行业声音:CMMC 2.0,合规方面好坏参半

通过麦克奥利维尔2021年11月14日

航空航天和电子产品

美国国防部发布网络安全成熟度模型认证(CMMC) 2.0很有可能,随着项目的成熟,还会有进一步的改进。重要的是,2.0关注的是110个控件NIST 800 - 171另外35个增强的控制NIST 800 - 172.随着成熟度级别的要求,一些CMMC 1.0控制被取消了。

新的CMMC版本恢复到NIST 800-171中最初的14个域;他们是不变。例外是在CMMC 2.0级别3;增强的控制(NIST 800-172)是一些域的额外需求。最重要的更改涉及CMMC计划的执行和实现。

其中一个变化是减少了CMMC框架中的级别数量;CMMC 1.0有五个级别,但是2.0有三个级别:基础级、高级级和专家级。从CMMC 1.0降低的两个级别是不重要的;dc逻辑只能描述为什么要创建这些关卡。

在2.0版本中,第1级仍然是联邦合同信息(FCI)。2级和3级关注受控非机密信息(CUI)。一般来说,CUI有三种类型,每一种类型对承包商都有影响。Level 2有两类CUI,临界和非临界;差异取决于信息的价值。关键CUI是关键的国家安全信息;非关键信息就是不重要的信息。接下来的问题是,是什么决定了其中一个,政府必须决定这一点,而与CMMC 1.0一样,这可能会变得很复杂。

CUI的最后一个类是Level 3,与CMMC 1.0中的Level 4和Level 5相同。Class 3将包括所有NIST 800-171要求和NIST 800-172的增强要求。另一个变化可能是程序的加速;对于CMMC 1.0,我们花了五年时间才推出;计划从2025财年末开始。在CMMC 2.0中,这一需求预计将在未来24个月内开始。这一点也可能会改变。

在基础1级(FCI)中,不再需要第三方审计。要求承包商每年自我评估他们对现有CMMC 1.0实践控制的遵守情况,并将他们的得分输入供应商绩效风险系统(spr)。是否有最低分数要求,这是一个悬而未决的问题。然而,这似乎很简单,尽管在过去,自我评估的价值一直受到质疑。

在高级级别2 (CUI)中,第三方审计的要求已被取消。要求承包商自我评估他们是否符合NIST SP 800-17中的110控制,并每年将他们的分数输入SPRS。会有一个最低分数要求。除年度报告外,临时规则所概述的现行报告要求没有变化。

CMMC 2.0允许行动计划和里程碑(POAM)。然而,这只适用于NIST SP 800-171中的非关键元件。假设关键元素是44个权重最高的需求;这些控制略少于总数的一半,它们是最困难的,也是最有可能出现在POAM上的。这意味着POAM将只适用于简单的三点和一点控件。关于POAM的另一个问题是,年度报告迫使组织执行其POAM并满足剩余的控制。在某些情况下,组织将不得不自我评估它们是否完全符合规定。然而,2级非关键CUI最显著的变化是放弃第三方审计要求,转向自我评估。

在Level 2中,不允许POAM,组织要满足NIST SP 800-171中的110控制。其次,有一个三年一次的第三方评估要求,这意味着具有关键CUI的组织将每三年进行一次评估。这与CMMC 1.0没有什么不同。

3级(CUI),专家级,组织是满足所有NIST 800-171和额外的35个增强控制NIST 800-172共计145个要求。与2级严重CUI一样,每三年进行一次评估;这项评估将由政府主导。

CMMC 2.0的目标是响应国防工业基地(DIB)关于复杂的法规遵循需求和成本的问题。有了三个级别的遵从性,并通过返回到NIST要求,这消除了冗余的级别,减少了遵从性计数。消除额外的CMMC需求和第三方评估降低了成本。

然而,在CMMC 2.0中可能存在其他风险。在1级和2级非临界CUI中,自我评估的有效性存在问题。不幸的是,过去的DIB自我报告并没有反映现实。然而,底线是CMMC需求不会消失;要求的结构仍然是NIST 800-171。作为任何级别的DIB承包商,建议实施NIST 800-171的基本要求。

拥有30年信息技术经验的Mike Olivier将他的专业知识带到圣地亚哥的小企业系统安全规划171年执行.作为一个在联邦政府工作的小企业主,作为一个主承包商和一个分包商,他了解经营小企业的现实。联系迈克mikeo@171comply.com

Baidu