Wat te verwachten voorafgaand aan uw CMMC 2.0 Level 2 audit
CMMC-naleving houdt in dat u een grondige CMMC-nalevingsaudit ondergaat (en slaagt). In dit webinar geeft een panel van CMMC-nalevingsdeskundigen beste practices voor het succesvol afronden van de CMMC-audit. Aanbevelingen zijn onder meer waar u een gecertificeerde organisatie van derde beoordelaars (C3PAO) kunt vinden en hoe u deze effectief kunt beoordelen, hoe u een actieplan en mijlpalen (POA&M) opstelt en gebruikt, en diverse andere strategieën om defensie-aannemers te helpen CMMC-naleving te bereiken.
BEKIJK WEBINAR
CMMC-nalevingsuitdagingen voor defensie-aannemers
CMMC-naleving vereist dat defensie-aannemers de beveiliging en correcte omgang met gevoelige informatie, zoals controlled unclassified information (CUI) en federal contract information (FCI), waarborgen. Hieronder staan enkele van de grootste uitdagingen waarmee aannemers in de defensie-industriebasis (DIB) worden geconfronteerd bij het uitwisselen van gevoelige gegevens in het kader van CMMC-naleving.
Beveiligde e-mailcommunicatie
E-mail is een veelgebruikte communicatiemethode, maar ook kwetsbaar voor onderschepping en ongeautoriseerde toegang. Om dit risico te beperken en te voldoen aan CMMC-naleving, moeten DIB-aannemers beveiligde e-mailprotocollen implementeren, zoals encryptie en digitale handtekeningen, om de integriteit van gevoelige informatie die via e-mail wordt verzonden te beschermen en te verifiëren. Daarnaast dienen aannemers e-mailoplossingen te overwegen die FedRAMP Moderate autorisatie hebben behaald, wat garandeert dat de dienstverlener voldoet aan strenge beveiligingsvereisten die door de Amerikaanse overheid zijn vastgesteld.
CUI-identificatie en labeling
Controlled Unclassified Information (CUI) omvat een breed scala aan gevoelige informatie die beschermd moet worden, een vereiste voor CMMC-naleving. Defensie-aannemers moeten daarom processen ontwikkelen en implementeren om CUI correct te identificeren en te labelen in diverse formaten, waaronder digitale en fysieke documenten, e-mails en digitale assets. Het correct identificeren en labelen van CUI vergemakkelijkt CMMC-naleving door ervoor te zorgen dat gevoelige informatie het juiste beschermingsniveau krijgt en alleen wordt gedeeld met geautoriseerde personen.
Toegangscontrole en machtigingenbeheer
Als onderdeel van CMMC-naleving moeten DIB-aannemers strikte toegangscontroles instellen om te waarborgen dat alleen geautoriseerd personeel toegang heeft tot gevoelige informatie. Dit houdt in dat systemen voor rolgebaseerde toegangscontrole (RBAC) worden geïmplementeerd, gebruikersmachtigingen regelmatig worden herzien en bijgewerkt, en toegang direct wordt ingetrokken wanneer de functie van een medewerker verandert. Aannemers moeten ook gedetailleerde audit logs bijhouden die toegang tot gevoelige data registreren en pogingen tot ongeautoriseerde toegang detecteren.
Beveiligde bestandsoverdracht en samenwerking
DIB-aannemers werken dagelijks samen aan CUI en FCI met hun DoD-collega’s. CMMC-naleving vereist dat deze samenwerkingen veilig verlopen. DIB-aannemers moeten daarom beveiligde bestandsoverdrachtoplossingen gebruiken die end-to-end encryptie, toegangscontroles en auditmogelijkheden bieden. Bij het selecteren van een platform voor bestandsoverdracht dienen aannemers te kiezen voor oplossingen die FedRAMP-geautoriseerd zijn voor Moderate Impact Level-informatie of hoger. Dit garandeert dat de aanwezige beveiliging en naleving voldoen aan enkele van de hoogste standaarden.
