Voor elke aannemer of leverancier van het Department of Defense (DoD) die toegang heeft tot controlled unclassified information (CUI), is naleving van Cybersecurity Maturity Model Certification (CMMC) 2.0 essentieel. CMMC 2.0-naleving stelt private aannemers in staat om het hoogst mogelijke niveau van cyberbeveiliging aan te tonen en zaken te blijven doen met het DoD. CMMC 2.0 Level 3, ook wel Expert genoemd, richt zich op de effectiviteit van cyberbeveiligingsmaatregelen en -praktijken rondom de bescherming van CUI tegen advanced persistent threats (APT’s). Het vervangt het vorige CMMC 1.0 Level 5 en brengt een aantal belangrijke wijzigingen met zich mee. CMMC 2.0 Level 3 is van toepassing op bedrijven die CUI verwerken voor DoD-programma’s met de hoogste prioriteit.

Voor elke aannemer of organisatie die toegang heeft tot CUI is naleving van CMMC 2.0 Level 3 essentieel om het hoogst mogelijke niveau van cyberbeveiliging te behouden. Dit artikel biedt een uitgebreid overzicht van de nalevingsvereisten voor CMMC 2.0 Level 3 en helpt ervoor te zorgen dat jouw organisatie het traject naar naleving van de nieuwste beveiligingsregels goed begint.

CMMC 2.0 Level 3 Naleving

CMMC Level 3 Compliance: Zakelijke Voordelen

Het belangrijkste voordeel van het voldoen aan CMMC Level 3-vereisten is dat het het DoD de benodigde zekerheid biedt dat de CUI die aannemers verwerken, verzamelen, verzenden, ontvangen en opslaan veilig is en beschermd tegen ongeautoriseerde toegang. Uiteindelijk geeft CMMC Level 3-naleving vertrouwen in het vermogen van een organisatie om CUI te beschermen en een toewijding aan cyberbeveiliging te tonen. Naleving van CMMC Level 3-vereisten kan een organisatie ook kansen bieden op meer toegang tot overheidscontracten en hen aantrekkelijker maken als potentiële partner voor bedrijven in de defensie-industrie en voor potentiële klanten uit de private sector.

Is CMMC 2.0 Level 3-naleving verplicht?

Nee, CMMC 2.0 Level 3-naleving is niet verplicht. Organisaties die zaken doen met het DoD moeten voldoen aan een minimale beveiligingsstatus zoals beschreven door de CMMC, maar het specifieke certificeringsniveau dat vereist is, hangt af van de benodigde diensten van de organisatie. Organisaties kunnen verschillende niveaus van CMMC-certificering behalen, namelijk Level 1, 2 of 3, afhankelijk van de beveiligingsvereisten van hun contracten.

CMMC Level 3 Domeinen en Vereisten

Voor CMMC 2.0 Level 3 zijn er 134 verplichte maatregelen (110 uit NIST SP 800-171 en nog eens 24 uit NIST SP 800-172). Deze maatregelen zijn een manier om risico’s te beheren en omvatten beleid, procedures, richtlijnen, praktijken of organisatorische structuren, die van administratieve, technische, management- of juridische aard kunnen zijn, en worden gespecificeerd door NIST SP 800-171, NIST SP 800-172 en FAR 52.204-21. Deze praktijken vallen onder 14 verschillende domeinen, hieronder opgesomd, die een subset vormen van NIST SP 800-172. CMMC 2.0 vereist dat de aannemer verder gaat dan alleen het documenteren van processen en daadwerkelijk een actieve rol speelt in het beheer en de implementatie van de maatregelen om zo het hoogst mogelijke beveiligingsniveau te bieden. De 14 domeinen zijn onder andere:

Toegangsbeheer

Het domein Toegangsbeheer introduceert 2 extra vereisten onder CMMC Level 3. Deze omvatten:

  • Beperk toegang tot systemen en systeemcomponenten tot alleen die informatiebronnen die eigendom zijn van, verstrekt of uitgegeven door de organisatie.
  • Gebruik door de organisatie gedefinieerde beveiligde informatieoverdrachtsoplossingen om informatiestromen tussen beveiligingsdomeinen op verbonden systemen te beheersen.

Bewustwording en Training

Er zijn twee praktijken geïntroduceerd onder het domein Bewustwording en Training in CMMC 2.0 Level 3:

  • Bied bewustwordingstraining bij indiensttreding, na een significante cybergebeurtenis en minimaal jaarlijks, gericht op het herkennen en reageren op bedreigingen van social engineering, advanced persistent threat-acteurs, datalekken en verdacht gedrag; werk de training minimaal jaarlijks bij of wanneer er significante veranderingen zijn in de dreiging.
  • Neem praktische oefeningen op in bewustwordingstraining voor alle gebruikers, afgestemd op rollen, waaronder algemene gebruikers, gebruikers met gespecialiseerde rollen en bevoorrechte gebruikers, die aansluiten bij actuele dreigingsscenario’s en feedback geven aan de betrokken individuen en hun leidinggevenden.

