针对美国国防部 (DOD) 承包商的新网络安全规则正在进入冲刺阶段。这些规则在该机构的网络安全成熟度模型认证(CMMC)计划中建立了全面且可扩展的评估机制,旨在确保承包商和分包商实施国防部要求的信息安全措施。
该部门过去很大程度上依赖供应商的安全自我评估,一段时间以来,该部门因其对供应商的监管薄弱而受到监察长的批评。
在 12 月发布的一份报告中,总督罗伯特·P·斯托奇 (Robert P. Storch) 指出,他的机构从 2018 年到 2023 年发布了五份报告,一致发现国防部合同官员未能建立流程来验证承包商是否遵守受控非机密信息 (CUI) 的选定联邦网络安全要求根据美国国家标准与技术研究所 (NIST) 的要求。
斯托奇还指出,自 2022 年以来,他的办公室已参与了美国司法部的五项调查,针对涉嫌欺诈性证明其遵守 NIST 网络安全标准的政府承包商和赠款接受者。
CMMC 是确保国防部供应链安全的一种方法
CMMC 要求是对国防部监察长报告的回应,作为评估和验证是否符合国防部安全要求的一种方式。国防部供应链知识产权和 CUI 的总体损失严重削弱了美国的技术优势,扰乱了商业机会,最终威胁到我们的国防和经济。
通过将网络安全纳入采购计划,CMMC 计划为国防部保证承包商和分包商满足国防部网络安全要求,并提供关键机制来适应不断变化的威胁形势。这是该部门确保供应链安全的一种方式。
CMMS 规则对待托管服务提供商方式的重要变化
该规则重申了这样的决定:对于大多数拥有 CUI 的国防部供应商来说,自我证明是不够的,并且对 NIST 标准的期望保持较高水平将会被满足。
与先前版本的 CMMS 规则相比,一个重要的变化是它们对待托管服务提供商 (MSP) 的方式。之前版本的规则引起了人们对 MSP 需要遵守联邦风险和授权管理计划 (FedRAMP) 规则的担忧,该规则为联邦政府的云服务产品 (CSO) 安全授权提供了标准化方法。授权分为三个影响级别(低、中和高),但大多数获得 FedRAMP 授权的产品的影响级别为中等。
CMMC 可能对太多公司来说是负担不起的
FedRAMP 从来就不是为了商业组织向其他商业组织提供的云服务而设计的,因此,拟议的规则不会使托管服务提供商受到 FedRAMP 适度的约束。他们确实表示,如果他们持有或托管受控的非机密信息,他们将与拥有相同信息的承包商一样受到相同的 NIST 要求的约束。
这一变化将使更多的公司能够在选择托管服务提供商和其他外部服务提供商方面做出审慎的决策,这些提供商可以帮助他们以较低的总体成本实现合规性并维持安全性。CMMC 面临的最大危险是太多公司无力承担。
解决可负担性的最佳答案是使公司能够通过使用外部服务提供商来满足大多数特定的网络需求。为了实现这一目标,我们必须有一种方法来评估或验证这些外部服务提供商,以便公司有一个外部服务提供商市场可供选择。
制造商不再需要满足 NIST 标准
拟议的规则还让制造商摆脱了遵守 NIST SP 800-171 的困境。SP 800-171 是一组 NIST 网络安全规则,用于保护敏感的联邦信息。171 套网络标准的要求是为 IT 网络和信息系统设计的,它们从来都不是真正为制造环境而设计的。现在拟议的规则中明确表示,评估不适用于运营技术。
这应该会让制造商松一口气,因为被要求满足根本不适合制造或 OT 环境的 NIST 标准会导致多种形式的麻烦。最重要的改变是那些没有改变的事情。该文档的结构和策略与 1.0 中的基本相同。它需要对大量国防供应商进行第三方评估。
拟议的 CMMC 规则 2.0 版已于 12 月 26 日在《联邦公报》上发布。感兴趣的各方必须在 2 月 26 日之前向国防部提交意见,然后该机构才会最终确定规则。