E安全2月14日讯,据外媒报道,于2020年1月31日,美国国防部发布了新的网络安全标准——《网络安全成熟度模型认证1.0版》(简称CMMC 1.0)。美国防部表示,到2026年,国防承包商在回应政府采购计划的提案请求时,必须满足基本的网络安全标准。美国防部希望通过新版CMMC框架的推出,以增强国防工业基础(DIB)分包商的网络安全准备程度的方式,加强对供应链非机密信息(联邦合同信息(FCI)和受控未分类信息(CUI)的保护。继上一期谈了网安成熟度模型框架分析和进程级别之后,本期将要介绍CMMC的网安成熟度等级划分和新增变化。
CMMC等级划分
第一级:基础的网络卫生
一级要求最低。据国防部负责采办的助理部长办公室网络事务特别助理凯蒂·阿灵顿介绍,CMMC框架大约确定了17个网络安全特定“领域”,一级合规性仅要求在各个领域制定一项基本的“控制”措施
第二级:中级网络卫生,72种实践
二级被认为是过渡阶段。五角大楼可通过建立新的流程、规划和预算帮助各企业为更高的认证级别做好准备,其主要目标仍是“帮助小企业”。
第三级:良好的网络卫生,130种实践
三级被认为是跨度最大的一级,是处理受控非机密信息的最低要求。企业的控制措施必须从前两级要求的17项增加到110多项。这些标准出自美国国家标准技术研究院的NIST 800-171修订版文件,也是目前许多企业声称已经达到的标准。
第四级:主动型,156种实践
与联邦收购法相符
包括NIST SP 800-171 r 1中的所有实践。
外加NIST SP800-171B草案的11个额外实践。
包含额外15个实践,这些实践对一个主动出击型的网络项目进行了阐述。
第五级:高级别,171个实践
据悉,第四级和第五级针对承包最敏感合同的“极核心技术企业”,增加了额外的控制措施。而综上可知,这些标准将来自美国国家标准技术研究院、国际标准组织(ISO)、航空航天工业协会(AIA)等机构已经发布或正在制定的标准。
新版CMCC主要变化
新版CMMC模型利用了多处资源,进行了多方参考,包括:
CMMC第一级 只解决联邦并购法52.204-21条款涉及的惯例。
CMMC第三级 包括NIST SP 800-171r1等条款所涉实践(案例/惯例)。
CMMC第四和第五级整合了NIST SP 800-171B草案和其他法案中的部分实践(案例/惯例)。
此外,新版本的CMCC还参考了其他资源,如英国网络要素和澳大利亚网络安全中心必要的八种成熟度模型。
在CMMC认证方案中,企业不再“自行认证”而由美国防部授权第三方进行评估是最大的变化之一,且费用由企业承担。
理论上,企业今后可以在不遵守规定的情况下竞标,但必须在选出“中标者”前获得所要求的等级的认证,否则将失去资格。因为未经认证的企业无法获得合同,且五角大楼官员无权给予任何企业网络安全认证的通行证。
据报道,CMMC认证尤其会对小企业造成负担,美国防部将在不影响国家安全的前提下将影响降至最低。主承包商和工业界协会都在研究构建满足各种CMMC等级的计算基础架构,供分包商访问,让后者不必自己支付创建这些设施的费用。