Przygotujmy się na egzekwowanie przepisów CMMC: podstawowe kroki w celu zabezpieczenia CUI

Departament Obrony USA (DoD) wprowadził na początku 2020 roku program Cybersecurity Maturity Model Certification (CMMC), aby wzmocnić cyberbezpieczeństwo w całej Bazie Przemysłowej Obrony (DIB) i zapewnić, że kontrahenci zajmujący się kontrolowanymi informacjami niejawnymi (CUI) spełniają rygorystyczne standardy cyberbezpieczeństwa określone przez National Institute of Standards and Technology (NIST).

W dniu 10 listopada 2025 r. oficjalnie weszły w życie ostateczne zasady DoD dotyczące programu CMMC, co oznacza, że kontrakty DoD zaczną obejmować obowiązkowe wymagania CMMC, które będą stopniowo wprowadzane w ciągu najbliższych kilku lat.

CMMC ma trzy poziomy, a wymagania różnią się w zależności od poziomu. Poziom 1 CMMC obejmuje 15 kontroli i jest wymagany w przypadku umów zawierających wyłącznie Federal Contract Information (FCI), ale bez CUI. Wykonawca musi przeprowadzić samoocenę; ocena osoby trzeciej nie jest wymagana. Poziom 2 CMMC obejmuje 110 kontroli i jest zgodny z kontrolami NIST SP 800-171. Jest on wymagany w przypadku umów z CUI. Wiele umów wymaga certyfikacji CMMC na Poziomie 2 poprzez ocenę zewnętrzną przez C3PAO (CMMC Third Assessor Organization). Wreszcie, Poziom 3 CMMC wymaga 24 dodatkowych ulepszonych kontroli bezpieczeństwa, a wszystkie umowy będą wymagały oceny przez stronę trzecią.

Nowa oś czasu CMMC

DoD planuje wdrożenie CMMC w ciągu najbliższych kilku lat. Poniżej przedstawiamy, co każdy etap oznacza dla wykonawców obsługujących CUI oraz aktualny harmonogram:

• Faza 1 już się rozpoczęła, a wykonawcy obsługujący CUI muszą samodzielnie ocenić, czy spełniają poziom CMMC 2, aby kwalifikować się do umów DoD. DoD może również wymagać audytów stron trzecich dla poziomu 2 w niektórych przypadkach.
• Faza 2 rozpocznie się w listopadzie 2026 r., a umowy poziomu 2 będą wymagały certyfikacji zewnętrznej, a nie tylko samooceny.
• Faza 3 rozpocznie się w listopadzie 2027 r., a certyfikaty CMMC Poziomu 3 będą wymagane dla wszystkich nowych umów, chyba że będą opóźnione. DoD może opóźnić wymagania CMMC na Poziomie 3 do okresów opcji dla niektórych umów.
• Faza 4 jest ostatnią fazą i rozpoczyna się w listopadzie 2028 r. Wymagania CMMC będą miały zastosowanie do wszystkich obowiązujących umów.

Co to oznacza teraz dla wykonawców

Jeśli Państwa organizacja obsługuje CUI lub FCI, przyszłe zamówienia będą obejmować wymagania CMMC. Aby się przygotować, należy skoncentrować się na poniższych krokach:

• Weryfikacja zgodności z chmurą: CMMC wymaga FedRAMP Moderate (lub równoważnego) dla każdej usługi w chmurze, która przechowuje lub przetwarza CUI. Organizacje współpracujące z dostawcami usług w chmurze powinny ocenić każdą ze swoich umów o świadczenie usług w chmurze i zweryfikować, czy dostawca posiada certyfikat FedRAMP Moderate.
• Zdefiniowanie własnego środowiska CUI: Należy zmapować miejsce, w którym znajduje się CUI oraz zidentyfikować systemy, sieci, aplikacje i użytkowników, którzy wchodzą z nią w interakcje.
• Weryfikacja wszystkich 110 kontroli poziomu 2: Należy zidentyfikować luki, zwrócić uwagę, które kategorie wymagają dodatkowego wsparcia i nadać priorytet likwidacji. Niektóre z kategorii Poziomu 2 obejmują kontrolę dostępu (AC), świadomość i szkolenia, audyt i odpowiedzialność (AU) oraz zarządzanie konfiguracją (CM).
• Pełna dokumentacja: Należy prowadzić przejrzystą dokumentację zasad dostępu, audytów i konfiguracji. Bez względu na to, czy przeprowadzają Państwo samoocenę, czy przygotowują się do oceny przez stronę trzecią, posiadanie przejrzystej dokumentacji skróci czas potrzebny na osiągnięcie pełnej zgodności z CMMC.

Dlaczego zarządzanie dostępem uprzywilejowanym ma znaczenie i jak Keeper może pomóc

Rozwiązania Privileged Access Management (PAM) zarządzają i zabezpieczają konta, które mają uprawnienia do dostępu do wysoce wrażliwych systemów i danych, zmniejszając ryzyko cyberataków. Rozwiązanie PAM może pomóc organizacjom sprostać wielu kontrolom CMMC, zwłaszcza tym związanym z kontrolą dostępu (AC), identyfikacją i uwierzytelnianiem (IA) oraz ochroną systemu i komunikacji (SC).

Typowy zespół ds. bezpieczeństwa dziś często nie ma pełnej wiedzy o sile haseł w organizacji. Keeper Security Government Cloud (KSGC) wypełnia tę lukę, zapewniając wgląd w ponowne wykorzystywanie haseł i naruszone dane uwierzytelniające oraz umożliwiając organizacjom ustalanie i monitorowanie zasad dotyczących haseł. KSGC monitoruje i ostrzega administratorów o słabościach, umożliwiając proaktywne zarządzanie ryzykiem przed wystąpieniem cyberincydentów.

KSGC posiada wysoką autoryzację FedRAMP, dzięki czemu doskonale nadaje się dla wykonawców DoD, którzy muszą chronić poufne informacje. Keeper pomaga firmom zachować zgodność z tymi ewoluującymi kontrolami CMMC, spełniając kluczowe wymogi dotyczące bezpieczeństwa haseł i zarządzania dostępem, zmniejszając obciążenie związane z wykazaniem zgodności z kontrolami CMMC.

Aby pomóc organizacjom zrozumieć, w jaki sposób Keeper wpisuje się w ramy CMMC, firma Keeper podjęła niedawno współpracę z zewnętrznym ekspertem ds. CMMC w celu zmapowania możliwości Keeper do konkretnych mechanizmów kontrolnych CMMC. Ekspert, Jacob Hill, jest CEO TEKFused, firmy oferującej certyfikaty z zakresu zarządzania, ryzyka i zgodności (GRC). Hill ma ponad 17 lat doświadczenia, tytuł magistra w dziedzinie cyberbezpieczeństwa z WGU i kilka certyfikatów, w tym CMMC Certified Assessor, CMMC Provisional Instructor, CISSP-ISSEP i CySA+. Publikował także CVE, a jego badania nad bezpieczeństwem prezentował Brian Krebs i magazyn Infosecurity.

*Zastrzeżenie: kliknięcie powyższego przycisku spowoduje pobranie pliku na Państwa komputer.

Łącząc celowe praktyki w zakresie cyberbezpieczeństwa, silne zasady zarządzania dostępem i platformy takie jak KSGC, wykonawcy mogą przyśpieszyć gotowość, wyprzedzić wymogi w zakresie zgodności i przygotować się na kontrakty DoD. Warto już dziś poprosić o wersję demonstracyjną, aby dowiedzieć się więcej.