编者按

美国防部2023年12月26日发布网络安全成熟度模型认证(CMMC)计划拟议规则,该拟议规则在很大程度上实施了此前宣布的CMMC2.0结构,将对美国防工业基础超过20万家公司的网络安全合规性产生重大影响。

该规则确定了网络安全要求的分层模型,要求承包商根据信息的敏感性实施三级网络安全标准。其中,第1级针对涉及联邦合同信息(FCI)的合同,要求承包商必须遵守《美国联邦采购法规(FAR)》52.204-21规定的15项安全要求;第2级适用于涉及受控非机密信息(CUI)的合同,承包商除需遵守第1级要求外,还必须遵守《美国国家标准与技术研究所特别出版物800-171修订版2》中规定的110项安全要求;第3级旨在增强CUI抵御高级持续威胁(APT)的保护,承包商除在第2级基础上,还需遵守《美国国家标准与技术研究所特别出版物800-172》中选定的24项安全要求。

在评估和确认要求方面,第1级要求承包商和适用的分包商每年进行1次自我评估,通过美国防部供应商绩效风险系统(SPRS)提交结果,并由高级官员在评估后以及此后每年确认持续遵守安全要求;第2级要求承包商和适用的分包商每3年期进行1次自我评估或第三方评估,通过SPRS提交结果,并由高级官员在评估后以及此后每年确认持续遵守安全要求;第3级要求承包商和适用的分包商每3年期进行1次由国防合同管理机构(DCMA)国防工业基础网络安全评估中心(DIBCAC)进行的评估和认证,通过SPRS提交结果,并由高级官员在评估后以及此后每年确认持续遵守安全要求。

在范围界定方面,第1级要求将所有处理、存储或传输FCI的资产纳入评估范围;第2级在第1级基础上,纳入了为相关资产提供安全保护的所有资产,并对“承包商风险管理资产”实施有限检查;第3级在第2级的基础上,纳入了“专用资产”,即“可以处理、存储或传输CUI但无法完全保护的资产”。在评分办法方面,第1级以完全“满足”15项安全要求为标准;第2级最高分数等于110项安全要求的总数,对于每个未满足的要求目标,将从最高分数中减去该安全要求的关联值(如1、3、5分),这可能会导致负分数;第3级评分等于评估为该级别安全要求的总数量,不同于第2级评分使用不同的分值,第3级对每个安全要求都使用1分值。

根据规则,一旦CMMC合同全面实施,处理敏感信息的美国防部承包商必须达到特定的CMMC级别才能赢得潜在合同;主承包商须确保分包商拥有SPRS分数存档,并有责任将适用的CMMC要求下达给分包商,为其分包商确定所需的CMMC级别;受CMMC约束的分包商必须满足主承包商指定CMMC级别所需的所有评估和认证要求。美国防部计划在两年半的时间内分四个阶段实施CMMC计划:第一阶段从美国防部最终CMMC规则生效之日开始,第1级或2级自我评估将成为合同授予的条件,美国防部还可能自行决定在某些合同中纳入第三方CMMC第2级评估要求;第二阶段在第一阶段后6个月开始,美国防部将在所有适用的合同授予中添加CMMC第2级认证评估要求,并可能自行决定将CMMC第3级认证评估要求纳入某些合同中;第三阶段在第二阶段1年后开始,美国防部将把CMMC第2级认证评估要求扩展到国防部最终确定CMMC规则前授予的适用合同,还将在所有适用的合同授予中添加CMMC第3级认证评估要求;第四阶段在第三阶段1年后开始,标志着CMMC计划的全面实施,美国防部将在所有适用的国防部招标和合同中纳入所有CMMC计划要求,包括现有合同的选择期。

奇安网情局编译有关情况,供读者参考。

美国防部2023年底发布了期待已久的网络安全成熟度模型认证(CMMC)计划拟议规则。作为保护国防工业基础(DIB)免受不断演变的安全威胁的一种手段,该计划最初由美国防部2019年提出。承包商信息系统是重点,CMMC的目的是通过要求实施与风险相称的特定安全保护,并从自我证明模型转变为需要第三方验证涉及敏感、非机密信息的某些合同的安全措施实施情况的模型,来增强网络安全合规性。CMMC临时规则于2020年11月30日生效。随着美国防部宣布CMMC2.0,该临时规则于2021年11月提出了重大修订。

美国防部首席信息官(CIO)办公室于2023年12月26日发布了最新的CMMC拟议规则。该拟议规则在很大程度上实施了此前宣布的CMMC2.0结构,并具有一些附加功能和要求。在提出CMMC拟议规则的同时,美国防部还为CMMC计划提供了8份额外的指导文件,涵盖CMMC模型、评估、范围界定等方面。

最新拟议规则要点如下:

