Wat te verwachten voorafgaand aan uw CMMC 2.0 Level 2 audit
CMMC-naleving houdt in dat u een grondige CMMC-nalevingsaudit ondergaat (en slaagt). In dit webinar geeft een panel van CMMC-nalevingsdeskundigen beste practices voor het succesvol afronden van de CMMC-audit. Aanbevelingen zijn onder meer waar u een gecertificeerde organisatie van derde beoordelaars (C3PAO) kunt vinden en hoe u deze effectief kunt beoordelen, hoe u een actieplan en mijlpalen (POA&M) opstelt en gebruikt, en diverse andere strategieën om defensie-aannemers te helpen CMMC-naleving te bereiken.
BEKIJK WEBINAR
CMMC-nalevingsuitdagingen voor defensie-aannemers
CMMC-naleving vereist dat defensie-aannemers de beveiliging en correcte omgang met gevoelige informatie, zoals controlled unclassified information (CUI) en federal contract information (FCI), waarborgen. Hieronder staan enkele van de grootste uitdagingen waarmee aannemers in de defensie-industriebasis (DIB) worden geconfronteerd bij het uitwisselen van gevoelige gegevens in het kader van CMMC-naleving.
Beveiligde e-mailcommunicatie
E-mail is een veelgebruikte communicatiemethode, maar ook kwetsbaar voor onderschepping en ongeautoriseerde toegang. Om dit risico te beperken en te voldoen aan CMMC-naleving, moeten DIB-aannemers beveiligde e-mailprotocollen implementeren, zoals encryptie en digitale handtekeningen, om de integriteit van gevoelige informatie die via e-mail wordt verzonden te beschermen en te verifiëren. Daarnaast dienen aannemers e-mailoplossingen te overwegen die FedRAMP Moderate autorisatie hebben behaald, wat garandeert dat de dienstverlener voldoet aan strenge beveiligingsvereisten die door de Amerikaanse overheid zijn vastgesteld.
CUI-identificatie en labeling
Controlled Unclassified Information (CUI) omvat een breed scala aan gevoelige informatie die beschermd moet worden, een vereiste voor CMMC-naleving. Defensie-aannemers moeten daarom processen ontwikkelen en implementeren om CUI correct te identificeren en te labelen in diverse formaten, waaronder digitale en fysieke documenten, e-mails en digitale assets. Het correct identificeren en labelen van CUI vergemakkelijkt CMMC-naleving door ervoor te zorgen dat gevoelige informatie het juiste beschermingsniveau krijgt en alleen wordt gedeeld met geautoriseerde personen.
Toegangscontrole en machtigingenbeheer
Als onderdeel van CMMC-naleving moeten DIB-aannemers strikte toegangscontroles instellen om te waarborgen dat alleen geautoriseerd personeel toegang heeft tot gevoelige informatie. Dit houdt in dat systemen voor rolgebaseerde toegangscontrole (RBAC) worden geïmplementeerd, gebruikersmachtigingen regelmatig worden herzien en bijgewerkt, en toegang direct wordt ingetrokken wanneer de functie van een medewerker verandert. Aannemers moeten ook gedetailleerde audit logs bijhouden die toegang tot gevoelige data registreren en pogingen tot ongeautoriseerde toegang detecteren.
Beveiligde bestandsoverdracht en samenwerking
DIB-aannemers werken dagelijks samen aan CUI en FCI met hun DoD-collega’s. CMMC-naleving vereist dat deze samenwerkingen veilig verlopen. DIB-aannemers moeten daarom beveiligde bestandsoverdrachtoplossingen gebruiken die end-to-end encryptie, toegangscontroles en auditmogelijkheden bieden. Bij het selecteren van een platform voor bestandsoverdracht dienen aannemers te kiezen voor oplossingen die FedRAMP-geautoriseerd zijn voor Moderate Impact Level-informatie of hoger. Dit garandeert dat de aanwezige beveiliging en naleving voldoen aan enkele van de hoogste standaarden.
Beheerde bestandsoverdracht voor grote of bulkbestanden
CMMC-naleving vereist de veilige overdracht van grote of bulkbestanden met CUI en FCI tussen DIB-aannemers en hun DoD-klanten. Een beveiligde beheerde bestandsoverdracht oplossing moet beschikken over functies zoals encryptie van gegevens in transit en in rust, toegangscontroles, granulaire machtigingen en gedetailleerde audit logs. Idealiter zijn oplossingen voor beheerde bestandsoverdracht FedRAMP-geautoriseerd voor Moderate Impact Level-informatie om te waarborgen dat ze voldoen aan de hoogste beveiligings- en nalevingsniveaus.