Beheerde bestandsoverdracht voor grote of bulkbestanden
CMMC-naleving vereist de veilige overdracht van grote of bulkbestanden met CUI en FCI tussen DIB-aannemers en hun DoD-klanten. Een beveiligde beheerde bestandsoverdracht oplossing moet beschikken over functies zoals encryptie van gegevens in transit en in rust, toegangscontroles, granulaire machtigingen en gedetailleerde audit logs. Idealiter zijn oplossingen voor beheerde bestandsoverdracht FedRAMP-geautoriseerd voor Moderate Impact Level-informatie om te waarborgen dat ze voldoen aan de hoogste beveiligings- en nalevingsniveaus.
Naleving aantonen op efficiënte wijze
De meeste communicatietools, zoals e-mail, SFTP en platforms voor bestandsoverdracht, zijn gescheiden en genereren daarom afzonderlijke audit logs. Het samenvoegen en afstemmen van deze logs als onderdeel van een CMMC-nalevingsaudit kan, zo niet vrijwel onmogelijk, een uiterst pijnlijke en tijdrovende taak zijn. Daarentegen kan een geconsolideerde, allesomvattende audit log die alle bestanden met CUI en FCI die de organisatie binnenkomen en verlaten bijhoudt, waardevolle tijd en geld besparen.
Versnel uw CMMC 2.0-nalevingstraject met Kiteworks
Beheer, bescherm en volg uw gevoelige DoD-communicatie
Toon CMMC-naleving aan telkens wanneer u CUI en FCI verzendt, deelt, ontvangt of opslaat. Granulaire toegangscontroles, multi-factor authentication, end-to-end encryptie en beveiligde links zorgen ervoor dat alleen geautoriseerde gebruikers toegang hebben tot deze gevoelige gegevens. Consolideer beveiligde e-mail, beveiligde bestandsoverdracht, beveiligde beheerde bestandsoverdracht, beveiligde webformulieren en API’s in één platform om metadata te unificeren en beveiligingsbeleid en -controles te standaardiseren. Tot slot biedt één integratiepunt voor beveiligingsinvesteringen zoals ATP, DLP, CDR, LDAP/AD en SIEM defensie-aannemers en onderaannemers de mogelijkheid om gevoelige gegevens te beschermen voor CMMC-naleving.
Meer informatie over de beveiligingsmogelijkheden van Kiteworks voor het beschermen van FCI en CUI
Versnel CMMC-naleving met een FedRAMP-inzet
Vermijd de tijd en kosten om te bewijzen dat uw cloudplatform voldoet aan 325 NIST 800-53 beveiligingsvereisten—cruciaal voor CMMC-naleving—door er een te kiezen die al is goedgekeurd door de Amerikaanse federale overheid: het FedRAMP Moderate Authorized Private Data Network van Kiteworks. In tegenstelling tot “FedRAMP-equivalent” leveranciers ondergaat Kiteworks regelmatig pentests en medewerkersscreening, en wordt ondersteund door sterke encryptie, fysieke beveiliging, incident response plannen en meer. Een FedRAMP Moderate Authorization biedt defensie-aannemers daadwerkelijk bewijs van beveiligingscontroles, zodat zij aan een cruciale CMMC-vereiste voldoen en CMMC-naleving versnellen.
Bescherm CUI met uitgebreide toegangscontroles
Beheer centraal één set gebruikersrollen en beleid om de CUI te beschermen die door alle communicatiekanalen stroomt die het Kiteworks-platform samenbrengt. Beperk het risico op onbedoelde of kwaadwillige blootstelling van CUI met standaard least-privilege toegangscontroles over mappen, e-mails, SFTP, beheerde bestandsoverdracht flows en webformulieren, evenals clients, functies, repositories en domeinen. Met Kiteworks passen beheerders granulaire beleidscontroles en rolgebaseerde permissies toe voor externe gebruikers om CUI te beschermen tegen ongeautoriseerde toegang, een cruciale vereiste voor CMMC-naleving.
