CMMC se aplicará a todos los contratistas del DOD que manejen datos gubernamentales confidenciales.
Estados Unidos de América. WASHINGTON, D.C., 24 de noviembre de 2016. Edificio del Pentágono, sede del Departamento de Defensa de EE. UU. Crédito de la imagen: Mia2you/Shutterstock.
El Departamento de Defensa propuso reglas publicadas a finales de diciembre para establecer el programa. La Certificación del Modelo de Madurez de Ciberseguridad (CMCC) está un paso más cerca de su finalización. Debe entrar en el período de comentarios hasta el 26 de febrero, cuando se finalicen los resultados. La norma afectará a cualquier contratista que gestione contratos, información (FCI) e información clasificada no clasificada (CUI) del gobierno federal controlada para prevenir ciberataques a la base industrial de defensa.
El programa, denominado CMMC 2.0, describe controles de seguridad para los tres niveles de seguridad de CMMC, estableciendo un proceso para verificar el cumplimiento. y establecer un papel para garantizar la ciberseguridad para el gobierno federal, los contratistas y terceros. Esta regla se aplica a todos los contratistas y subcontratistas del DOD que «procesan, almacenan o transmiten información de contratos federales (FCI) o información no clasificada controlada (CUI) en sistemas de información de contratistas».
Las únicas partes exentas son aquellas con contratos que utilizan exclusivamente productos disponibles comercialmente y contratos que no exceden el umbral de compra pequeña.
«La forma más fácil de entender CMMC es comprender que es un programa de evaluación diseñado para validar la implementación de requisitos de ciberseguridad. Sin embargo, el truco es que el programa CMMC en sí no define los requisitos de ciberseguridad. Esos requisitos de ciberseguridad Pero es un examen de las regulaciones cibernéticas lo que determinado por otras cláusulas contractuales”, dijo a GovCIO Media & Research Jacob Horne, evangelista jefe de seguridad en la Cumbre 7.
Aunque CMMC modifica la forma en que maneja la información no clasificada más confidencial fuera del DOD, no modifica el Reglamento Federal de Adquisiciones (FAR) ni el Accesorio FAR del DOD (DFARS), que se manejan en reglas separadas.
¿Qué hay en las nuevas reglas?
Las nuevas reglas, denominadas CMMC 2.0, tienen un diseño de tres niveles en comparación con los cinco niveles originales definidos en CMMC 1.0.
- El primer nivel de certificación, Nivel 1, afecta aproximadamente al 63% de los contratistas y afecta a los contratos y subcontratistas en acuerdos de FCI. Los contratistas de Nivel 1 deben completar una autoevaluación para garantizar el cumplimiento.
- El nivel 2, que afecta aproximadamente al 37% de los contratistas, se requiere para los contratos y subcontratistas que gestionan CUI.
- Solo el 1% de los contratistas estarán sujetos a los requisitos de Nivel 3, que son un conjunto adicional de requisitos contractuales de Nivel 2. En el Nivel 2, los contratos requieren una autoevaluación o evaluación de certificación realizada por una organización de evaluación externa de CMMC para garantizar el cumplimiento en el nivel. 3, el DOD certificará además el cumplimiento de NIST SP 800-172.
“Este estándar mínimo básico se creó con muchas suposiciones sobre lo que probablemente ya haya sucedido. Resulta que este no es realmente el caso. La mayoría de las empresas gastan poco o nada de dinero en ciberseguridad. Especialmente cuando entras Los microniveles de la cadena de suministro», dijo Horn. «Tan pronto como llegas al nivel dos y más, de repente hay mucha madurez que ya está ahí».
Horne dijo que el Departamento de Defensa ha adoptado una postura más estricta sobre los requisitos de ciberseguridad mediante la adopción de esta regla. Esto se debe a que tanto los pequeños como los grandes contratistas siguen estándares laxos.
La regla delega autoridad para investigar autoevaluaciones de CMMC activas o evaluaciones de certificación de CMMC no válidas. Se realizará periódicamente. Por varias organizaciones Incorporará las nuevas normas a sus procedimientos en un plazo máximo de 30 meses.
Sin embargo, Horne dijo que es probable que los contratistas y subcontratistas cumplan antes del plazo de 30 meses a medida que las fuerzas del mercado cambien hacia el cumplimiento de CMMC.
“El contratista principal informará inmediatamente al subcontratista que ‘Obtenga su certificado tan pronto como pueda’ y el mercado presionará a todos para que obtengan su certificado, tengan o no las calificaciones del contrato”, dijo Horn.
¿Qué sigue más allá de CMMC?
Aunque CMMC se aplica específicamente al DOD, la regla 800-171 del NIST que CMMC obliga a los contratistas a cumplir se extiende a todo el gobierno federal. Esto significa que otras agencias federales Es posible que enfrenten situaciones y problemas similares.
Según Horne, el desarrollo del programa CMMC es un indicador temprano para otras agencias. sobre lo que está por suceder
“Es muy importante prestar atención a los problemas que se revelan. Posición política de la agencia. Comentarios públicos provenientes de la industria. y cómo esas cosas trabajan juntas para dar forma a las políticas. Porque esa sería la misma situación que en cualquier otro lugar. Las agencias tendrán que afrontarlo tan pronto como salga esa norma. Eso está en la agenda general para este año”, dijo Horn.