Das Verständnis der CMMC-Kontrollen ist entscheidend für jedes Unternehmen, das mit dem DoD zusammenarbeiten möchte. Unabhängig davon, ob Sie ein großer Auftragnehmer oder ein kleines Unternehmen sind, kann die Implementierung dieser Sicherheitsmaßnahmen einen erheblichen Unterschied in Ihren Cybersicherheitsbemühungen machen.

Lassen Sie uns die drei Ebenen des CMMC 2.0 und einige Tipps zur Umsetzung der Anforderungen erkunden. Wir werden auch einen Teil der Kontrollen jeder Ebene abdecken, um ein besseres Verständnis der wichtigsten Anforderungen und Sicherheitspraktiken zu gewährleisten.

Die Struktur des CMMC 2.0

Das CMMC besteht aus drei Ebenen der Cybersicherheitsreife, die jeweils einen unterschiedlichen Grad an Praktiken und Schutzmaßnahmen in der Cybersicherheit darstellen.

Die letzte Überarbeitung des CMMC 2.0 hat die fünf Compliance-Ebenen auf drei konsolidiert. Dies wurde getan, um das Rahmenwerk zu vereinfachen und es einer größeren Anzahl von Organisationen zugänglicher zu machen. Mit weniger Ebenen können Verteidigungsunternehmer und Unterauftragnehmer die notwendigen Anforderungen klarer identifizieren, wodurch die Komplexität und die mit der Erreichung und Aufrechterhaltung der Konformität verbundenen Kosten reduziert werden. Darüber hinaus ermöglicht ein vereinfachtes Rahmenwerk einen effizienteren Zertifizierungsprozess.

Hier ist ein kurzer Überblick über jede CMMC-Zertifizierungsebene:

• Ebene 1 - Fundamentale : Konzentriert sich auf die grundlegende Cyber-Hygiene, geeignet für alle Auftragnehmer, die mit Bundesvertrag-Informationen (FCI) umgehen, mit 17 wesentlichen Anforderungen.
• Ebene 2 - Fortgeschritten : Stimmt mit dem NIST SP 800-171 überein, das für eine mittlere Cyber-Hygiene für Organisationen, die mit kontrollierten, nicht klassifizierten Informationen (CUI) umgehen, bestimmt ist und 110 umfassende Anforderungen integriert.
• Ebene 3 - Experte : Zielt auf fortschrittliche Cybersicherheitspraktiken für hochsensible Informationen ab, mit 130 Praktiken zum Schutz vor fortgeschrittenen anhaltenden Bedrohungen (APT).

Jede Ebene des CMMC 2.0 stellt einen Fortschritt in der Cybersicherheitsreife dar, der sicherstellt, dass Organisationen ihre Fähigkeit zur Sensibilisierung und zur Reaktion auf Cyberbedrohungen schrittweise verbessern.

CMMC 2.0-Bereiche und Praktiken

Das CMMC 2.0 ist in 14 Bereiche unterteilt, die jeweils einen Schlüsselbereich der Cybersicherheit repräsentieren.

1. Zugangskontrolle (AC)
2. Bewusstseinsbildung und Ausbildung (AT)
3. Audit und Verantwortung (AU)
4. Konfigurationsmanagement (CM)
5. Identifizierung und Authentifizierung (IA)
6. Vorfallsreaktion (IR)
7. Wartung (MA)
8. Medien Schutz (MP)
9. Personalsicherheit (PS)
10. Physische Sicherheit (PE)
11. Risikobewertung (RA)
12. Sicherheitsbewertung (CA)
13. System- und Kommunikationsschutz (SC)
14. System- und Informationsintegrität (SI)

Jede Reifestufe in diesen Bereichen beinhaltet spezifische Anforderungen. Diese Anforderungen sind die umsetzbaren Schritte oder Sicherheitskontrollen, die Organisationen implementieren müssen, um das entsprechende Reifegradniveau in der Cybersicherheit zu erreichen. Die Anforderungen sind kumulativ, was bedeutet, dass höhere Level die Anforderungen der niedrigeren Level beinhalten.

