Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > CMMC Compliance > MFT für CMMC: Stellen Sie sicher, dass Ihre Managed-File-Transfer-Lösung CMMC-conform ist
MFT for CMMC: Ensure Your Managed File Transfer Solution is CMMC Compliant

MFT für CMMC: Stellen Sie sicher, dass Ihre Managed-File-Transfer-Lösung CMMC-conform ist

von Danielle Barbour updated November 13, 2024 CMMC Compliance
Lesezeit: 7 Minuten

Ist Ihr Managed File Transfer CMMC-konform? Wenn Sie nicht konform sind und dies erforderlich ist, kann es Sie aktuelle oder zukünftige Verträge kosten.

Auf wen trifft CMMC zu? CMMC, oder Cybersecurity Maturity Model Certification, gilt für alle, die mit dem US-Verteidigungsministerium arbeiten, einschließlich Auftragnehmern und Unterauftragnehmern. Bei der Einführung betraf die CMMC-Implementierung über 300.000 Organisationen.

Der CMMC-Zertifizierungsprozess ist mühsam, aber unsere CMMC 2.0 Compliance-Roadmap kann helfen.

Was ist CMMC und wie wirkt es sich auf mein Unternehmen aus?

CMMC ist ein relativ neuer Satz von Cybersecurity-Vorschriften, die in der Lieferkette des Verteidigungsministeriums (DoD) eingeführt werden. Basierend auf der Special Publication 800-171, dem Federal Information Processing Standard (FIPS) 200 und anderen Dokumenten, die vom National Institute of Standards and Technology (NIST) veröffentlicht wurden, bietet CMMC Auftragnehmern in der Lieferkette ein Reifegradmodell, das ihre Fähigkeit zur Handhabung von Controlled Unclassified Information (CUI) bestimmt.

CMMC 2.0 Compliance Fahrplan für DoD Auftragnehmer

Jetzt lesen

CUI ist eine einzigartige Bezeichnung für Daten. Erstellt im Jahr 2010 durch eine Executive Order des damaligen Präsidenten Barack Obama, definiert CUI eine Kategorie von Informationen, die, obwohl nicht klassifiziert (und somit nicht militärischem oder Bundesrecht unterliegend), dennoch eine wesentliche Rolle im Betrieb von Verteidigungs- oder Exekutivbehörden spielt. NIST 800-171 und CMMC umreißen die notwendigen Anforderungen zum Schutz von CUI.

Um die Reife von Cyber-Auftragnehmern zu bewerten, bietet CMMC einen gestuften Ansatz basierend auf fünf Ebenen, die durch Cybersecurity-Hygiene (einschließlich der Anzahl der implementierten technischen Sicherheitspraktiken) und Prozesse (die Fähigkeit, die Sicherheit der Organisation zu verwalten) bestimmt werden.

Es gibt drei CMMC-Reifegrade im CMMC 2.0-Framework:

  1. CMMC Level 1 (Grundlegend): CMMC Level 1 erfordert eine jährliche Selbsteinschätzung mit Bestätigung durch einen Unternehmensleiter. Diese Stufe umfasst die grundlegenden Schutzanforderungen für FCI, die in der FAR-Klausel 52.204-21 festgelegt sind.
  2. CMMC 2.0 Level 2 (Fortgeschritten): CMMC Level 2 ist mit NIST SP 800-171 abgestimmt. Es erfordert dreijährliche Drittparteienbewertungen für Auftragnehmer, die kritische nationale Sicherheitsinformationen senden, teilen, empfangen und speichern. Diese Drittparteienbewertungen werden von C3PAOs durchgeführt. Ausgewählte Auftragnehmer, die in Level 2 fallen, benötigen nur jährliche Selbsteinschätzungen mit Unternehmensbestätigung. Diese Stufe umfasst die Sicherheitsanforderungen für CUI, die in NIST SP 800-171 Rev 2 gemäß DFARS-Klausel 252.204-7012 [3, 4, 5] festgelegt sind.
  3. CMMC 2.0 Level 3 (Experte): CMMC Level 3 ist mit NIST 800-172 abgestimmt und erfordert dreijährliche, von der Regierung geführte Bewertungen. Level 3 wird 24 Anforderungen aus NIST SP 800-172 enthalten.

