随着新一代网络安全成熟度模型认证(CMMC)授权的15份合同的截止日期临近,美国五角大楼方面明确表示,这仅是个开始,未来他们计划对至少1500家承包商及分包商进行网络安全成熟度认证。
美国防部负责采购与维护的副部长办公室CISO Katie Arrington谈即将实施的网络安全成熟度模型认证。
美国防部负责采购与维护的副部长办公室CISO Katie Arrington表示,“我们充分信任(承包商),同时也需要认证。这是国防部一个全新的开始。正如我们多年来一直所强调的那样,网络安全是一切采购决策的基础。我们将说到做到。”相关规则将于今年12月1日起对新的合同正式生效。考虑到美国商业及军事网络遭到敌对方攻击、秘密被其窃取等严重后果,她强调“我们之所以这样做,是因为这对我们的商业乃至国家安全至关重要。”
Arrington还提到,她和她的团队将继续推进,“CMMC将持续发展,我们绝不会止步。我们将在数天之内完成过渡,直到临时规则发挥效力。”
在此次INSA会议发言当中,她还提到接下来国防部将强制推行新的网络安全合同规则,以确保整个员工队伍建立能力基准,同时严格遵守美国家标准技术研究所(NIST)与国防部相关标准。
Arrington强调,“临时规则一经制定,我们就在密切筹备作为首批试点项目的15份合同。”这15份合同将通过网络安全过渡对承包商提供的方案进行验证。预计未来至少将有1500家承包商及分包商参与首批项目,而且将全部接受相应的网络安全认证。
首批15份合同涵盖国防部下辖多个机构,包括美国运输司令部以及网络司令部等,同时涉及导弹防御局等所谓“第四等级”机构。各份合同的数额与复杂程度有所不同,认证工作计划在2021财年内实行 。
根据先前的建议,只要一家企业能够符合部分110 NIST标准条款,并宣称将致力于遵守其余条款,即可参与竞标。换言之,企业在竞争国防部合同时,并不必充分证明自身的合规性。
Arrinton指出,“CMMC则设定了明确的通过/未通过标准。经过审计之后,相关企业要么为L1级,要么不符合要求。”其目标是为所有能够在客观上满足安全能力要求的企业拥有公平的竞争起点。这样,五角大楼也可以自动将安全成本纳入合同,不必担心可能在选择当中引入与合规性要求相冲突的供应商。
对于合规性标准较高的重大合同,CMMC规则还要求合同内容明确指定各分包商是否需要达到相同的合规性水平,或者会根据不同分包商所触及信息的实际敏感度为其指定更确切的具体合规性要求。
这套建立在认证基础之上的全新网络安全机制,意味着五角大楼终于可以摆脱种种多年以来难以解决的漏洞修复难题,甚至彻底消除此类威胁到整个供应链的简单错误与安全缺陷。
Arrington提到,“很多人没有变更默认密码、没有采用双因素验证、没有适当做出文档标记。这一切都会给我们的供应链造成危害。”而任何仍存在这些问题的供应商,未来都很难再从五角大楼这边拿到项目。
原文链接:
https://breakingdefense.com/2020/11/starting-dec-1-cybersecurity-is-no-longer-optional/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。