Zum Beispiel umfasst der Bereich Zugriffskontrolle (AC) die folgenden Anforderungen.

Stufe 1:

• 3.1.1: Begrenzen Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder Geräte (einschließlich anderer Informationssysteme).
• 3.1.2: Begrenzen Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen.
• 3.1.20: Überprüfen und kontrollieren/begrenzen Sie die Verbindungen und die Nutzung externer Informationssysteme.
• 3.1.22: Kontrollieren Sie die Informationen, die auf öffentlich zugänglichen Informationssystemen veröffentlicht oder bearbeitet werden.

Stufe 2: Zusätzlich zu den Kontrollen auf Stufe 1 implementieren Sie:

• 3.1.10: Verwenden Sie die Sitzungsperre mit Anzeigemustern, um den Zugriff auf Daten und deren Anzeige nach einer Inaktivitätszeit zu verhindern.
• 3.1.11: Beenden Sie (automatisch) die Benutzersitzungen nach einer definierten Bedingung.
• 3.1.12: Überwachen und kontrollieren Sie Remote-Zugriffssitzungen.
• 3.1.14: Leiten Sie Remote-Zugriff über verwaltete Zugangskontrollpunkte um.
• 3.1.15: Erlauben Sie die Remote-Ausführung privilegierter Befehle und den Remote-Zugriff auf sicherheitsrelevante Informationen.
• 3.1.16: Erlauben Sie den drahtlosen Zugriff, bevor Sie solche Verbindungen zulassen.
• 3.1.17: Schützen Sie den drahtlosen Zugriff durch Authentifizierung und Verschlüsselung.
• 3.1.18: Kontrollieren Sie die Verbindung von mobilen Geräten.
• 3.1.19: Verschlüsseln Sie CUI auf mobilen Geräten und mobilen Computerplattformen.
• 3.1.21: Begrenzen Sie die Verwendung tragbarer Speichergeräte auf externen Systemen.
• 3.1.3: Kontrollieren Sie den Fluss von CUI gemäß den genehmigten Berechtigungen.
• 3.1.4: Trennen Sie die Funktionen von Individuen, um das Risiko böswilliger Aktivitäten ohne Mittäterschaft zu minimieren.
• 3.1.5: Wenden Sie das Prinzip der geringsten Privilegien an, einschließlich spezifischer Sicherheitsfunktionen und privilegierter Konten.
• 3.1.6: Verwenden Sie nicht privilegierte Konten oder Rollen, um auf unsichere Funktionen zuzugreifen.
• 3.1.7 : Verhindern Sie, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, und erfassen Sie die Ausführung dieser Funktionen in den Prüfprotokollen.
• 3.1.8 : Begrenzen Sie fehlgeschlagene Anmeldeversuche.
• 3.1.9 : Stellen Sie Datenschutz- und Sicherheitsmitteilungen bereit, die den geltenden CUI-Bestimmungen entsprechen.

Niveau 3 : Fügt die 24 zusätzlichen Anforderungen in NIST 800-172: Verbesserte Sicherheitsanforderungen zum Schutz von kontrollierten, nicht klassifizierten Informationen hinzu. Es handelt sich um eine ergänzende Veröffentlichung zu NIST 800-171, die detaillierte Sicherheitsanforderungen zum Schutz kritischer Informationen vor fortschrittlichen, hartnäckigen Bedrohungen beschreibt.

Im Rahmen von NIST 800-172 umfassen die Zugriffssteuerungsanforderungen:

• 3.1.1e : Verwenden Sie eine doppelte Autorisierung, um kritische oder sensible Vorgänge auf System- und Organisationsebene auszuführen.
• 3.1.2e : Beschränken Sie den Zugang zu Systemen und Systemkomponenten nur auf Informationsressourcen, die von der Organisation gehalten, bereitgestellt oder ausgegeben werden.
• 3.1.3e : Verwenden Sie von der Organisation definierte sichere Informationsübertragungslösungen, um Informationsflüsse zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

Diese hierarchische Struktur hilft Organisationen, ihre Cybersicherheitsposition systematisch zu verbessern, indem sie zunehmend ausgereifte Praktiken umsetzen.