一、网络安全要求的分层模型

拟议的规则确定了日益先进的网络安全保护的三个CMMC级别。任何给定合同的适当级别将取决于在非保密承包商信息系统上处理、存储或传输的信息的敏感性。

第1级:CMMC第1级仅针对涉及联邦合同信息(FCI)的合同,要求遵守《美国联邦采购法规(FAR)》52.204-21“涵盖承包商信息系统的基本保护”。该条款已适用于大多数基于FAR的合同,要求承包商必须完全遵守美国防部CIO认为“对于任何希望实现基本网络安全的实体来说至关重要”的15项安全要求。(译注:根据FAR4.1901,FCI被定义为“不打算公开发布的信息,由政府根据向政府开发或交付产品或服务的合同提供或为政府生成的信息,但不包括政府向公众提供的信息或简单的交易信息,例如处理付款所需的信息。”)

第2级:此级别适用于涉及受控非机密信息(CUI)的合同。除CMMC第1级要求外,承包商还必须实施《美国国家标准与技术研究所特别出版物800-171修订版2》《NISTSP800-171Rev2》中规定的110项安全要求,这些要求与承包商当前必须满足《美国国防联邦采购规范补充(DFARS)》252.204-7012中规定的要求相同。(译注:根据《美国联邦法典》,CUI被定义为“整个行政部门中需要任何保护或传播控制的所有非机密信息”)

第3级:CMMC第3级旨在增强CUI抵御高级持续威胁(APT)的保护。除CMMC第1级和第2级要求外,承包商还必须实施《美国国家标准与技术研究所特别出版物800-172》(NISTSP800-172)中选定的24项安全要求。

二、评估和确认要求

根据新要求,每个国防部承包商(以及大多数分包商)现在都需要执行(或由第三方执行)网络安全合规性评估,并在国防部供应商绩效风险系统(SPRS)中提交报告。此外,承包商和适用的分包商必须完成并提交符合其CMMC级别要求的合规确认书。这些确认可能被视为针对《虚假申报法》目的的明确陈述,因此应非常认真地对待。该规则指出,“所有CMMC确认均应由负责确保寻求评估的组织(OSA)符合CMMC计划要求的OSA高级官员提交。”

第1级:主承包商和适用的分包商必须每年进行一次完全遵守FAR52.204-21的自我评估。实体可以但不要求聘请第三方进行评估。承包商必须通过执行年度自我评估并将结果上传到“供应商绩效风险系统”(SPRS)来验证是否遵守这些安全要求。此外,承包商高级官员每年需要通过SPRS确认持续遵守安全要求。

第2级:根据当前要求,处理、存储或传输CUI的承包商和分包商必须对NISTSP800-171的合规性进行自我评估,并制定记录此类合规性的系统安全计划(SSP)以及这些领域的行动计划和里程碑(POA&M)存在安全漏洞的地方。承包商和分包商还必须在SPRS中上传自我评估分数。

根据合同的不同,承包商需要进行自我评估或接受第三方评估,以验证是否符合相关安全要求。订约机构将根据任何给定计划中涉及的CUI的敏感性来确定适当的评估方法。如果机构要求进行CMMC第三方评估机构(C3PAO)评估,寻求认证的承包商或分包商必须聘请经过CMMC认证的C3PAO来验证安全要求的实施情况。第三方评估员将评估结果提交至CMMC企业使命保障支持服务(eMASS)。无论采用哪种方式,评估必须至少每三年进行一次(第三方评估的有效期最长为三年)。

承包商可以针对尚未满足的安全要求制定行动计划和里程碑,但这些计划必须在评估后180天内结束。与CMMC第1级一样,承包商高级官员需要在每次通过SPRS进行评估后确认符合安全要求。

第3级:需要满足CMMC第3级要求的承包商和分包商必须获得由国防合同管理机构(DCMA)国防工业基础网络安全评估中心(DIBCAC)进行的评估和认证。这些评估的有效期最长为3年。与第2级一样,承包商可以针对尚未满足的安全要求制定行动计划和里程碑,但需要满足最低分数和某些不可协商的要求。

此外,主承包商和任何适用分包商的高级官员将被要求在每次评估(包括POA&M收尾)后以及此后每年在SPRS中确认其持续遵守指定的安全要求。

拟议规则的要求汇总表

_

适用的网络安全要求

是否允许POA&M?

评估要求

确认要求

第1级

《美国联邦采购法规(FAR)》52.204-21

年度自我评估

在SPRS中在初步评估后以及此后每年

第2级

第1级要求,加上《美国国家标准与技术研究所特别出版物800-171修订版2》

对于某些要求允许,但必须满足最低分数并在评估后180天内解决任何POA&M项目

三年期评估;自我评估或CMMCC3PAO第三方评估

在SPRS中在初步评估后以及此后每年

第3级

第2级要求,加上《美国国家标准与技术研究所特别出版物800-172》中选定的24项安全要求,包括任何美国防部指定的参数

允许,但必须进行第2级最终认证评估,并在评估后180天内解决任何POA&M项目

DCMADIBCAC三年一次评估

在SPRS中在初步评估后以及此后每年

三、范围界定

评估的先决条件是范围界定工作,承包商或分包商将通过该工作确定哪些信息技术系统和资产必须包含在给定的评估中。换句话说,寻求评估的组织必须定义CMMC评估的边界。承包商可以在其系统内有不同的飞地或部分,并在不同的CMMC级别进行评估。

