巴里·罗森伯格
2020年12月1日下午5:19
洛克希德·马丁公司的F-35装配线。
一年多以来,美国国防部一直在为行业做准备,以便开始将承包商提高网络安全标准,同时还威胁到如果未来的国防部合同不符合要求,就可能被拒之门外。作为网络安全成熟度模型认证(CMMC),今天是CMMC生效的日子。最终不遵守的承包商将不得不寻找新的商业方式。
“今天是新的一天的开始,”美国国防部助理部长负责网络采购的特别助理凯蒂·阿灵顿在AFCEA TechNet网络会议上说。“这是一次重大的文化转变,我想所有人都知道这是使网络安全成为(DoD采购)基础的开始。“我们需要确保我们传授最佳实践,并以有关网络安全的批判性思维帮助业界。”
当您阅读本文时,新的针对CMMC的《国防联邦采购法规补充》(DFARS)包括三个正在生效的新规则,但Arrington说,美国国防部正在按“爬,走,跑”的方式实施,因此公司不会立即面临风险。国防工业基地(DIB)必须立即采取步骤。
第一个是“爬”。在信任但验证的模型下,承包商必须登录国防部的供应商效能风险系统,并自我报告其公司如何实施国家标准与技术研究院(NIST)的要求,以控制受控非保密信息(CUI)。公司将自己的评分在0到110之间,这是NIST要求的网络安全控制措施的数量。
CUI是公司代表政府触摸,存储,控制或传输的信息,虽然没有涉密或保密要求,但需要维护。从个人身份信息(PII)到紧急响应计划,CUI可以是任何东西。在2008年之前,CUI被称为“仅供官方使用”和“敏感但非保密”的文档和数据。
美国国防部采购与维持局副局长办公室指出:“ DIB部门失去控制的未保密信息的全部损失,增加了国家经济安全的风险,进而增加了国家安全的风险。” “为了减少这种风险,DIB部门必须加强其网络中对CUI的保护。CMMC旨在充当一种验证机制,以确保适当水平的网络安全实践和流程到位,以确保基本的网络卫生,并保护驻留在行业合作伙伴网络上的CUI。”
第二项新控制措施“走”,要求任何将自己的评分定在80到110之间的公司都必须经过国防合同与管理机构(DCMA)的审核,以证明他们没有夸大其网络安全立场。这是验证部分,已经进行了大约两年,因为公司很可能在CMMC成为要求之前就可以开始自我评估。因此,审核是新控件的“执行”部分。
第三个控件是“跑”,实际上是CMMC的名称。这是“我们如何确保网络安全是所有采购的基础的实例,”阿灵顿说。从今年晚些时候开始,CMMC要求将成为所有DoD信息请求的一部分。展望未来,承包商竞标某些国防部工作的能力将取决于其CMMC的状态。
有两个例外:10,000美元以下的“微型购买”和现成的商品不需要CMMC。
声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。