Beispiele für CMMC 2.0-Kontrollen

Schauen wir uns einige spezifische Beispiele für Sicherheitspraktiken für jede CMMC 2.0-Konformitätsstufe genauer an.

Stufe 1: Fundamentale

Diese Stufe umfasst grundlegende Schutzpraktiken, die für alle Verteidigungsunterauftragnehmer erforderlich sind, die mit FCI umgehen. Diese Praktiken sind auf FAR 52.204-21 abgestimmt und umfassen Sicherheitsmaßnahmen wie Antivirenschutz, regelmäßige Passwortänderungen und physische Sicherheitsmaßnahmen.

Einige Beispiele für Konformitätsanforderungen der Stufe 1:

• Beschränken Sie den Zugang zu Informationssystemen auf autorisierte Benutzer.
• Beschränken Sie den Zugang zu Informationssystemen auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen.
• Überprüfen und kontrollieren/begrenzen Sie Verbindungen und die Nutzung externer Informationssysteme.
• Kontrollieren Sie Informationen, die auf öffentlich zugänglichen Informationssystemen veröffentlicht oder verarbeitet werden.
• Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen der Benutzer agieren, oder Geräte.
• Authentifizieren (oder verifizieren) Sie die Identität dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf organisationale Informationssysteme.
• Desinfizieren oder zerstören Sie Speichermedien von Informationssystemen, die Bundesvertragsinformationen enthalten, vor der Entsorgung oder Wiederverwendung.
• Beschränken Sie den physischen Zugang zu organisatorischen Informationssystemen, Geräten und den jeweiligen Betriebsumgebungen auf autorisierte Individuen.
• Begleiten Sie Besucher und überwachen Sie ihre Aktivitäten.
• Führen Sie Prüfprotokolle über physischen Zugang.
• Kontrollieren und verwalten Sie physische Zugangseinrichtungen.
• Schutz vor Schadcodes an entsprechenden Stellen innerhalb der Informationssysteme der Organisation bieten.
• Schutzmechanismen gegen Schadcodes aktualisieren, sobald neue Versionen verfügbar sind.
• Regelmäßige Analysen des Informationssystems und Echtzeitanalysen von Dateien aus externen Quellen durchführen, wenn die Dateien heruntergeladen, geöffnet oder ausgeführt werden.
• Sicherheitskontrollen kontinuierlich überwachen, um die fortlaufende Wirksamkeit der Kontrollen sicherzustellen.
• Fehler in den Informationen und Informationssystemen rechtzeitig erkennen, melden und beheben.
• Schulung zur Sicherheitssensibilisierung anbieten, um die Erkennung und Meldung potenzieller Indikatoren für interne Bedrohungen zu unterstützen.

Stufe 2: Fortgeschritten

Diese Stufe ist auf NIST SP 800-171 ausgerichtet und umfasst Praktiken zum Schutz von CUI. Sie baut auf Stufe 1 auf, indem umfassendere Cybersecurity-Maßnahmen und -Richtlinien hinzugefügt werden.

Beispiele für Hauptanforderungen der Compliance-Stufe 2:

• Basiskonfigurationen und Inventare von Informationssystemen der Organisation (einschließlich Hardware, Software, Firmware und Dokumentation) während der Entwicklungszyklen der jeweiligen Systeme etablieren und pflegen.
• Teilnetze für öffentlich zugängliche Systemkomponenten implementieren, die physisch oder logisch von internen Netzwerken getrennt sind.
• Kryptographische Mechanismen nutzen, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen.
• Die Vertraulichkeit von ruhenden CUI sicherstellen.
• Von FIPS validierte Kryptographie verwenden, wenn sie zum Schutz der Vertraulichkeit von CUI genutzt wird.
• Eine Fähigkeit zur Entdeckung und Identifizierung von Systemen implementieren, um ein aktuelles Inventar der Assets zu pflegen.
• Eine aktuelle Basiskonfiguration des Informationssystems entwickeln, dokumentieren und unter Konfigurationskontrolle pflegen.
• Regelmäßige Penetrationstests an den Informationssystemen durchführen, um Schwachstellen zu identifizieren.
• Automatisierte Mechanismen verwenden, um nicht autorisierte Hard- oder Software zu erkennen und zu alarmieren.
• Spam-Schutzmechanismen an den Ein- und Austrittspunkten der Informationssysteme verwenden, um unerwünschte Nachrichten zu erkennen und entgegenzuwirken.

