrijk voor DoD-aannemers om de gevolgen van het niet voldoen aan CMMC-vereisten te begrijpen, zodat ze zich adequaat kunnen voorbereiden en langetermijnmaatregelen kunnen implementeren om aan de CMMC-vereisten te voldoen.

Voordelen van CMMC-certificering

CMMC-certificering stelt het DoD gerust dat de aannemers waarmee zij samenwerken, betrouwbare partners zijn omdat zij voldoen aan de strenge cybersecurity-vereisten van het DoD. Omdat het CMMC-raamwerk vereist dat DoD-aannemers robuuste beveiligingsmaatregelen implementeren, behalen aannemers die CMMC-certificering behalen een competitief voordeel op de bredere (private sector) markt. CMMC-certificering stelt een beveiligingsbasislijn vast in de DoD-toeleveringsketen op basis van het type privégegevens dat zij verzenden, delen, ontvangen en opslaan. Aannemers die CMMC-certificering hebben behaald (vooral Level 2 en Level 3) hebben doorgaans een sterkere beveiligingsstatus, wat zou moeten helpen om cyberaanvallen, datalekken, nalevingsschendingen en andere potentiële cyberbeveiligingsbedreigingen te voorkomen.

CMMC-certificering helpt aannemers ook bij het opbouwen van een sterke merknaam en het vergroten van het vertrouwen van klanten. Certificering kan ook juridische en contractuele voordelen bieden voor aannemers, waaronder toegang tot aantrekkelijkere of lucratievere contracten en andere belangrijke voordelen. Uiteindelijk genieten DoD-aannemers die CMMC-certificering behalen veel zakelijke voordelen.

Het behalen van CMMC-certificering

Organisaties die gecertificeerd willen worden op een van de drie CMMC-niveaus, moeten eerst zorgen dat zij aan alle vereisten van dat niveau voldoen. Dit omvat het implementeren van de beveiligingsmaatregelen die zijn gespecificeerd in de CMMC 2.0-praktijkcontroles. (Let op: bedrijven die aantonen te voldoen aan de CMMC 2.0 Level 2-praktijkvereisten voldoen niet automatisch aan NIST 800-171.)

Zodra een bedrijf aan de vereisten voor CMMC Level 2 en Level 3 heeft voldaan via zelfattestatie, moet het bedrijf vervolgens certificering aanvragen bij een CMMC-geaccrediteerde derde partij certificeringsinstantie (C3PAO). Het certificeringsproces omvat het beoordelen van de beveiligingsmaatregelen van het bedrijf en het bepalen of het bedrijf voldoet aan de vereisten van het gewenste certificeringsniveau. Als het bedrijf aan de vereisten voldoet, ontvangt het de juiste CMMC-certificering.

Bedrijven die CMMC-certificering willen behalen, ondervinden vaak uitdagingen tijdens het certificeringsproces. Deze uitdagingen omvatten moeite met het begrijpen van CMMC-vereisten en moeite met het implementeren van de vereiste beveiligingsmaatregelen. Bedrijven kunnen deze uitdagingen vaak overwinnen door een CMMC-gecertificeerde adviseur te raadplegen of samen te werken met een CMMC-geaccrediteerde derde partij die gespecialiseerd is in het leveren van CMMC-gerelateerde diensten.

Kiteworks helpt organisaties bij het behalen van CMMC-naleving

Kiteworks ondersteunt bijna 90% van de CMMC 2.0 Level 2-vereisten direct. Het Kiteworks Private Content Network verenigt e-mail, bestandsoverdracht, beheerde bestandsoverdracht (MFT), webformulieren en application programming interfaces (API’s) in één platform met geautomatiseerde beleidscontroles en tracking die aansluiten bij de CMMC 2.0 Level 2-praktijken.

Het Kiteworks Private Content Network versnelt CMMC-certificering voor DoD-leveranciers. Enkele van de belangrijkste mogelijkheden van het platform zijn onder andere:

  • Beveiliging op ondernemingsniveau zoals bestandniveau TLS 1.2-encryptie tijdens verzending en AES 256-bit encryptie in rust
  • Zelfstandige, vooraf geconfigureerde hardened virtual appliance geoptimaliseerd voor beveiliging
  • FedRAMP-geautoriseerd voor Matige Impact Level
  • FIPS 140-2 gevalideerd
  • SOC 2 Level 1-attestatie en maakt SOC 2-certificering mogelijk
  • ISO 27001, 27017 en 27018 gecertificeerd
  • Naleving van NIST SP 800-171, NIST SP 800-172, FISMA en anderen

Kiteworks biedt daarnaast huidige en toekomstige DoD-aannemers en onderaannemers volledige controle en zichtbaarheid over de CUI die wordt verzonden, ontvangen, gedeeld of opgeslagen. Kiteworks stelt organisaties bijvoorbeeld in staat om granulaire beleidscontroles toe te passen, beveiligingsbeleid te standaardiseren over alle communicatiekanalen en zelfs rolgebaseerde machtigingen voor externe gebruikers te definiëren.

Daarnaast biedt Kiteworks een realtime en historisch overzicht van alle inkomende en uitgaande bestandsbewegingen en registreert deze activiteiten, namelijk wie wat naar wie, wanneer en waar verzendt, waardoor een uitgebreide audittrail ontstaat. Volledige controle en zichtbaarheid van de inhoud die de organisatie binnenkomt en verlaat, stelt DoD-aannemers in staat om naleving van privacywetgeving wereldwijd aan te tonen, waaronder maar niet beperkt tot de General Data Protection Regulation (GDPR), Health Insurance Portability and Accountability Act (HIPAA), California Consumer Privacy Act (CCPA), Information Security Registered Assessors Program (IRAP), Personal Information Protection and Electronic Documents Act (PIPEDA) en vele anderen.

Wil je het Kiteworks-platform in actie zien en ontdekken hoe het jouw CMMC-nalevingstraject kan versnellen? Plan vandaag nog een aangepaste demo.

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks