DoD ने जनता के लिए अपने अवकाश उपहार के रूप में CMMC 2.0 जारी किया

क्रिसमस से एक रात पहले की रात थी, जब पूरे घर में कोई भी प्राणी हलचल नहीं कर रहा था, यहाँ तक कि एक चूहा भी नहीं। रक्षा ठेकेदारों (और उपठेकेदारों) को घेर लिया गया था, सभी अपने-अपने बिस्तरों में आराम से बैठे हुए थे। सुरक्षा आवश्यकताओं के सपने उनके दिमाग में घूम रहे हैं। जब क्रिसमस के अगले दिन इस तरह की हलचल मची, तो रक्षा विभाग (डीओडी) ने कुछ मार्गदर्शन दिया था, जो मायने रख सकता है।

26 दिसंबर को डीओडी प्रकाशित साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन (सीएमएमसी) कार्यक्रम के लिए इसके नवीनतम प्रस्तावित नियम – जिसे “सीएमएमसी 2.0” कहा गया है। इसके मूल में, सीएमएमसी यह सत्यापित करने के लिए एक तंत्र के रूप में कार्य करता है कि एक ठेकेदार ने आवश्यक सुरक्षा आवश्यकताओं को लागू किया है और अनुबंध के पूरे जीवन में अपनी सुरक्षा स्थिति बनाए रख रहा है। नियम, साथ में ये आठ मार्गदर्शन दस्तावेज़26 फरवरी 2024 तक सार्वजनिक टिप्पणी के लिए खुला है।

बदलाव क्यों? 1.0 नियमों के तहत, DoD के पास अनुबंध देने से पहले किसी ठेकेदार द्वारा बुनियादी सुरक्षा आवश्यकताओं के कार्यान्वयन को सत्यापित करने के साधन नहीं थे। इसके बजाय, अधिग्रहण नियमों के अनुसार संभावित ठेकेदारों को स्वयं प्रमाणित करना होगा कि उन्होंने आवश्यक एनआईएसटी एसपी 800-171 आवश्यकताओं को लागू किया है या लागू करेंगे। DoD के आंतरिक ऑडिट में पाया गया कि ठेकेदारों ने विभिन्न चुनौतियों के कारण अनिवार्य आवश्यकताओं को लगातार लागू नहीं किया और सिफारिश की कि DoD ठेकेदारों के प्रदर्शन का बेहतर मूल्यांकन करने के लिए कदम उठाए। इन चुनौतियों का समाधान करने के लिए, सीएमएमसी 2.0 कार्यक्रम:

• समग्र सीएमएमसी स्तरीय मॉडल को सरल बनाता है. मूल मॉडल ने एक जटिल पाँच-स्तरीय प्रणाली का लाभ उठाया। सीएमएमसी 2.0 पर आधारित त्रिस्तरीय दृष्टिकोण पर जोर दिया गया है एनआईएसटी एसपी 800-171 और 800-172 संवेदनशील जानकारी की सुरक्षा के लिए सुरक्षा नियंत्रण। यह नया मॉडल (नीचे ग्राफिक) उद्योग मानकों का लाभ उठाकर और मूल्यांकन और प्रमाणन आवश्यकताओं को सरल बनाकर ठेकेदारों के लिए उनकी आवश्यकताओं को समझना आसान बनाता है – विशेष रूप से छोटे और मध्यम आकार के व्यवसायों के लिए।
• मूल्यांकन आवश्यकताओं में सुधार करता है। सीएमएमसी यह सीमित करती है कि अनुपालन प्रदर्शित करते समय कंपनियां स्व-मूल्यांकन का उपयोग किस प्रकार कर सकती हैं। स्तर 1 (और कुछ स्तर 2 पर) पर स्व-मूल्यांकन की अनुमति देने से, एसएमबी को सरकार के साथ संविदात्मक कार्य में प्रवेश करने का अवसर मिलता है, जब तक कि वे सुरक्षा के लिए बुनियादी सुरक्षा मानकों को पूरा करते हैं। संघीय अनुबंध की जानकारी. हालाँकि, औपचारिक सीएमएमसी प्रमाणन चाहने वाले संगठन को सुरक्षा मानकों के उच्च स्तर पर रखा जाता है और उसे स्तर 2 और 3 के लिए मूल्यांकन आवश्यकताओं का पालन करना चाहिए, जिसके लिए क्रमशः मान्यता प्राप्त तृतीय-पक्ष और डीओडी मूल्यांकनकर्ताओं की आवश्यकता होती है। DoD का CMMC कार्यक्रम लचीलापन, गति, संबंधित लागतों में कमी और बेहतर जवाबदेही की अनुमति देता है।
• स्पष्ट किया कुछ मूल्यांकन परिणामों के बीच पारस्परिकता। अपनी स्थापना के दौरान और इसके पूरे विकास के दौरान, दोहराव और निरर्थक गतिविधियों से बचने के लिए पहले से ही अन्य मानकों या आवश्यकताओं को पूरा करने वाली कंपनियों के लिए पारस्परिकता से संबंधित स्पष्टीकरण की कमी के लिए सीएमएमसी की जांच की गई है। यह हालिया पुनरावृत्ति कंपनियों द्वारा उठाए गए कुछ ज्वलंत प्रश्नों पर अंतर्दृष्टि प्रदान करती है। उदाहरण के लिए, सीएमएमसी उन मूल्यांकनों को स्वीकार करने की अनुमति देता है जो पहले से ही एनआईएसटी एसपी 800-171 का लाभ उठाते हैं, जैसे कि डीसीएमए डिबकैक. इस बीच, FedRAMP जैसे क्लाउड मानकों को केस-दर-केस आधार पर स्वीकार किया जाएगा यदि ऐसे वातावरण में मध्यम या उच्च सुरक्षा बेसलाइन वाले क्लाउड सेवा प्रदाताओं से कनेक्शन शामिल है।
• जवाबदेही और आश्वासन को सुदृढ़ करता है। सीएमएमसी 2.0 सुरक्षा आवश्यकताओं में उतना बदलाव नहीं है जितना कि डीओडी द्वारा अपने ठेकेदारों और आपूर्ति श्रृंखलाओं में सुरक्षा प्रबंधन के तरीके में बदलाव है। 2.0 नियम यह सत्यापित करने के लिए मूल्यांकन और सत्यापन आवश्यकताओं को जोड़ने के लिए अधिग्रहण नियमों में बदलाव करता है कि ठेकेदारों ने सुरक्षा आवश्यकताओं को लागू किया है निम्न से पहले अनुबंध पुरस्कार और प्रमुख ठेकेदारों को उनकी आपूर्ति श्रृंखलाओं में उपठेकेदारों को उचित सीएमएमसी स्तर की आवश्यकताओं को पूरा करने की आवश्यकता होती है। सीएमएमसी द्वारा लगभग 300,000 रक्षा ठेकेदारों को प्रभावित करने के साथ, आश्वासन पर यह जोर संवेदनशील जानकारी की सुरक्षा को प्राथमिकता देते हुए सीएमएमसी के प्रशासनिक बोझ को कम करेगा।