Stufe 3: Experte

Diese Stufe ist für Organisationen gedacht, die mit den sensibelsten Informationen umgehen und auf einem Unterset von NIST SP 800-172 ausgerichtet sind. Sie umfasst fortgeschrittene und adaptive Cybersecurity-Maßnahmen zum Schutz vor ausgefeilten Bedrohungen.

Die Kontrollen für dieses Konformitätsniveau umfassen eine kontinuierliche Überwachung, eine fortgeschrittene Bedrohungserkennung und eine Segmentierung der Netzwerke. Hier sind einige Beispiele für zusätzliche Kontrollen:

• Ein Sicherheitsoperationszentrum einrichten und betreiben, um Sicherheitsvorfälle zu überwachen, zu analysieren und darauf zu reagieren.
• Eine fortgeschrittene Netzsegmentierung implementieren, um die Auswirkungen von Cybervorfällen einzudämmen und zu begrenzen.
• Täuschungstechnologien nutzen, um fortgeschrittene persistente Bedrohungen zu erkennen, zu analysieren und darauf zu reagieren.
• Red-Team-Übungen durchführen, um die Reaktionsfähigkeit der Organisation gegen simulierte fortgeschrittene Angreifertaktiken zu testen.
• Bedrohungsinformationen in den Incident-Response-Prozess integrieren, um die Erkennungs- und Reaktionsfähigkeiten zu verbessern.
• Eine kontinuierliche Überwachung und Echtzeitanalyse von Cyberbedrohungen implementieren.
• Maschinelles Lernen und künstliche Intelligenz nutzen, um die Erkennung und Reaktion auf Bedrohungen zu verbessern.
• Automatisierte Werkzeuge einsetzen, um die situative Wahrnehmung und Bewertungen der Cybersecurity-Position zu unterstützen.
• Regelmäßiges Implementieren und Testen von Backup- und Wiederherstellungsplänen, um die Fähigkeit zur Wiederherstellung kritischer Informationen im Falle eines Cybervorfalls zu gewährleisten.
• Verwendung fortschrittlicher Verschlüsselungstechniken zum Schutz der Integrität und Vertraulichkeit von CUI.

Was sind NFO-Kontrollen?

Die Kontrollen von nicht-bundesstaatlichen Organisationen (NFO) sind grundlegende Sicherheitskontrollen, die Teil der Standard-Cybersicherheitslage jeder Organisation sein sollen, unabhängig von ihrem CMMC-Level.

Um die NFO-Kontrollen zu verstehen, müssen wir NIST 800-171 und seine Beziehung zu NIST 800-53 untersuchen. CMMC 2.0 ist um das Kontrollset aus Revision 2 von NIST 800-171 aufgebaut, das selbst vom NIST 800-53 abgeleitet ist. NIST 800-171 ist darauf ausgelegt, leichter zu sein, und im Prozess der Reduzierung der 262 Kontrollen des NIST 800-53 auf einen kleineren Satz für NIST 800-171 hat das NIST Annahmen darüber getroffen, welche Kontrollen die Organisationen bereits implementiert haben.

Um es anders zu sagen: Ein Haussicherheitsunternehmen wird Ihnen Ratschläge zu Kameras und Bewegungssensorleuchten geben, weil es annimmt, dass Sie bereits Schlösser an den Türen haben. In ähnlicher Weise ging die Revision 2 des NIST 800-171 davon aus, dass die Grundlagen bereits vorhanden sind. Die NFO-Anforderungen decken in der Regel Bereiche wie Zugangskontrolle, Vorfallreaktion, System- und Informationsintegrität, Bewusstsein und Schulung sowie Sicherheitsbewertung ab.

