美国防部网站当地时间10月17日报道,美国防部周五在《联邦公报》上发布了网络安全成熟度模型认证计划的最终规则供公众查阅。该规则包括一些新变化,使私营部门公司更容易遵守网络安全要求,这些要求必须在他们竞标国防合同之前到位。
美国防部的“网络安全成熟度模型认证”计划(也称为 CMMC),旨在确保作为国防工业基础的一部分为国防部工作的私营部门公司证明,他们的计算机网络和网络安全实践,能够抵御可能希望访问有关政府合同和武器系统开发信息对手的入侵。
据美国防官员称,美国防工业基础是反复出现且日益复杂的网络攻击的目标,目标是在非联邦非机密信息系统上处理、存储或传输的受控非机密信息和联邦合同信息。这些攻击威胁到国防部的使命和国家安全。
新的CMMC规则包含在《联邦法规》第32章(专门针对国防的部分)中,该规则的一个重大变化是简化了以前在CMMC计划中的评估级别。新规则将级别数量从5个减少到仅3个。
CMMC项目管理办公室主任迪斯说:“从5个级别减少到3个级别,是我们从原始计划到刚刚发布的计划时所做的简化工作的一部分”。
CMMC计划要求与该部门有业务往来或希望与该部门有业务往来的私营部门公司,证明符合《联邦采购条例》和美国国家标准与技术研究院(NIST)特别出版物(SP)中描述的网络安全要求。
美国防部此前的CMMC计划包括5个合规性级别,其中第二级和第四级是专门为帮助公司在其他级别之间进行过渡而设计的。迪斯说:“作为精简的一部分,我们取消了过渡级别。”
迪斯说,现在只有3个级别的合规性。他说,在CMMC内部,1级合规性要求承包商自我评估他们为联邦合同信息提供基本保护的能力。在第2级,即对受控非机密信息的一般保护,公司将根据他们需要处理信息的性质,进行自我评估或寻求CMMC第三方评估机构的评估。
对于最高级别3级,合规性要求公司展示出保护更高级别受控非机密信息的能力。它还明确确定了CMMC 3级认证规定的24项“NIST SP”800-172要求。此级别的认证,必须由美国防部自己的国防工业基础网络安全评估中心进行评估。
迪斯说,CMMC还以其他方式进行了简化,使私营公司更容易证明网络安全合规性并有资格为国家安全做出贡献。
例如,根据最初的计划,迪斯表示,该部门不仅仅对国防工业基础的公司是否满足网络安全要求感兴趣。它还对国防工业基础公司用于实现合规性的流程,以及这些流程是否可重复感兴趣。
迪斯说:“当我们从原来的CMMC转到现在的CMMC时,我们决定取消对该流程部分的评估,我们将严格专注于评估网络安全要求。”
美国防部已实施的CMMC还删除了另一组要求,但与NIST概述的网络安全标准不一致。
迪斯说:“我们原来还纳入了20项NIST以前没有要求的网络安全要求。当我们从CMMC过渡到新的阶段时,我们决定直接与NIST网络安全标准保持一致。我们去掉了那20个CMMC的独特要求。我们删除了它们,作为从原始程序到修订程序的一部分。”
CMMC的开发已经以各种形式进行了五年多。然而,事实证明,实施CMMC的最初计划很繁琐,并在国防工业基础内部引起了担忧,尤其是在可能没有更大、更成熟的国防承包商资源的中小型公司内部。
美国防工业基础网络安全负责人博斯特贾尼克说:“中小型企业有迹象表明,他们很难实现这一目标”。
她说,根据商业界的反馈,决定研究如何按照最初的计划使CMMC对企业来说更简单、更便宜,同时仍然确保国家安全。
博斯特贾尼克说:“新政府下定决心我们需要重新审视该计划,并确保我们正在做它打算做的事情,并且我们不会对国防工业基础社区造成过于艰巨和繁重的负担。我们希望确保继续得到工业界的支持和参与。”
她说,美国政府对已经开发的CMMC进行了“战略暂停”,以便对其进行重新评估。她说,新的CMMC有望更好地被国防工业基础接受,同时确保国家安全。
博斯特贾尼克说:“CMMC将保护我们的知识产权和创新。我们的数据不断被高级持续性威胁窃取。我们的承包商成为恶意行为者的目标,他们试图通过保留他们的数据向他们勒索钱财,这使我们在战场上的服役人员处于危险之中,因为他们阻碍了我们确保他们手中拥有最好和最高能力武器的能力。”
她说,美国防部将通过CMMC确保国防工业基础与国防部合作开发的武器系统,只掌握在美国的作战人员和盟友手中,而不是最终落入对手的手中。
《联邦法规》第32章CMMC最终规则长达450页,详细描述了CMMC计划。现在该规则已经公开,它正在等待国会的批准,这个过程将需要60天。
此外,《联邦法规》第48章CMMC拟议规则《国防联邦采购法规补充》DFARS条款252.204-7021,已于10月15日完成公众意见征询。该规则还须最终确定并得到国会批准,然后该部门才能将CMMC合规性要求插入国防合同。作为授予合同的条件,处理、存储或传输FCI或CUI的承包商必须达到适当的CMMC级别。预计这要到2025年初到年中才会发生。
延伸阅读
CMMC计划目的是验证国防承包商是否遵守针对联邦合同信息(FCI)和受控非机密信息(CUI)的现有保护措施,并在与网络安全威胁(包括高级持续威胁)风险相称的级别保护该信息。
CMMC计划实施年度确认要求,这是监控和执行公司网络安全状态问责制的关键要素。
通过修订后的CMMC计划,该部门还引入了行动计划和里程碑 (POA&M)。将针对规则中概述的特定要求授予POA&M,以允许企业在努力满足NIST标准的同时获得180天的有条件认证。