Configuratiebeheer

Onder het domein Configuratiebeheer introduceert CMMC 2.0 Level 3 drie extra praktijken, waaronder:

  • Stel een gezaghebbende bron en repository vast en onderhoud deze om een betrouwbare bron en verantwoordelijkheid te bieden voor goedgekeurde en geïmplementeerde systeemcomponenten.
  • Gebruik geautomatiseerde mechanismen om verkeerd geconfigureerde of ongeautoriseerde systeemcomponenten te detecteren; verwijder na detectie de componenten of plaats ze in een quarantaine- of herstelnetwerk om patching, herconfiguratie of andere mitigaties te faciliteren.
  • Gebruik geautomatiseerde ontdekking- en beheertools om een actuele, volledige, nauwkeurige en direct beschikbare inventaris van systeemcomponenten te onderhouden.

Identificatie en Authenticatie

Er zijn twee extra vereisten in het domein Identificatie en Authenticatie onder CMMC 2.0 Level 3:

  • Identificeer en authenticeer systemen en systeemcomponenten, waar mogelijk, voordat een netwerkverbinding tot stand wordt gebracht, met behulp van bidirectionele authenticatie die cryptografisch is gebaseerd en bestand is tegen replay-aanvallen.
  • Gebruik geautomatiseerde of handmatige/procedurele mechanismen om te voorkomen dat systeemcomponenten verbinding maken met organisatorische systemen, tenzij de componenten bekend, geauthenticeerd, correct geconfigureerd of in een vertrouwensprofiel zijn.

Reactie op incidenten

Onder Reactie op incidenten introduceert CMMC 2.0 Level 3 twee extra praktijken:

  • Stel een beveiligingscentrum (security operations center) in en onderhoud deze, die 24/7 operationeel is, met ruimte voor remote of oproepbare medewerkers.
  • Stel een cyberincident-responsteam in en onderhoud deze, dat binnen 24 uur door de organisatie kan worden ingezet.

Persoonlijke beveiliging

Het domein Persoonlijke beveiliging voegt één extra praktijk toe onder CMMC 2.0 Level 3:

  • Zorg ervoor dat organisatorische systemen worden beschermd als er negatieve informatie ontstaat of wordt verkregen over personen met toegang tot CUI.

Risicobeoordeling

Er zijn zeven aanvullingen op Risicobeoordeling onder CMMC 2.0 Level 3:

  • Gebruik Threat Intelligence, minimaal uit open of commerciële bronnen, en alle door het DoD verstrekte bronnen, als onderdeel van een risicobeoordeling om de ontwikkeling van organisatorische systemen, beveiligingsarchitecturen, selectie van beveiligingsoplossingen, monitoring, threat hunting en respons- en herstelactiviteiten te sturen en te informeren.
  • Voer threat hunting-activiteiten uit op een doorlopende, niet-regelmatige basis of wanneer aanwijzingen daar aanleiding toe geven, om indicatoren van compromittering in organisatorische systemen op te sporen en bedreigingen te detecteren, volgen en verstoren die bestaande maatregelen omzeilen.
  • Gebruik geavanceerde automatisering en analysecapaciteiten ter ondersteuning van analisten om risico’s voor organisaties, systemen en systeemcomponenten te voorspellen en te identificeren.
  • Documenteer of verwijs in het systeembeveiligingsplan naar de gekozen beveiligingsoplossing, de onderbouwing voor deze oplossing en de risicobepaling.
  • Beoordeel de effectiviteit van beveiligingsoplossingen minimaal jaarlijks of bij ontvangst van relevante cyberdreigingsinformatie, of als reactie op een relevant cyberincident, om het verwachte risico voor organisatorische systemen en de organisatie aan te pakken op basis van actuele en verzamelde Threat Intelligence.
  • Beoordeel, reageer op en monitor risico’s in de toeleveringsketen die samenhangen met organisatorische systemen en systeemcomponenten.
  • Ontwikkel een plan voor het beheer van risico’s in de toeleveringsketen die samenhangen met organisatorische systemen en systeemcomponenten; werk het plan minimaal jaarlijks bij, en bij ontvangst van relevante cyberdreigingsinformatie of als reactie op een relevant cyberincident.

Beveiligingsbeoordeling

Er is één aanvulling op Beveiligingsbeoordeling onder CMMC 2.0 Level 3:

  • Voer minimaal jaarlijks penetratietesten uit of wanneer er significante beveiligingswijzigingen aan het systeem zijn doorgevoerd, waarbij gebruik wordt gemaakt van geautomatiseerde scantools en ad-hoc tests door materiedeskundigen.