Die NFO-Kontrollen wurden in der 3. Revision von NIST 800-171 entfernt. Da das CMMC 2.0 jedoch immer noch auf Revision 2 von NIST 800-171 basiert, bleiben die NFO-Kontrollen relevant für die Bereitschaftshaltung eines OSC.

Überschneidung der CMMC 2.0-Kontrollen

CMMC-Kontrollen überschneiden sich erheblich mit anderen föderalen Rahmenwerken wie NIST SP 800-171, NIST SP 800-53 und FedRAMP, da sie alle darauf ausgelegt sind, die Sicherheit föderaler Systeme und Informationsdaten zu gewährleisten.

Hier ist, wie sich die CMMC-Kontrollen auf jedes dieser Rahmenwerke beziehen:

1. CMMC und NIST SP 800-171

Es gibt erhebliche Überschneidungen zwischen diesen beiden Rahmenwerken. NIST SP 800-171 bietet eine Reihe von Richtlinien zum Schutz von CUI in nicht-bundesstaatlichen Systemen und Organisationen. Die Stufen 2 und 3 des CMMC 2.0 umfassen alle 110 Sicherheitsanforderungen des NIST SP 800-171.

Die Stufe 2 von CMMC ist so konzipiert, dass sie eng mit NIST SP 800-171 übereinstimmt, was sie zu einem natürlichen Schritt für Organisationen macht, die bereits NIST SP 800-171-konform sind. Stufe 3 fügt NIST 800-172-Praktiken hinzu, um einen stärkeren Schutz von CUI zu gewährleisten, insbesondere gegen fortgeschrittene persistente Bedrohungen.

2. CMMC und NIST SP 800-53

Der NIST SP 800-53 ist ein umfassenderer und vollständigerer Satz von Sicherheits- und Datenschutzkontrollen, die für föderale Informationssysteme entwickelt wurden. Er gilt für föderale Behörden und Auftragnehmer, die föderale Informationssysteme handhaben und deckt eine breite Palette von Sicherheitskontrollen ab, die über diejenigen für CUI hinausgehen.

Der NIST SP 800-53 ist umfassender als der CMMC und deckt eine breitere Palette von Kontrollen ab, die für verschiedene Arten von Informationen gelten, nicht nur für CUI. Er enthält Kontrollen für Systeme mit hohem Einfluss, was ihn relevant für föderale Behörden und Auftragnehmer macht, die mit sensibleren oder kritischeren Informationen arbeiten.

Der CMMC stützt sich auf den NIST SP 800-53 und speziell auf dessen Ableger NIST 800-171 und ist angepasst, um den spezifischen Anforderungen der Lieferkette des DoD gerecht zu werden. Die meisten der CMMC-Kontrollen sind im NIST 800-53 enthalten.

3. CMMC und FedRAMP

FedRAMP ist speziell auf Cloud-Service-Provider (CSP) ausgerichtet und stellt sicher, dass cloudbasierte Systeme, die von föderalen Behörden genutzt werden, strenge Sicherheitsanforderungen erfüllen. Es verwendet den NIST SP 800-53 als Grundlage, ergänzt durch zusätzliche Anforderungen und Kontrollen, die für Cloud-Umgebungen angepasst sind.

Der CMMC zielt nicht spezifisch auf Cloud-Umgebungen ab wie FedRAMP, aber es gibt viele Überschneidungen in den erforderlichen Sicherheitskontrollen für beide. Zum Beispiel betonen beide Rahmenwerke die Bedeutung von Zugangskontrolle, Vorfallreaktion, System- und Informationsintegrität sowie kontinuierlicher Überwachung.

Organisationen, die sowohl FedRAMP-konform sind als auch die CMMC-Zertifizierung anstreben, können Überschneidungen in den Kontrollen finden, die sie implementieren müssen, insbesondere auf den Stufen 2 und 3 des CMMC. Diese Überschneidungen können dazu beitragen, die Bemühungen zur Einhaltung der Vorschriften zu rationalisieren, aber Organisationen müssen sicherstellen, dass sie die spezifischen Anforderungen jedes Rahmens erfüllen.