Es ist sicherlich der Fall, dass, wenn es um den Dateitransfer in einem Kontext geht, in dem CUI involviert ist, jede Dateitransferlösung die Mindestanforderungen an die Sicherheit für mindestens CMMC Level 2 erfüllen muss.

Wie beeinflusst MFT die CMMC-Compliance?

Da CMMC-Vorschriften weit mehr als einfache technische Sicherheitsmaßnahmen zum Schutz von Daten erfordern, bietet eine konforme Managed File Transfer (MFT)-Lösung zahlreiche Datenkontroll-, Sicherheits- und Prüfprotokollfähigkeiten. Aus diesem Grund entscheiden sich viele Auftragnehmer für Managed File Transfer-Lösungen wie Kiteworks Secure MFT, um den Unternehmensdateitransfer zu verwalten.

Betrachten Sie CMMC Level 2, das Mindestniveau, das erforderlich ist, um CUI zu handhaben. Auf dieser Ebene müsste eine Managed File Transfer-Lösung die folgenden Funktionen enthalten:

  • Verschlüsselung für alle Daten im ruhenden Zustand und während der Übertragung: Typische Verschlüsselungsalgorithmen auf dieser Ebene umfassen AES-128 oder AES-256 (für Daten im ruhenden Zustand) und TLS 1.2 oder höher (für Daten während der Übertragung).
  • Ausreichende Zugriffskontrollen: Eine MFT-Lösung, die die Compliance aufrechterhält, wird robuste Zugriffskontrollen beinhalten—Möglichkeiten, den Systemzugang auf autorisierte Benutzer zu beschränken, Zugriffsgrenzen basierend auf Transaktionstypen zu setzen, Anmeldeversuche zu begrenzen, Benutzerrechte streng zu kontrollieren und die Anzahl der Transaktionen im System zu überprüfen oder zu kontrollieren.
  • Prüfprotokolle: CMMC fordert IT-Systeme, die Prüfprotokolle für die Aktionen der Benutzer im System bereitstellen. Dies umfasst die Fähigkeit, Schritte im System eindeutig nachzuverfolgen, unveränderliche Protokolle für forensische Analysen zu führen, Protokolle genau zu stempeln, Alarme basierend auf protokollierten Ereignissen zu erstellen, Prüfungsinformationen vor Manipulation oder Korruption zu schützen und Berichte basierend auf Prüfprotokollen zu erstellen.
  • Berichterstattung und Dokumentation: MFTs sollten Möglichkeiten zur Berichterstattung über Aktivitäten im System beinhalten, typischerweise über ein Dashboard, das Berichterstattungs- und Dokumentationsbemühungen unterstützt. Diese Dokumente werden oft benötigt, um Prüfungsanfragen zu adressieren, aber sie informieren auch über wichtige und notwendige Praktiken wie das Risikomanagement.

Wichtige Erkenntnisse

  1. Anwendbarkeit und Bedeutung der CMMC-Compliance

    CMMC gilt für alle Auftragnehmer und Unterauftragnehmer, die mit dem US-Verteidigungsministerium arbeiten. Nichteinhaltung kann zum Verlust aktueller oder zukünftiger Verträge führen.

  2. Ebenen der CMMC-Compliance

    Das CMMC 2.0-Framework umfasst drei Reifegrade: Grundlegend, Fortgeschritten und Experte, jeweils mit spezifischen Anforderungen. Ein Minimum an CMMC Level 2 Compliance ist erforderlich, um kontrollierte nicht klassifizierte Informationen (CUI) zu handhaben.

  3. Wesentliche MFT-Funktionen für die Compliance

    Um die Anforderungen von CMMC Level 2 zu erfüllen, müssen MFT-Lösungen robuste Verschlüsselung, Zugriffskontrollen und detaillierte Prüfprotokolle bieten. Diese Funktionen gewährleisten sichere Dateitransfers und die Einhaltung der Sicherheitsvorgaben des DoD.

