사이버 보안 성숙도 모델 인증

Cybersecurity Maturity Model Certification

사이버보안 성숙도 모델 인증(CMMC)은 미국 국립표준기술연구소[1] 발표한 다양한 표준에 대한 준수 척도에 대한 신뢰를 높이기 위해 설계된 평가 프레임워크 및 평가인 인증 프로그램입니다.

CMMC 프레임워크 및 모델은 미국 국방부 획득 및 유지를 위한 국방부 차관실(OUSD(A&S)이 카네기 멜론 대학, 존스 홉킨스 대학 응용 프로그램, 물리학 연구소,[2] LLC, LLC와의 기존 계약을 통해 개발했다.사이버 보안 성숙도 모델 인증 기관은 무료 계약 하에 프로그램을 감독합니다.

CMMC는 청부업자가 제어 미분류 정보를 취급하는 경우 서드파티의 평가가 필요한 경우가 많습니다.이는 미국 [3]국내총생산(GDP)의 3.2%인 7천680억달러의 방위산업에 영향을 미칩니다.

모델

이 프레임워크는 NIST SP 800-171 Rev 2의 보안 요건인 비연방 시스템 및 조직의 통제된 미분류 정보 보호(Protecting Controlled Unclassified Information in National Systems and Organizations)를 충족하기 위한 방위산업기지의 계약자 모델을 제공한다.또한 일부 계약에는 NIST SP 800–172의 요구사항인 통제된 미분류 정보 보호를 위한 강화된 보안 요구사항: NIST 특별 간행물에 대한 부록이 포함될 것이다.800 ~ 171 [4]

CMMC는 이러한 프랙티스를 일련의 도메인으로 정리하여 NIST SP 800-171 Rev 2 및 NIST SP 800-172 패밀리에 직접 매핑합니다.CMMC에는 레벨 1, 레벨 2, 레벨[5] 3의 3가지 레벨이 있습니다.

레벨 묘사 프랙티스 목적 평가 포커스 영역
1 기초 14는 NIST SP800-171 rev 2에 대한 FAR 52.204-21 상호 참조에 근거하고 있습니다. 59 연차 자기평가 연방계약정보보호(FCI)
2 고급. NIST SP800-171과 연계된 110개의 프랙티스 320 중요한 국가 안보 정보에 대한 3년마다 서드파티 평가특정 프로그램에 대한 연간 자체 평가 제어된 미분류 정보 보호(CUI)
3 전문가. NIST SP800-171 및 NIST SP800-172의 보안 요건 서브셋에 근거한 110 이상의 프랙티스 320+ 국방부의 최종 지침을 기다리는 총 목표(NIST SP800-172에서 제어) 3년마다 정부 주도의 평가 제어된 미분류 정보(CUI)의 강화된 보호

CMMC는 최종 규칙 제정이 완료되어 32 및 48 연방규제강령(CFR)에 통합될 때까지 연방계약에서 시행되지 않습니다[1].[4]

CMMC 사무소는 방위산업기지에 있는 기업들이 다양한 계약에서 프라임 또는 서브로서의 역할에 따라 어떤 수준의 인증을 받아야 하는지를 예상할 수 있도록 지원하기로 약속했다.

자세한 내용은 공식 [4]FAQ를 참조하십시오.

역사

2002년 연방정보보안관리법은 미국의 각 연방기관에 정보 및 정보시스템에 정보보안을 제공하기 위한 기관 차원의 프로그램을 개발, 문서화 및 구현하도록 요구하였다.

2002년 사이버보안연구개발법은 새로운 프로그램을 설립하고 컴퓨터 및 네트워크 보안(CNS) 연구 및 개발을 위한 특정 현행 프로그램에 대한 자금 지원을 늘리기 위해 국립과학재단(NSF)과 국립표준기술원 상무장관(NIST)에 세출 권한을 부여했다.엘롭먼트 및 CNS 연구 펠로우쉽.이를 통해 사이버보안 성숙도 모델 인증 프레임워크의 보안 요건이 개발되었습니다.

2003년 FISMA 프로젝트, 이제 위험 관리 프로젝트, FIPS 199, FIPS 200 및 NIST 특별 간행물 800-53, 800-59 및 800-6과 같은 요구사항을 시작하고 발표했습니다.그 후 NIST 특별 간행물 800–37, 800–39, 800–171, 800-53A.

2010년 행정명령 13556 - 기밀정보 통제(Controlled Unclassified Information)는 이전 명령을 취소하고 정부 전체에 걸쳐 데이터 라벨링 표준을 제정했습니다.

2011년 DFARS(Defense Federal Acquisition Regulation Supplemental, DFARS)는 사례 2011-D039에 기초 연구와 관련된 미분류 정보 보호를 위한 요건을 제정하기 위한 규칙 7000을 제안했다.

2013년 DFARS 252.204-7000 규칙이 발효되어 비연방 시스템에서 중요한 데이터를 보호해야 합니다.

2016년 DFARS 7012 조항은 모든 계약자가 NIST-SP-800-171의 보안 요건을 충족하기 위해 자체 평가를 하도록 요구하는 효력이 발생한다.

2019년 국방부는 사이버보안 성숙도 모델 인증(CMMC)을 창설하여 국방산업기지를 관리하기 위해 사용된 조직의 기본 사이버 위생에 대한 자체 학습 메커니즘에서 전환한다고 발표했다.2017년부터 모든 방산업체는 NIST SP-800-171 표준에 대한 사이버 보안 준비 상태를 자체 평가하고 보고해야 했습니다.