所有处理、存储或传输FCI的资产都必须包含在第1级评估中。

第2级评估不仅必须包括处理、存储或传输CUI的资产,还必须包括为这些资产提供安全保护的所有资产。此外,“承包商风险管理资产”,即由于安全政策、程序和实践的原因可以(但无意)处理、存储或传输CUI的资产,被记录在案,并受到有限的检查。最后,“专用资产”,即可以处理、存储或传输CUI但无法完全保护的资产,包括物联网设备、工业物联网设备、运营技术、政府提供的设备、受限信息系统和测试设备,被记录在案,但不根据其他CMMC安全要求进行评估。

第3级流程遵循第2级流程,但将“专用资产”也包含在评估范围内。

四、评分办法

15项第1级标准将在简单的“满足/不满足”基础上进行评估。为了证明合规性,必须满足所有标准。

拟议规则规定了用于衡量CMMC第2级和第3级要求的实施状态的评估评分方法。对于第2级,最高分数等于该级别的安全要求总数(110)。如果未满足某项要求,则会从分数中扣除该要求的关联值(例如1分、3分、5分),这可能会导致负分。

第3级评分不像第2级评分那样使用不同的值。所有第3级安全要求对每个安全要求都使用1分值。因此,第3级可达到的最高分数相当于第3级安全要求的总数。对于每项未满足的安全要求,最高分数都会减少1分。

五、通过合同实施

一旦CMMC全面实施,处理敏感信息的美国防部承包商将需要达到机构指定的CMMC级别,作为授予合同的条件。涉及在承包商系统上处理、存储或传输FCI或CUI的美国防部合同招标将分配CMMC级别和评估类型(即自我评估、第三方或政府评估)要求,该要求必须在该机构授予合同前满足。《美国国防联邦采购规范补充(DFARS)》条款将来还需要修改,以与CMMC计划保持一致。

六、对分包商的适用性

根据当前的《美国国防联邦采购规范补充(DFARS)》252.204-7020,承包商必须在授予任何合同前确认其将在分包商信息系统上处理、存储或传输CUI的分包商有SPRS分数存档。DFARS252.204-7021还规定,主承包商有责任将适用的CMMC要求下达给其承包商。

拟议规则重申了这些义务,并确认主承包商将根据《美国联邦法典(CFR)》为其分包商确定所需的CMMC级别(如果招标中尚未定义)。

受CMMC约束的分包商必须满足主承包商指定CMMC级别所需的所有评估和认证要求。

七、实施建议时间表

美国防部在拟议规则中纳入了CMMC计划推出的预计时间表。具体来说,美国防部打算在两年半的时间内分四个阶段实施CMMC计划:

第一阶段从美国防部最终CMMC规则生效之日开始(即DFARS252.204-7021正式修订时)。在第一阶段,CMMC第1级或2级自我评估成为合同授予的条件。这意味着承包商必须自我评估其是否符合CMMC第1级或第2级(以适用于合同的级别)的网络安全要求,才有资格被授予合同。美国防部还可能自行决定在某些合同中纳入第三方CMMC第2级评估要求。

第二阶段在第一阶段后6个月开始。在第二阶段,美国防部将在所有适用的合同授予中添加CMMC第2级认证评估要求。这意味着承包商需要通过第三方CMMC第2级评估,才有资格获得符合CMMC第2级认证要求的合同。美国防部还可能自行决定将CMMC第3级认证评估要求纳入某些合同中。

第三阶段在第二阶段1年后开始。在第三阶段,美国防部将把CMMC第2级认证评估要求扩展到国防部最终确定CMMC规则前授予的适用合同。这意味着美国防部不会对现有合同行使选择权,除非承包商已通过第三方CMMC第2级评估(假设CMMC第2级要求适用于合同)。此外,美国防部还将在所有适用的合同授予中添加CMMC第3级认证评估要求。

第四阶段在第三阶段1年后开始,将标志着CMMC计划的全面实施。在第四阶段,美国防部将在所有适用的国防部招标和合同中纳入所有CMMC计划要求,包括现有合同的选择期。

假设,如果最终CMMC规则于2024年12月26日(美国防部发布拟议规则1年后)生效,则第一阶段将于2024年12月26日开始;第二阶段将于2025年6月26日开始;第三阶段将于2026年6月26日开始;第四阶段将于2027年6月26日开始。虽然两年半的时间似乎很长,但承包商现在应该开始评估其合规性,特别是如果其计划获得第三方认证CMMC第2级或第3级。不满足适用的CMMC要求的承包商可能会错过竞争新合同的机会,或者可能在选择权期未行使后终止其现有的国防部合同。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。