Bescherm CUI met naadloze end-to-end e-mail encryptie
Bescherm de CUI die u via e-mail deelt met uw DoD-belanghebbenden met sterke encryptie-algoritmen. Pas uw beveiligingsbeleid toe op uw e-mail encryptie om automatisch te bepalen of elke e-mail wel of niet moet worden versleuteld. Geautomatiseerde sleuteluitwisseling zorgt voor gebruiksgemak, zodat uw medewerkers met hun normale e-mailclients kunnen werken zonder plugins of training. Met end-to-end encryptie zorgt u ervoor dat e-mailgegevens en bijlagen versleuteld zijn van verzendende tot ontvangende client, terwijl de privésleutel bij de ontvangende client blijft, zodat noch server-side leveranciers noch aanvallers kunnen ontsleutelen. Tot slot past u uw DLP toe op uitgaand verkeer en uw anti-malware en anti-phishing op inkomend verkeer. U zult goed voor de dag komen bij uw C3PAO en weer een stap zetten richting CMMC-naleving.
Volg alle bestandsactiviteiten en vereenvoudig uw CMMC-nalevingsaudit
Zie wie CUI of FCI naar wie, wanneer en hoe heeft gestuurd, zodat u deze en andere gevoelige gegevens die uw organisatie binnenkomen en verlaten kunt volgen, verdachte activiteiten kunt detecteren en actie kunt ondernemen bij afwijkingen. Versnel CMMC-nalevingsaudits met uitgebreide, onveranderlijke audit logs voor alle gebruikers-, geautomatiseerde en beheerdersactiviteiten, inclusief alle acties op gegevens, permissies en configuratie. Analyseer, alarmeer en rapporteer over de gebeurtenissen met ingebouwde tools, of stuur ze door naar uw SIEM via syslog of de Splunk Forwarder voor diepgaandere analyse.
Behoud maximale beveiliging met strak beheerde configuraties
Houd u aan het principe van minimale functionaliteit die vereist is voor CMMC-naleving door slechts enkele essentiële poorten open te stellen, waarbij alle niet-essentiële diensten zijn uitgeschakeld. Beschermd door een hardened virtual appliance voorkomt Kiteworks dat gebruikers en beheerders toegang krijgen tot het besturingssysteem of software installeren, handhaaft strikte functiescheiding en logt elke configuratiewijziging. En wanneer u zich voorbereidt op uw CMMC-nalevingsaudit, biedt het de rapportages die u nodig heeft om configuraties en gedocumenteerde controles te valideren.
MEER INFORMATIE OVER HET BESCHERMEN VAN UW GEVOELIGE GEGEVENS MET KITEWORKS SECURITY INTEGRATIES
Productiviteit mogelijk maken zonder concessies aan gegevensbeheer
Bescherm CUI en toon CMMC-naleving aan door veilige externe samenwerking op gevoelige bestanden mogelijk te maken zonder de controle over de originele brondocumenten op te geven. Met Kiteworks SafeEDIT next-generation DRM blijven CUI en FCI veilig opgeslagen binnen uw eigen omgeving. Door een bewerkbare videoweergave van bestanden te streamen in plaats van het eigendom over te dragen, verlaat CUI nooit uw beveiligingsperimeter, wat het hoogste niveau van beveiliging, controle en tracking biedt. Geniet van naadloze externe workflows terwijl u strikte gegevensbescherming behoudt met een native applicatie-ervaring voor het bewerken en samenwerken aan de gestreamde bestandsweergaven.
MEER INFORMATIE OVER HET BESCHERMEN VAN GEVOELIGE GEGEVENS MET KITEWORKS SAFEEDIT DRM
CMMC-naleving Veelgestelde Vragen
CMMC vereist end-to-end encryptie voor alle Controlled Unclassified Information (CUI) en Federal Contract Information (FCI) die gedeeld wordt met DoD-belanghebbenden. Defensie-aannemers moeten FIPS 140-2 gevalideerde encryptie gebruiken voor gegevens in rust en onderweg, met veilige sleutelbeheerprotocollen. Het Kiteworks Private Data Network ondersteunt CMMC 2.0-naleving en biedt een superieure encryptieoplossing: FIPS 140-3 Level 1-validatie, evenals geautomatiseerde end-to-end encryptie met sterke encryptie-algoritmen en naadloze sleuteluitwisseling die werkt met standaard e-mailclients zonder dat plug-ins of training nodig zijn.