서플라이 체인([6]supply-chain)의 일련의 위반이 발생하자 국방부는 업계와 협력하여 CMMC 모델을 개발했습니다.

조달 계약에 CMMC를 포함하는 것을 승인하는 2019년 중간 규칙, DFARS(Defense Federal Acquisition Regulation Supplement) 2019-D041은 2020년 9월 29일에 발행되었으며,[7] 시행일은 2020년 11월 30일이다.

2020년 12월 8일 CMMC 인증위원회와 국방부는 2021년 9월까지 모델이 완전히 구현되는 업데이트된[8] 일정을 발표했습니다.

2020년 12월 8일, 국방부는 CMMC 프레임워크를 시험하는 패스파인더 조성금 7개를 출시하고, 조성금의 계약자는 인증받은 서드파티 심사원이 기업의[9] 컴플라이언스를 측정하도록 요구합니다.

2020년 12월 31일, General Services Administration은 현재 CMMC는 국방부에만 적용되지만 민간이든 군이든 모든 정부 청부업자는 CMMC [10]요건을 충족할 준비를 해야 한다는 점을 지적한 'Polaris 제안 요청 프로그램'을 발표했다.

2021년 11월 4일 국방부는 CMMC 2.0의 [11]출시를 발표했다.이 새로운 버전은 요구사항을 간소화하기 위해 설계되었습니다.

비판

업계 전문가들은 공식적인 커뮤니케이션이 일원화되지 않고 롤아웃 일정이 단축되는 것에 대해 상당한 우려를 표명하고 있습니다.국방 산업 기반에 영향을 받는 기업의 수가 매우 많기 때문에 아직 인정받지 못한 CMMC 서드파티 평가기관(C3PAO)에 대해서는 제안된 마감일까지는 비현실적으로 보일 수 있으며 Linked [12][13]In에서 많은 논의가 이루어지고 있습니다.Arrington은 FedRAMP 및 FIPS 140과 같은 기존 인증 프로그램과의 상호 작용을 통해 중복 작업을 제거하고 이미 컴플라이언스를 [14]준수하고 있는 기업의 작업 수준을 최소화할 수 있다고 주장했습니다.

시버와 케이티 아링턴이 [15]함께 일하면서 타이 쉬버가 CMMC 인증기관 회장으로 임명되면서 정실성 의혹이 제기됐다.쉬버는 CMMC-AB 웹사이트에 허가받지 않은 'Pay to Play' 스폰서 프로그램이 게시된 가운데 커뮤니케이션 디렉터인 Mark Berman과 함께 이사회를 떠났다.칼튼 존슨이 의장직에 올랐다.[16][17]

「 」를 참조해 주세요.

레퍼런스

  1. ^ "Cybersecurity Maturity Model Certification (CMMC) Model Overview. Accessed 2022-04-01" (PDF).
  2. ^ "Cybersecurity Maturity Model Certification (CMMC) Model Overview. Accessed 2022-04-01" (PDF).
  3. ^ "Stockholm International Peace Research Institute. "Trends in World Military Expenditure, 2019," Pages 2–3. Accessed Dec. 7, 2020" (PDF).
  4. ^ a b c "Cybersecurity Maturity Model Certification (CMMC)".
  5. ^ "Cybersecurity Maturity Model Certification (CMMC) Model Overview. Accessed 2022-04-01" (PDF).
  6. ^ "FBI Strategy Addresses Evolving Cyber Threat – Federal Bureau of Investigation". Federal Bureau of Investigation. September 16, 2020. Retrieved January 8, 2021.
  7. ^ "Defense Federal Acquisition Regulation Supplement: Assessing Contractor Implementation of Cybersecurity Requirements (DFARS Case 2019-D041)". Federal Register. September 29, 2020. Retrieved January 9, 2021.
  8. ^ "Update on the CMMC Timeline". CyberDI. January 5, 2021. Retrieved January 9, 2021.
  9. ^ Serbu, Jared (December 15, 2020). "Pentagon reveals first contracts to serve as pathfinders for CMMC". Federal News Network. Retrieved January 8, 2021.
  10. ^ Boyd, Aaron (January 4, 2021). "GSA Releases Draft of New Government IT Services Contract Polaris". Nextgov.com. Retrieved January 8, 2021.
  11. ^ "OUSD". November 4, 2021. Archived from the original on November 4, 2021.
  12. ^ "Tech companies tell DoD its new cyber standards are missing the mark". Federal News Network. March 27, 2020. Retrieved January 9, 2021.
  13. ^ "DoD warns vendors about fake third-party CMMC certifiers". Federal News Network. February 24, 2020. Retrieved January 9, 2021.
  14. ^ Williams, Lauren C. (September 8, 2020). "CMMC reciprocity guidelines are still a work in progress". FCW. Retrieved January 9, 2021.
  15. ^ "DOD's Arrington Threatens To Disband CMMC AB Hand Accreditation Authority To Body Subject To Peer Audits by China". Oxebridge. September 30, 2020. Archived from the original on October 26, 2020. Retrieved January 9, 2021.
  16. ^ "Cybersecurity Maturity Model Certification Issues". Fedscoop. July 28, 2020. Archived from the original on July 28, 2020. Retrieved January 9, 2021.
  17. ^ "CMMC AB Ousts Chairman Ty Schieber and Mark Berman". Fedscoop. September 16, 2020. Archived from the original on October 1, 2020. Retrieved January 9, 2021.

외부 링크