स्रोत:

बा हंबग, मुझे परवाह क्यों करनी चाहिए!?

सीएमएमसी पिछले कुछ वर्षों से काम कर रहा है। कुछ संगठनों ने यह सुनिश्चित करने के प्रयास किए हैं कि वे एकजुट हों जबकि अन्य ने इसमें अपनी एड़ी-चोटी का जोर लगा दिया है। ऐसे स्क्रूज न बनें जो आपकी कंपनी की DoD में प्रवेश करने या उसके साथ काम जारी रखने की क्षमता को बर्बाद कर दे। बुनियादी बातें इकट्ठा करें और:

• सरकारी डेटा प्रकारों के लिए सुरक्षा आवश्यकताओं से स्वयं को परिचित करें। सीएमएमसी को जोखिम के अनुरूप संवेदनशील डेटा की सुरक्षा के लिए डिज़ाइन किया गया है। संघीय अनुबंध सूचना (एफसीआई) और नियंत्रित अवर्गीकृत सूचना (सीयूआई) जैसे सरकारी डेटा प्रकारों को समझना आपकी सीएमएमसी सुरक्षा नियंत्रण आवश्यकताओं के दायरे को निर्धारित करने में पहला कदम है। फिर, आपको सही नियंत्रण कार्यान्वयन रणनीति तैयार करने के लिए उन क्षेत्रों की पहचान करनी होगी जहां ऐसी जानकारी स्थानांतरित, संग्रहीत और रखरखाव की जा रही है।
• अपना निर्धारण करें सीएमएमसी 2.0 तैयारी. स्नोबॉल को आगे बढ़ाने के लिए अभी आत्म-मूल्यांकन करें। इससे सीएमएमसी अनुपालन को अनिवार्य बनने से पहले संतुष्ट करने में मदद मिलेगी, जबकि कमियों की पहचान की जाएगी जिन्हें संबोधित किया जाना चाहिए।
• शुरू करें! सीएमएमसी 2.0 नियमों को अनिवार्य करने के लिए डीओडी का इंतजार न करें। इसका उपयोग संविदात्मक बोलियों और नवीनीकरण के लिए हामीदारी में पहले से ही किया जाएगा। लाखों और अक्सर अरबों डॉलर दांव पर होने के कारण, DoD के साथ व्यापार करने की इच्छुक कंपनियां अब CMMC को नजरअंदाज नहीं कर सकती हैं।

अंत में, सूचित रहें। फॉरेस्टर 1.0 से सीएमएमसी पर नज़र रख रहा है। और जितना हम तुकबंदी और छंद जारी रखना पसंद करेंगे, उसमें बहुत अधिक काम और अभ्यास के दिन लगेंगे।

सीएमएमसी के लिए आठ नए मार्गदर्शन दस्तावेजों की घोषणा जश्न मनाने लायक है क्योंकि डीओडी इसे अनिवार्य बनाने के लिए काम में व्यस्त है। इसलिए, चाहे आप एक अनुभवी रक्षा ठेकेदार हों या DoD के साथ व्यवसाय में उतरना चाह रहे हों – अपने दृष्टिकोण और रणनीति की योजना बनाना शुरू करने के लिए जल्दी से हमारे साथ जुड़ें।

सीएमएमसी पर अधिक चर्चा करने और इसके लिए प्रभावी ढंग से तैयारी कैसे करें, इसके लिए एक पूछताछ या मार्गदर्शन सत्र निर्धारित करें।