Сертификация модели зрелости кибербезопасности (CMMC)

Защитите свой бизнес с CyberHoot сегодня!!!

Подписаться

Сертификация модели зрелости кибербезопасности (CMMC) это система уровней соответствия, которая помогает правительству, в частности Министерство обороны (ДО), определить, есть ли в организации меры безопасности для безопасной работы с контролируемой несекретной информацией (В) или другие критически важные для бизнеса данные. Компаниям, заинтересованным в сотрудничестве с Министерством обороны США, необходимо иметь рейтинг CMMC и соблюдать определённые правила CMMC. Изначально CMMC предлагал определённые уровни сертификации, однако, как показано ниже, с выпуском версии CMMC 2.0 в январе 2022 года количество уровней было сокращено до трёх, как описано ниже.

Уровень 1 – это то, чего большинство компаний уже должны были достичь; сюда входят базовые системы безопасности, password гигиена и антивирус Защитное программное обеспечение. Уровень 3 включает в себя проактивные методы обнаружения и устранения угроз до их возникновения, а также системы и процессы для аудита инфраструктуры, выявления уязвимостей и их устранения. Система уровня 3 постоянно оптимизируется.

Сертификация CMMC требуется организациям, работающим с информацией Министерства обороны США. Если организация работает с CUI, ей может потребоваться только допуск 2-го уровня или ниже. Если организация работает с секретной информацией, ей, вероятно, потребуется допуск 3-го уровня.

Что это означает для малого и среднего бизнеса?

Если вы заинтересованы в сотрудничестве с государственными органами, вашей организации может потребоваться соответствие требованиям CMMC. Требования соответствия CMMC различаются в зависимости от контракта: многие контракты требуют соответствия только уровня 1 или 2, но некоторые контракты требуют соответствия уровня 3.

Если вы не работаете в государственном секторе, но планируете в будущем работать в оборонной промышленности, вам всё равно стоит начать свой путь к CMMC. Многие считают, что организации может потребоваться от 12 до 18 месяцев для достижения уровня готовности CMMC 2 и дольше для уровня 3.

Вам также следует обратиться к консультанту CMMC за помощью в подготовке. Существует множество путей, которые могут привести в тупик. Другие решения в рамках CMMC ещё предстоит принять, в частности, кто может самостоятельно подтвердить соответствие требованиям 2-го уровня, а кто должен будет пройти сертификацию в лицензированной организации.

Базовые принципы соответствия CMMC основаны на проактивных и последовательных передовых практиках обеспечения безопасности, основанных на целях контроля NIST 800-171. Именно на этих мерах контроля следует сосредоточиться большинству организаций для реализации эффективной программы глубокоэшелонированной киберзащиты и просто для обеспечения душевного спокойствия. 

Дополнительные рекомендации, приведенные ниже, помогут вашей организации встать на правильный путь к соблюдению требований CMMC. 

Дополнительные рекомендации по кибербезопасности

Кроме того, приведенные ниже рекомендации помогут вам и вашему бизнесу защититься от различных угроз, с которыми вы можете сталкиваться ежедневно. Все перечисленные ниже предложения можно получить, воспользовавшись услугами по разработке программы vCISO компании CyberHoot.

1. Управляйте сотрудниками с помощью политик и процедур. Вам как минимум потребуется политика паролей, политика допустимого использования, политика обработки информации и письменная программа информационной безопасности (WISP).
2. Обучите сотрудников тому, как выявлять и избегать фишинговые атаки. Внедрите систему управления обучением, такую как CyberHoot, чтобы обучить сотрудников навыкам, необходимым для повышения уверенности, продуктивности и защищенности.
3. Протестируйте сотрудников на фишинговых атаках для практики. Тестирование на фишинг от CyberHoot позволяет компаниям проверять сотрудников с помощью правдоподобных фишинговых атак и отправлять тех, кто не справится с фишинговыми атаками, на дополнительное обучение.
4. Внедрить критически важные технологии кибербезопасности, включая двухфакторная аутентификация на всех критически важных аккаунтах. Включите фильтрацию спама в электронной почте, проверьте резервные копии, разверните защиту DNS. антивируси защиту от вредоносных программ на всех ваших конечных точках.
5. В современную эпоху работы на дому обязательно контролируйте персональные устройства, подключающиеся к вашей сети, проверяя их безопасность (установка исправлений, антивирус, защита DNS и т. д.) или полностью запрещая их использование.
6. Если вы не проводили оценку рисков независимой организацией в течение последних двух лет, вам стоит сделать это сейчас. Создание системы управления рисками в вашей организации критически важно для устранения самых серьёзных рисков с учётом ограниченного времени и средств.
7. Приобретите киберстраховку, чтобы защитить себя в случае катастрофического сбоя. Киберстрахование ничем не отличается от страхования автомобиля, пожара, наводнения или жизни. Оно доступно именно тогда, когда оно вам больше всего нужно.

Все эти рекомендации встроены в продукт CyberHoot или в сервисы vCISO CyberHoot. С CyberHoot вы можете управлять, обучать, оценивать и тестировать своих сотрудников. Перейти к странице CyberHoot.com и запишитесь на наши услуги уже сегодня. Как минимум, продолжайте обучение, подписавшись на наши ежемесячные рассылки. Информационные бюллетени по кибербезопасности чтобы быть в курсе текущих обновлений в сфере кибербезопасности.

Чтобы узнать больше о CMMC, посмотрите это короткое 3-минутное видео:

источники: 

Красная река

Дополнительная литература:

Обеспечение безопасности оборонно-промышленной базы

Новые требования CMMC 2.0

CyberHoot предлагает вам воспользоваться другими ресурсами. Ниже приведены ссылки на все наши ресурсы, вы можете ознакомиться с ними в любое удобное время: 

• Блог
• Cybrary (Кибербиблиотека)
• Инфографика
• Рассылки
• Пресс-релизы
• Обучающие видео (HowTo) – очень полезно для наших Суперпользователей!

Примечание: Если вы хотите подписаться на нашу рассылку, перейдите по любой ссылке выше (кроме инфографики) и введите свой адрес электронной почты в правой части страницы, затем нажмите ««Присылайте мне информационные бюллетени».