  4. Zusätzliche MFT-Fähigkeiten

    Eine CMMC-konforme MFT-Lösung sollte auch hohe Volumen und geplante Transfers unterstützen, Skalierbarkeit bieten und die Integration mit anderen Unternehmenswerkzeugen (z.B. SIEM-Systemen) ermöglichen, um sowohl die Sicherheit als auch die Benutzerfreundlichkeit zu verbessern.

  5. Kiteworks Secure MFT für umfassende CMMC-Compliance

    Kiteworks bietet wichtige Funktionen wie AES-256-Verschlüsselung, FedRAMP-Zertifizierung, umfassende Prüfprotokollierung und Datenvisualisierungstools wie das CISO-Dashboard.

Darüber hinaus müssen konforme MFTs weiterhin leistungsstarke Unternehmenslasten bedienen:

  • Geplante und Batch-Transfers: Die Handhabung großer Dateitransfers oder hochvolumiger Batch-Transfers bei gleichzeitiger Beibehaltung von Geschwindigkeit und Agilität sind die Hauptgründe für die Verwendung von Dateitransfers wie MFT. Ein MFT ermöglicht auch die Planung dieser Transfers, was einen wesentlichen Zweck erfüllen kann, indem netzwerkintensive Transfers nach Geschäftsschluss ausgelagert werden.
  • Skalierbarkeit: Ein MFT bietet ein solides Rückgrat für skalierbare Dateitransferschemata, bei denen strategische Transfers und Datenüberwachung je nach den Bedürfnissen einer Organisation größer oder kleiner werden können.
  • Unternehmensintegration: Ein MFT mit den richtigen Integrationen ist Gold wert. Ein MFT, das Funktionalität mit Produktivitätswerkzeugen, Security Information and Event Management (SIEM)-Lösungen, Cloud-Plattformen und Cloud-Computing-Anwendungen integrieren kann, erweitert die Möglichkeiten, wie eine Organisation diese Daten effektiv nutzen kann.

2024 Kiteworks Bericht zur Sicherheit und Compliance bei der Kommunikation sensibler Inhalte

Was suchen Verteidigungsauftragnehmer in einer CMMC-konformen Managed File Transfer-Lösung?

Wenn es um MFT und Compliance geht, werden Organisationen jede Lösung anhand von zwei Kriterien bewerten:

  • Funktionen und Unternehmenswerkzeuge: Was bringt dieses Tool meinem Unternehmen? Wie hilft es, unsere Daten sinnvoll zu nutzen? Was kann es in Bezug auf Intelligenz und Einblicke, Flexibilität und Skalierbarkeit bieten?
  • Compliance und Sicherheit: Wie bietet dieses MFT Sicherheitsmaßnahmen im Einklang mit CMMC? Bietet es technische Maßnahmen, administrative Kontrollen, physische Sicherheit oder eine Kombination dieser drei?

Mit diesem Wissen sollte eine MFT-Lösung alle folgenden Punkte erfüllen:

  1. Die Technologie erfüllt das gewünschte Mindest-CMMC-Reifegradniveau.
  2. Die Technologie bietet umfassende Prüfprotokollierung und Protokollierung.
  3. Die Technologie umfasst Produktivitätsintegrationen oder andere Funktionen wie integrierte Dashboards, die mehr Kontrolle darüber bieten, wie das System genutzt wird.
  4. Die Technologie unterstützt robuste MFT-Kontrollen wie detaillierte Planung und Nachverfolgung sowie hochvolumige Transfers.

Kiteworks MFT für CMMC-Compliance

Wenn es um CMMC geht, müssen Verteidigungsauftragnehmer und Unterauftragnehmer mit einem MFT-Anbieter zusammenarbeiten, der die CMMC-Anforderungen erfüllt, ohne die Benutzerfreundlichkeit und Funktionalität des Unternehmens zu opfern. Das Kiteworks Private Content Network hilft Organisationen, hochmoderne MFT-Funktionen mit sicherer, konformer Technologie zu nutzen.

