国防部今天发布了备受期待的网络安全成熟度模型认证计划的最终规则,为进一步落实从明年开始在合同中加入CMMC要求铺平了道路。
最终的CMMC程序规则发布了 для (Initialized translation seems inaccurate, sticking to instructions: "The final CMMC program rule was released for")今天的公开审查。预计将于2023年10月17日(星期二)在联邦公报上正式发布。注意原文中的日期可能需要根据当前的实际日期进行调整,提供的翻译基于给出的原始句子结构和内容。如果时间有误或需更新,请提供正确的日期信息。
该规定建立了CMMC计划的机制。CMMC的目标是验证国防承包商是否遵循了保护关键国防信息的网络安全要求。许多承包商将被要求在该计划下接受第三方审计,这与目前依赖自我证明的做法有显著不同。
国防部去年十二月发布了拟议的CMMC程序规则。该部门收到了787条评论关于规则在二月份公众提交期限结束前。
国防部今日发表声明称:“该部门感谢在征求意见期间提供意见的所有企业和行业协会。”“如果没有这种合作,我们就不可能实现提高关键信息安全性、增加对网络安全要求的遵守,并同时使小型和中型企业在履行合同义务方面变得更加容易的目标。”
今天发布的最终规则建立了CMMC计划并将其立法。此外, pentagon 在今年夏天发布了一项拟议的CMMC采购规则。该拟议采购规则的意见征询期将于10月14日结束。
国防部今天在声明中表示,最终的采购规定将于“2025年年初至年中”发布。
“一旦该规定生效,国防部将在招标书和合同中纳入CMMC要求,”国防部补充道。
五角大楼已经花了五年多的时间来开发CMMC要求。国防部开始制定这些规定,是因为担心许多公司没有遵守合同中的网络安全要求,这使得美国的对手能够从它们的网络中窃取敏感但未分类的数据。
然而,由于对原计划的预期成本和影响存在重大行业反对意见,国防部修订了该计划。进入所谓的“CMMC 2.0”在2022年。
周二,在专业服务协会年度国防会议上发言时,国防部副首席信息官戴夫·麦金恩承认CMMC的实施过程耗时已久。
“我们确实接近尾声了——这是一项进展缓慢的工作,”麦基翁说。“花了很长时间,也耗费了许多毅力来确保规则正确并获得批准,但现在我们确信接近尾声了,并且这项规定即将发布,未来每个人都会在其合同中包含这一点。”
美国国防部最终将在所有适用合同中实施CMMC要求。但在其提议的采购规则中, pentagon 制定了一个为期三年的“分阶段推出”计划。在此期间,国防部项目经理有权在合同中包含CMMC要求。
最终规定建立了三个不同的“级别”的CMMC,正如修订后的计划最初设想的那样。
CMMC的要求与现有的采购规定一致,这些规定要求承包商实施网络安全控制措施,以保护受控非密信息,具体参照美国国家标准和技术研究院(NIST)特别出版物800-171。
在一级之下,处理不太敏感的“联邦合同信息”的承包商将能够提交他们合规性的自我评估。
在CMMC第二级要求下,通常需要保护“受控非密信息”(CUI)的承包商可能被要求接受第三方评估。这些审计员将由网络安全认证机构授权,该机构是一家与国防部签订合同的非营利组织。
与此同时,国防部表示,某些CUI将需要“更高的保护级别以防范高级持续性威胁带来的风险。”处理这类信息的承包商将被要求接受由国防工业基地网络安全评估中心领导的评估,作为CMMC三级要求的一部分。三级要求包括NIST特别出版物800-172中规定的额外网络安全控制措施。
“国防部在今天的声明中表示,CMMC提供了追究责任的工具,以应对那些通过故意歪曲其网络安全实践或协议,或者故意违反监控和报告网络安全事件和违规行为义务的行为体或个人进行追责。”
该规定还允许国防部项目办公室为未能完全符合NIST要求的承包商授予“行动计划和里程碑”。国防部表示,将根据规定中所述的具体要求授予POA&Ms,以允许企业在努力达到NIST标准的同时获得180天的有条件认证。
美国国防部今日发布的声明鼓励国防工业基地的公司“采取行动评估其符合现有安全要求的情况,并为接受CMMC评估做好准备。”
With companies 和公司们小企业倡导者对CMMC的成本和复杂性提出担忧, pentagon也在指向企业可以使用云服务和其他管理服务来满足需求。
meanwhile,McKeown表示国防部正在与大型云服务提供商和管理服务提供商合作,建立一个认证项目,该项目可以满足“所有或大部分”CMMC要求。
“云服务提供商和管理服务提供商之间可能会明确各自的角色和职责,以及客户需要做什么,但这将使流程更加顺畅,”McKeown说。“就像FedRAMP一样,我们会表示这是符合CMMC标准的,并且得到了我们的认证,然后合作伙伴就可以在这些环境中开始他们的工作,而无需为了满足要求而大幅提升他们整个内部网络,这进展得很顺利。”
版权 © 2024 Federal News Network。保留所有权利。本网站不针对位于欧洲经济区内的用户。