为新国防部IT安全准则做好准备

    国防部为承包商发布了新的网络安全指南。了解新的CMMC规则与其他任务以及如何准备进行了比较。

    联邦承包商IT安全准则

    今天，联邦承包商面临着令人眼花array乱的IT安全准则。对于想要与联邦机构和其他政府实体开展业务的任何人来说，了解这些结构的差异以及如何将其应用于您的业务至关重要。

    国防部正在推出一套新的网络安全标准，称为网络安全成熟度模型认证（CMMC）计划。CMMC将于2020年6月开始接受提案请求。它与其他情况下使用的其他网络安全指南（包括NIST SP 800-171和《联邦采购条例》（FAR）以及《国防联邦采购》）并入并具有许多相似之处法规补充（DFARS）。

    而且，这些结构还依赖于其他两个概念-受控未分类信息（CUI）和零信任体系结构。这足以让任何IT高管或C级官员肚子疼。

    让我们从这些准则寻求保护的数据开始。

    什么是CUI？

    受控的未分类信息是需要由非政府实体保护的未分类数据的集合。它通常涵盖属于以下类别之一的信息：

    政府合同中确定的信息

    国防部提供给承包商的信息

    承包商在执行政府合同期间创建的信息

    认为CUI的信息各不相同，分为各种类别。例如，专利申请和发明被视为CUI。一个CUI类别的一部分。另一类包括隐私数据，包括死亡记录，遗传信息，健康信息，学生记录，人员记录和军事记录。

    所涵盖的数据显然是敏感的，值得保护。随着时间的推移，联邦机构已使用各种方法来确保承包商确保数据安全。

    什么是零信任架构？

    2019年底，美国商务部国家标准技术研究院发布了一套新的标准，包括旨在帮助组织采用零信任架构方法的术语和定义。ZTA是一种越来越流行的网络安全方法。

    从历史上看，网络安全一直集中在广泛的网络边界上。而使用ZTA时，该关注点会缩小到一小部分资源或个人。ZTA根本缺乏信任。作为局域网的一部分或位于本地已不再足够。

    使用ZTA，仅在需要资源时才授予访问权限。在建立连接之前，用户和设备均已通过身份验证。

    云应用和远程用户的急剧增长推动了向ZTA的转变。外围不再是网络安全的正确重点。ZTA而是专注于保护资源。

    国防部新的网络安全要求是什么？

    在查看新的CMMC指南之前，请务必注意用于联邦合同的一般指南。FAR是一套指导企业如何与联邦政府合作的准则。FAR准则包括承包商必须遵循的一些有关网络安全的基本规则。

    DFARS是一组专门针对与国防部合作的承包商的准则，要求供应商提供足够的安全性并及时报告网络事件。

    多年来，NIST SP 800-171是承包商网络安全以及如何满足DFARS合规性的标准。NIST SP 800-171准则要求承包商和分包商在14个类别中展示对IT安全的合规性，这些类别涵盖了技术领域，例如事件响应，配置管理和维护时间表。它们还涵盖培训，政策，风险评估和人身安全。在这14个类别中，有110个特定的遵从点。

    CMMC有望接管IT安全的主要监管结构，这是由于大量数据泄露事件引起的，并且担心NIST指令不能提供足够的保护。

    另一个问题是某些NIST SP 800-171组件的自我报告性质。这意味着在竞标国防部合同时，不严格采用严格要求（以及相关成本）的承包商可能会占优势。

    CMMC围绕五个合规性级别进行组织。 基本的网络卫生（第一级）符合维护承包商信息系统的最基本的联邦标准。NIST SP 800-171映射到CMMC（良好的网络卫生）之下的中层。承包商必须达到访问CUI的级别。

    承包商保留了两个较高级别的合规性，以表现出对高级和持续性网络攻击的更强大防御。

    CMMC如何帮助国防部？

    对于国防部而言，CMMC旨在帮助该机构简化对潜在承包商的评估。首先，国防部合同将定义必须在哪个CMMC级别上对承包商进行认证才能投标。它还可以帮助与以前一直自我报告许多合规性要求的承包商建立公平的竞争环境。

    尽管尚未设置认证期限，但可以通过独立的第三方评估员来认证企业。

    我的企业可以做什么来满足CMMC要求？

    丞昊信息与企业合作以保护数据和系统。我们的网络安全评估工具可帮助企业为CMMC评估做准备并提供持续的合规性管理解决方案。通过 今天与我们联系，详细了解LaScala IT如何使您的业务合规并受到保护 。