訂閱電子報

月刊專欄

期別選擇
期別:247
發布日期:2023-06-17
閱覽人數:548
網路安全成熟度模型認證 CMMC 2.0 簡介(上)

緣由

眾所周知,西方民主國家與美國的競爭對手,多年來侵入了各類國防承包商的網站,竊取高價值的智慧財產權。某些武器的設計被竊取,並被用來製造更便宜的仿製品,這些仿製品已變成對抗西方民主國家的軍事武器,或出售給其他國家,造成區域軍事緊張。在直接與美國國防部合作的前 100 家主要承包商中,有一些是美國最大的航空航天、工程、通信、健康、製藥、科技和電子製造商,作為國防工業基地的核心角色,他們擁有高度敏感的資訊,包括智慧財產權,這些資訊構成了駭客和其他對手有利可圖的目標。


基於上述威脅,美國國防部(DoD)於 2020 年 1 月首次推出網路安全成熟度模型認證(Cybersecurity Maturity Model Certification, 簡稱 CMMC)計畫。CMMC 認證委員會批准了第一批註冊供應商組織(Registered Provider Organizations, 簡稱 RPO),協助承包商準備強制性 CMMC 合規評估,讓國防承包商和分包商能夠在 2020 年 11 月開始進行合規流程。2021 年 11 月 4 日,美國國防部又推出了 CMMC 2.0,與原始模型進行了一些重大更改。在這篇文章中,將回顧這些變化,並提供一些準備 CMMC 2.0 認證的步驟。


CMMC 的演變

CMMC 1.0 框架由 17 個網路安全域組成。網路安全域是一組或一組不同的安全實踐(控制),它們具有彼此相似的屬性。這些領域是成功保護聯邦合同資訊(Federal Contract Information, 簡稱 FCI)和受控非機密資訊(Controlled Unclassified Information, 簡稱 CUI)的核心。CMMC 框架內保護 FCI 和 CUI 的 17 個網路安全域的相關功能請見下表。


CMMC 1.0 是由包含五個級別的 171 個實踐來衡量技術能力及和跨越五個成熟度級別的五個流程來衡量流程遵守的程度:第 1 級(基本)流程:執行與實踐,每三年重新認證一次;第 2 級(中等)流程:記錄與實踐,每三年重新認證一次;第 3 級(良好)流程:管理與實踐,每兩年重新認證一次;第 4 級(主動)流程:審查與實踐,每年重新認證;第 5 級(進階)流程:優化與實踐,每年重新認證。相較於 CMMC 1.0 原有 5 的等級,CMMC 2.0 模型精簡為 3 個等級,移除 CMMC 1.0 中第 2 級和第 4 級:


第 1 級(基礎級):符合 FAR 52.204-21,僅適用於擁有 FCI 的合約商;資訊需要保護,但對國家安全並不具關鍵性,每年認證一次,採自我評估;適用的控制領域及項目包含 : 6 大控制領域,共 17 個控制項如下說明:

(1)存取控制(Access Control):4 項

(2)識別與認證(Identification & Authentication):2 項

(3)媒體防護(Media Protection):
1 項

(4)實體防護(Physical Protection):4 項


(5)系統與通訊防護(System & Communication Protection):2 項

(6)系統與資訊完整性(System & Information Integrity):4 項。


第 2 級(進階級):符合 NIST SP 800-171,適用於具有 CUI 的合約商,每三年重新認證一次,由第三方機構執行;適用的控制領域及項目包含:14 大控制領域,共 110 個控制項如下說明:

(1)存取控制(Access Control):22 項

(2)認知和訓練(Awareness & Training):3 項

(3)稽核與權責(Audit & Accountability):9 項

(4)構型管理(Configuration Management):9項

(5)識別和認證(Identification & Authentication):11 項

(6)事件回應(Incident Response):3 項

(7)維護(Maintenance):6 項

(8)媒體防護(Media Protection):9 項

(9)人員安全(Personnel Security):2 項

(10)實體防護(Physical Protection):6 項

(11)風險評估(Risk Assessment):3 項

(12)安全評估(Security Assessment):4 項

(13)系統和通訊防護(System & Communication Protection):16 項

(14)系統與資訊完整性(System & Information Integrity):7 項。


第 3 級(專家級):符合 NIST SP 800-172,用於具有 CUI 的最高優先級別專案,每三年重新認證,由美國政府官方主導;適用的控制領域及項目:仍在開發中,但至少包含 14 大控制領域,110 個控制項。

圖1. 在原先的 CMMC 1.0 版中,規劃了五個等級,由低至高排序分別是:基本防護(Basic)、中等防護(Intermediate)、良好防護(Good)、主動防護(Proactive),以及進階防護(Advanced)。而在 CMMC 2.0 簡化為三個等級,由低至高排序分別是:第一級的基礎防護(Foundational),第二級為進階防護(Advanced),第三級為專家防護(Expert)。同時,CMMC 也朝向與 NIST SP 800 標準保持一致。


參考來源:

https://cybersecurenews.com.tw/policy-007/

https://www.r3-it.com/blog/cmmc-1-0-cmmc-2-0-whats-changed

https://www.greenpeace.org/taiwan/update/32293

https://www.federalregister.gov/documents/2021/11/17/2021-24880/cybersecurity-maturity-model-certification-cmmc-20-updates-and-way-forward

https://blog.24by7security.com/what-dod-contractors-need-to-know-about-cmmc-2.0


延伸閱讀:

>> 網路安全成熟度模型認證 CMMC 2.0 簡介(下)

上一篇:BellCERT 教育訓練開課訊息
下一篇:IATF 汽車近期發佈消息通知(上)
月刊專欄

貝爾國際檢驗認證集團總部

貝爾國際檢驗認證集團總部(台北聯絡處)

貝爾國際檢驗認證集團總部(台中聯絡處)

貝爾國際檢驗認證集團總部(高雄聯絡處)

Copyright © 2022 BellCERT Group TAIWAN.