Naleving aantonen op efficiënte wijze
De meeste communicatietools, zoals e-mail, SFTP en platforms voor bestandsoverdracht, zijn gescheiden en genereren daarom afzonderlijke audit logs. Het samenvoegen en afstemmen van deze logs als onderdeel van een CMMC-nalevingsaudit kan, zo niet vrijwel onmogelijk, een uiterst pijnlijke en tijdrovende taak zijn. Daarentegen kan een geconsolideerde, allesomvattende audit log die alle bestanden met CUI en FCI die de organisatie binnenkomen en verlaten bijhoudt, waardevolle tijd en geld besparen.
Versnel uw CMMC 2.0-nalevingstraject met Kiteworks
Beheer, bescherm en volg uw gevoelige DoD-communicatie
Toon CMMC-naleving aan telkens wanneer u CUI en FCI verzendt, deelt, ontvangt of opslaat. Granulaire toegangscontroles, multi-factor authentication, end-to-end encryptie en beveiligde links zorgen ervoor dat alleen geautoriseerde gebruikers toegang hebben tot deze gevoelige gegevens. Consolideer beveiligde e-mail, beveiligde bestandsoverdracht, beveiligde beheerde bestandsoverdracht, beveiligde webformulieren en API’s in één platform om metadata te unificeren en beveiligingsbeleid en -controles te standaardiseren. Tot slot biedt één integratiepunt voor beveiligingsinvesteringen zoals ATP, DLP, CDR, LDAP/AD en SIEM defensie-aannemers en onderaannemers de mogelijkheid om gevoelige gegevens te beschermen voor CMMC-naleving.
Meer informatie over de beveiligingsmogelijkheden van Kiteworks voor het beschermen van FCI en CUI
Versnel CMMC-naleving met een FedRAMP-inzet
Vermijd de tijd en kosten om te bewijzen dat uw cloudplatform voldoet aan 325 NIST 800-53 beveiligingsvereisten—cruciaal voor CMMC-naleving—door er een te kiezen die al is goedgekeurd door de Amerikaanse federale overheid: het FedRAMP Moderate Authorized Private Data Network van Kiteworks. In tegenstelling tot “FedRAMP-equivalent” leveranciers ondergaat Kiteworks regelmatig pentests en medewerkersscreening, en wordt ondersteund door sterke encryptie, fysieke beveiliging, incident response plannen en meer. Een FedRAMP Moderate Authorization biedt defensie-aannemers daadwerkelijk bewijs van beveiligingscontroles, zodat zij aan een cruciale CMMC-vereiste voldoen en CMMC-naleving versnellen.
Bescherm CUI met uitgebreide toegangscontroles
Beheer centraal één set gebruikersrollen en beleid om de CUI te beschermen die door alle communicatiekanalen stroomt die het Kiteworks-platform samenbrengt. Beperk het risico op onbedoelde of kwaadwillige blootstelling van CUI met standaard least-privilege toegangscontroles over mappen, e-mails, SFTP, beheerde bestandsoverdracht flows en webformulieren, evenals clients, functies, repositories en domeinen. Met Kiteworks passen beheerders granulaire beleidscontroles en rolgebaseerde permissies toe voor externe gebruikers om CUI te beschermen tegen ongeautoriseerde toegang, een cruciale vereiste voor CMMC-naleving.
Bescherm CUI met naadloze end-to-end e-mail encryptie
Bescherm de CUI die u via e-mail deelt met uw DoD-belanghebbenden met sterke encryptie-algoritmen. Pas uw beveiligingsbeleid toe op uw e-mail encryptie om automatisch te bepalen of elke e-mail wel of niet moet worden versleuteld. Geautomatiseerde sleuteluitwisseling zorgt voor gebruiksgemak, zodat uw medewerkers met hun normale e-mailclients kunnen werken zonder plugins of training. Met end-to-end encryptie zorgt u ervoor dat e-mailgegevens en bijlagen versleuteld zijn van verzendende tot ontvangende client, terwijl de privésleutel bij de ontvangende client blijft, zodat noch server-side leveranciers noch aanvallers kunnen ontsleutelen. Tot slot past u uw DLP toe op uitgaand verkeer en uw anti-malware en anti-phishing op inkomend verkeer. U zult goed voor de dag komen bij uw C3PAO en weer een stap zetten richting CMMC-naleving.
Volg alle bestandsactiviteiten en vereenvoudig uw CMMC-nalevingsaudit
Zie wie CUI of FCI naar wie, wanneer en hoe heeft gestuurd, zodat u deze en andere gevoelige gegevens die uw organisatie binnenkomen en verlaten kunt volgen, verdachte activiteiten kunt detecteren en actie kunt ondernemen bij afwijkingen. Versnel CMMC-nalevingsaudits met uitgebreide, onveranderlijke audit logs voor alle gebruikers-, geautomatiseerde en beheerdersactiviteiten, inclusief alle acties op gegevens, permissies en configuratie. Analyseer, alarmeer en rapporteer over de gebeurtenissen met ingebouwde tools, of stuur ze door naar uw SIEM via syslog of de Splunk Forwarder voor diepgaandere analyse.