Systeem- en communicatiebeveiliging

Voor Systeem- en communicatiebeveiliging is de extra vereiste onder CMMC 2.0 Level 3:

  • Gebruik fysieke isolatietechnieken of logische isolatietechnieken, of beide, in organisatorische systemen en systeemcomponenten.

Systeem- en informatie-integriteit

Er zijn drie aanvullingen onder CMMC 2.0 Level 3, waaronder:

  • Controleer de integriteit van kritieke en essentiële beveiligingssoftware met behulp van root of trust-mechanismen of cryptografische handtekeningen.
  • Zorg ervoor dat gespecialiseerde middelen, waaronder IoT, IIoT, OT, GFE, Restricted Information Systems en testapparatuur, binnen de scope vallen van de gespecificeerde verbeterde beveiligingsvereisten of worden gescheiden in netwerken met een specifiek doel.
  • Gebruik dreigingsindicatorinformatie en effectieve mitigaties verkregen uit minimaal open of commerciële bronnen en alle door het DoD verstrekte bronnen, om inbraakdetectie en threat hunting te sturen en te informeren.

CMMC Level 3-nalevingsuitdagingen

Veelvoorkomende uitdagingen bij het implementeren van CMMC Level 3-vereisten zijn een onvoldoende begrip van beveiligingsprocessen, moeite met het beoordelen van specifieke beveiligingsmaatregelen, problemen bij het implementeren van technische maatregelen en moeite om personeel op de vereiste gebieden opgeleid te krijgen of te houden. Daarnaast kunnen organisaties uitdagingen ondervinden bij het ontwikkelen van beleid, procedures en processen die voldoen aan de CMMC Level 3-vereisten, en bij het zorgen dat alle belanghebbenden hun rollen en verantwoordelijkheden begrijpen in het waarborgen van de beveiligingsstatus van de organisatie.

CMMC 2.0 Level 3-uitdagingen overwinnen

Organisaties kunnen de uitdagingen die gepaard gaan met het implementeren van CMMC Level 3-vereisten overwinnen door een uitgebreid beveiligingsplan te ontwikkelen, te investeren in beveiligingstraining en -educatie voor personeel, externe bronnen in te schakelen, geautomatiseerde oplossingen en/of uitbestedingsdienstverleners in te zetten ter ondersteuning van de implementatie, en belanghebbenden op de hoogte te houden. Daarnaast dienen organisaties de beveiligingsstatus van de organisatie regelmatig te monitoren om naleving te waarborgen en eventuele aandachtspunten aan te pakken. Organisaties moeten ook een proactieve benadering van beveiliging hanteren en prioriteit geven aan het reageren op bedreigingen en kwetsbaarheden die tijdens hun beveiligingsbeoordelingsproces zijn geïdentificeerd.

Risico’s van niet-naleving van CMMC 2.0 Level 3

Als een organisatie niet voldoet aan de CMMC 2.0 Level 3-vereisten, kan dit leiden tot verlies van toegang tot overheidscontracten en kan de organisatie worden onderworpen aan boetes en sancties. Bovendien kan het niet voldoen aan de vereisten leiden tot reputatieschade en verlies van vertrouwen in het vermogen van de organisatie om CUI en andere gevoelige inhoud te beveiligen.

Kiteworks versnelt de tijd tot CMMC 2.0-naleving voor DoD-leveranciers

Het Kiteworks Private Content Network (PCN) is FedRAMP Authorized voor Moderate Level Impact. Hierdoor helpt het Kiteworks PCN DoD-aannemers en onderaannemers om CMMC 2.0-naleving aan te tonen. Sterker nog, Kiteworks ondersteunt bijna 90% van de CMMC Level 2-vereisten direct uit de doos. Andere leveranciers van nalevingsoplossingen zonder FedRAMP Authorized-certificering kunnen dit nalevingsniveau niet bereiken. Kiteworks versnelt daarom de tijd die DoD-leveranciers nodig hebben om CMMC Level 2-naleving te behalen.

Met een content-gedefinieerde zero-trust aanpak, ondersteund door een FedRAMP-geautoriseerd platform met een hardened virtual appliance, beschermt Kiteworks gevoelige communicatie met CUI- en FCI-inhoud via diverse kanalen—waaronder e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en application programming interfaces (API’s).

Plan vandaag nog een aangepaste demo om te zien hoe het Kiteworks Private Content Network DoD-aannemers en onderaannemers in staat stelt hun CMMC-certificeringsproces te versnellen en te vereenvoudigen.

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Share
Tweet
Share
Explore Kiteworks