Der Hauptunterschied zwischen dem CMMC und diesen anderen Rahmenwerken ist, dass der CMMC speziell für die Lieferkette des DoD entwickelt wurde und sich auf die Überprüfung und Zertifizierung konzentriert, dass nicht-föderale Organisationen die erforderlichen Sicherheitsstandards einhalten, um FCI und CUI zu schützen. Andere Rahmenwerke wie der NIST SP 800-171 und FedRAMP haben einen breiteren Anwendungsbereich und gelten für verschiedene Sektoren und Arten von Informationssystemen, die über die Lieferkette des DoD hinausgehen.

Tipps zur Implementierung der CMMC 2.0-Kontrollen Liste

Der erste Schritt bei der Implementierung von Kontrollen besteht darin, Ihr Konformitätsniveau und die damit verbundenen Anforderungen zu verstehen. Sobald Sie eine Liste von Kontrollen haben, können Sie diese mit Ihren aktuellen Sicherheitspraktiken vergleichen, um Lücken in Ihrer Konformität zu identifizieren. Automatisierte Konformitätstools wie Secureframe werden Ihre bestehenden Kontrollen automatisch speziellen Rahmenwerken zuordnen, einschließlich des CMMC 2.0, sodass Sie schnell Ihren Konformitätsstatus verstehen und sich auf die Implementierung fehlender Kontrollen konzentrieren können. Und da Kontrollen mehreren Rahmenwerken zugeordnet werden können, können Organisationen, die bereits mit ähnlichen Rahmenwerken wie dem NIST 800-171 konform sind, schnell ihre Konformität mit dem CMMC nachweisen.

Heben Sie die Bereiche der Nichteinhaltung hervor, damit Sie Ihre Bemühungen priorisieren und einen Implementierungsplan erstellen können. Sie müssen das Budget, das Personal und die Werkzeuge bewerten, die erforderlich sind, um die erforderlichen Kontrollen umzusetzen. Möglicherweise müssen Sie Schulungstools für Sicherheitsbewusstsein, Konformitätstools und/oder GRC-Tools, CMMC-CUI-Enklaven und andere CUI-Schutztechnologien implementieren. Aus Sicht des Personals kann dies IT-Teammitglieder, Sicherheitsexperten, Compliance-Verantwortliche, Personalmitarbeiter und andere Interessengruppen im gesamten Unternehmen umfassen. Sie müssen das Personal auch schulen, um sicherzustellen, dass jeder seine Rolle im Konformitätsprozess und bei der Aufrechterhaltung solider Cybersicherheitspraktiken versteht.

Sobald es Zeit ist, spezifische Kontrollen umzusetzen, arbeiten Sie von Ihrer priorisierten Liste aus. Halten Sie detaillierte Aufzeichnungen über Ihre Bemühungen, einschließlich der Richtlinien, Verfahren und Nachweise der umgesetzten Kontrollen. Viele Organisationen finden es einfacher, mit grundlegenden Kontrollen wie Passwortrichtlinien und Antivirensoftware zu beginnen, bevor sie umfassendere Kontrollen wie Verschlüsselung und kontinuierliche Überwachungssysteme einführen. Die Compliance-Plattform von Secureframe umfasst Tools, um diesen Prozess zu vereinfachen, einschließlich Richtlinienschablonen, automatisierter Beweiserhebung und kontinuierlicher Überwachung der Kontrollen.

Nachdem Sie alle Konformitätslücken geschlossen haben, können Sie den formellen CMMC-Bewertungsprozess beginnen. Abhängig von Ihrem Konformitätsniveau kann dies eine Selbstbewertung, die Zusammenarbeit mit einem zertifizierten Drittbewerter (C3PAO) oder das Ausfüllen einer Bewertung des Supplier Performance Risk Systems (SPRS) mit dem DoD umfassen.

Nach der Zertifizierung müssen Sie Ihr Kontrollumfeld kontinuierlich überwachen, um dessen Wirksamkeit sicherzustellen und Bereiche zu identifizieren, die verbessert werden müssen. Dies ermöglicht es Ihnen auch, mit sich entwickelnden Bedrohungen und neuen CMMC-Revisionen oder sich ändernden Anforderungen Schritt zu halten.