Behoud maximale beveiliging met strak beheerde configuraties
Houd u aan het principe van minimale functionaliteit die vereist is voor CMMC-naleving door slechts enkele essentiële poorten open te stellen, waarbij alle niet-essentiële diensten zijn uitgeschakeld. Beschermd door een hardened virtual appliance voorkomt Kiteworks dat gebruikers en beheerders toegang krijgen tot het besturingssysteem of software installeren, handhaaft strikte functiescheiding en logt elke configuratiewijziging. En wanneer u zich voorbereidt op uw CMMC-nalevingsaudit, biedt het de rapportages die u nodig heeft om configuraties en gedocumenteerde controles te valideren.
MEER INFORMATIE OVER HET BESCHERMEN VAN UW GEVOELIGE GEGEVENS MET KITEWORKS SECURITY INTEGRATIES
Productiviteit mogelijk maken zonder concessies aan gegevensbeheer
Bescherm CUI en toon CMMC-naleving aan door veilige externe samenwerking op gevoelige bestanden mogelijk te maken zonder de controle over de originele brondocumenten op te geven. Met Kiteworks SafeEDIT next-generation DRM blijven CUI en FCI veilig opgeslagen binnen uw eigen omgeving. Door een bewerkbare videoweergave van bestanden te streamen in plaats van het eigendom over te dragen, verlaat CUI nooit uw beveiligingsperimeter, wat het hoogste niveau van beveiliging, controle en tracking biedt. Geniet van naadloze externe workflows terwijl u strikte gegevensbescherming behoudt met een native applicatie-ervaring voor het bewerken en samenwerken aan de gestreamde bestandsweergaven.
MEER INFORMATIE OVER HET BESCHERMEN VAN GEVOELIGE GEGEVENS MET KITEWORKS SAFEEDIT DRM
CMMC-naleving Veelgestelde Vragen
CMMC Level 1 (Basis): Richt zich op de bescherming van Federal Contract Information (FCI) en bestaat uit 15 basisbeveiligingsvereisten uit FAR Clausule 52.204-21. CMMC Level 2 (Geavanceerd): Richt zich op de bescherming van Controlled Unclassified Information (CUI) en omvat alle 110 beveiligingsvereisten uit NIST 800-171 Rev 2. CMMC Level 3 (Expert): Richt zich op het beschermen van CUI met aanvullende vereisten, waaronder een subset van 24 NIST 800-172 beveiligingsvereisten met door het DoD goedgekeurde parameters.
De implementatie van CMMC 2.0 begint met Fase 1 (Initiële Implementatie), die start wanneer de 48 CFR-regel van kracht wordt en CMMC Level 1 of CMMC Level 2 zelfevaluatie vereisten vereist. Fase 2 start 12 maanden na het begin van Fase 1 en introduceert de vereiste voor CMMC Level 2 Certificering. Vervolgens begint Fase 3, 24 maanden na Fase 1, en voegt de vereiste toe voor CMMC Level 3 Certificering. De laatste fase, Fase 4 (Volledige Implementatie), start 36 maanden na Fase 1 en vertegenwoordigt de volledige implementatie, waarbij alle aanbestedingen en contracten de toepasselijke CMMC Level vereisten moeten bevatten. Het DoD behoudt de flexibiliteit om CMMC-vereisten eerder dan deze geplande fasen te implementeren voor specifieke aanbestedingen indien nodig.
Organisaties in de Defense Industrial Base (DIB)-sector die Federal Contract Information (FCI) of Controlled Unclassified Information (CUI) verwerken, opslaan of verzenden, moeten voldoen aan CMMC. Dit omvat meer dan 220.000 product- en dienstverleners die de toeleveringsketen van het Department of Defense (DoD) ondersteunen – van hoofdaannemers tot onderaannemers. Deze organisaties dragen bij aan DoD-systemen, netwerken, installaties, capaciteiten en diensten, en moeten voldoen aan de CMMC-vereisten om gevoelige defensie-informatie te beschermen.
CMMC 2.0 verbiedt POA&Ms voor CMMC Level 1 maar staat ze toe voor CMMC Level 2 en CMMC Level 3. Organisaties moeten POA&Ms sluiten binnen 180 dagen na afronding van de beoordeling. Hoewel POA&Ms een Voorwaardelijke status mogelijk maken, moeten alle punten zijn afgesloten om de Finale status te bereiken. Vereisten zijn vastgelegd in § 170.21 van de definitieve CMMC Programmaregel.
CMMC Level 2 richt zich op de bescherming van Controlled Unclassified Information (CUI) en omvat 110 beveiligingsvereisten gespecificeerd in NIST 800-171 Rev 2. Dit niveau bestrijkt belangrijke domeinen zoals toegangscontrole, reactie op incidenten, beveiligingsbeoordeling en systeemintegriteit.