CMMC verplicht defensie-aannemers om processen te ontwikkelen waarmee CUI correct wordt geïdentificeerd en gelabeld in digitale documenten, e-mails en bestandsoverdrachten, om zo het juiste beschermingsniveau te waarborgen. Aannemers moeten consistente labelingssystemen en geautomatiseerde detectiemogelijkheden implementeren op alle communicatieplatforms. Het Kiteworks Private Data Network bundelt Kiteworks beveiligde e-mail, Kiteworks beveiligde bestandsoverdracht, beveiligde MFT en Kiteworks beveiligde webformulieren in één platform met uniforme metadata en gestandaardiseerd beveiligingsbeleid, dat automatisch de juiste CUI-bescherming toepast op basis van inhoudsclassificatie voor CMMC 2.0-naleving.
CMMC vereist uitgebreide, onveranderlijke auditlogs die alle CUI- en FCI-activiteiten bijhouden, waaronder toegangsverzoeken, bestandsoverdrachten, wijziging van rechten en gebruikersacties. Defensie-aannemers moeten gedetailleerde registraties bijhouden over alle communicatiekanalen om naleving tijdens beoordelingen aan te tonen. Kiteworks biedt geconsolideerde auditlogs die alle gevoelige gegevens die de organisatie binnenkomen of verlaten volgen via één platform, het Private Data Network. Dit elimineert de uitdaging van het samenvoegen van afzonderlijke logs uit gescheiden communicatietools tijdens CMMC-audits door C3PAO’s, waardoor snellere CMMC 2.0-naleving mogelijk is.
CMMC schrijft systemen voor rolgebaseerde toegangscontrole (RBAC) voor, met het principe van minimale rechten, regelmatige rechtenbeoordelingen en directe intrekking van toegang bij functiewijzigingen. Defensie-aannemers moeten strikte beveiligingsmaatregelen in balans brengen met operationele efficiëntie voor samenwerking met het DoD. Het Kiteworks Private Data Network ondersteunt CMMC 2.0-naleving door veilige samenwerking mogelijk te maken via gecentraliseerde gebruikersrollen en gedetailleerde beleidscontroles, plus SafeEDIT next-generation DRM waarmee bewerken zonder bezit van CUI mogelijk is zonder dat het bestand in bezit wordt genomen. Zo blijven de beveiligingsgrenzen behouden en blijft de productiviteit gewaarborgd.
CMMC vereist beveiligde beheerde bestandsoverdrachtoplossingen met encryptie voor gegevens in rust en onderweg, gedetailleerde toegangscontrole en uitgebreide auditlogs voor grote CUI- en FCI-bestanden. Defensie-aannemers hebben platforms nodig met FedRAMP Moderate autorisatie die bulkoverdrachten aankunnen zonder concessies te doen aan de beveiliging. Het Kiteworks Private Data Network biedt beveiligde beheerde bestandsoverdracht met end-to-end encryptie, rolgebaseerde rechten en volledige audittrails, met zowel een FedRAMP High ready als FedRAMP Moderate geautoriseerde omgeving. Dit toont FedRAMP-naleving aan en voldoet aan de CMMC 2.0-vereisten voor het uitwisselen van grote bestanden.
Aanbevolen bronnen
Voldoen aan de FedRAMP-gelijkwaardigheidsvereiste van CMMC
Voldoen aan de FedRAMP-gelijkwaardigheidsvereiste van CMMC
Met Kiteworks uitgeruste Private Content Networks vereenvoudigen en versnellen CMMC 2.0-naleving