Mit Kiteworks erhalten Verteidigungsauftragnehmer Folgendes:

  • Sicherheit und Compliance: Kiteworks nutzt AES-256-Verschlüsselung für Daten im ruhenden Zustand und TLS 1.3 für Daten während der Übertragung. Seine gehärtete virtuelle Appliance, granulare Kontrollen, Authentifizierung und andere Sicherheitsstapel-Integrationen sowie umfassende Protokollierung und Prüfung ermöglichen es Organisationen, die Compliance effizient zu erreichen.
  • Prüfprotokollierung: Mit den unveränderlichen Prüfprotokollen von Kiteworks können Organisationen darauf vertrauen, dass sie Angriffe früher erkennen und die richtige Beweiskette für forensische Untersuchungen aufrechterhalten können. Da das System Einträge aus allen Komponenten zusammenführt und standardisiert, sparen sein einheitliches Syslog und Alarme dem Security Operations Center (SOC)-Team wertvolle Zeit und helfen einem Compliance-Team, sich auf Audits vorzubereiten.
  • Single-Tenant Private Cloud: Dateitransfers, Dateispeicherung und Zugriff erfolgen auf einer dedizierten Kiteworks-Instanz, die On-Premises, auf Infrastructure-as-a-Service (IaaS)-Ressourcen oder in der Cloud vom Kiteworks Cloud-Server gehostet wird. Das bedeutet keine gemeinsame Laufzeit, Datenbanken oder Repositorys, Ressourcen oder Potenzial für Cloud-übergreifende Verstöße oder Angriffe. Kiteworks ist auch für Moderate Impact Level-Informationen FedRAMP-zertifiziert; FedRAMP-Compliance vereinfacht den CMMC-Compliance-Prozess, da es die Anforderungen von NIST 800-171 erfüllt, einer Grundlage für CMMC Level 2.
  • Skalierbarkeit und Kostenkonsolidierung: Zentralisierte Governance, Protokollierung und Verwaltung sparen auch Verwaltungszeit und -kosten. Alle Kiteworks-Server sind nahtlos mit sicherem, erstklassigem Filesharing und sicherer E-Mail ausgestattet.
  • Nahtlose Automatisierung: Die Kiteworks-Plattform unterstützt MFT-Automatisierung, um den Inhaltstransfer in und aus SFTP und anderen Repositorys wie Dateifreigaben und AWS S3 zu erleichtern.
  • Selbstbedienungs-Benutzerfreundlichkeit: Geschäftsanwender greifen über vertraute Web-Dateifreigabeordner auf das Backend des Kiteworks SFTP-Servers zu. Mitarbeiter, die von den Administratoren delegiert werden, verwalten die Ordner, um neue Ordnerstrukturen für neue Partner zu erstellen oder neue Ordner für neue Datensubjekte zu verschachteln.
  • Datenvisualisierung und -management: Unser CISO-Dashboard gibt Organisationen einen Überblick über ihre Daten: wo sie sich befinden, wer darauf zugreift, wie sie verwendet werden und ob sie CMMC-konform sind. Das CISO-Dashboard befähigt Unternehmensleiter, fundierte Entscheidungen über Sicherheits- und regulatorische Anforderungen zu treffen.

Um mehr über CMMC-Compliance und Managed File Transfer zu erfahren, vereinbaren Sie noch heute eine individuelle Demo von Kiteworks.

FAQs

CMMC Stufe 1 (Grundlegend): Konzentriert sich auf den Schutz von Federal Contract Information (FCI) und umfasst 15 grundlegende Schutzanforderungen aus der FAR-Klausel 52.204-21. CMMC Stufe 2 (Fortgeschritten): Konzentriert sich auf den Schutz von Kontrollierten Unklassifizierten Informationen (CUI) und integriert alle 110 Sicherheitsanforderungen aus NIST 800-171 Rev 2. CMMC Stufe 3 (Experte): Konzentriert sich auf den Schutz von CUI mit erweiterten Anforderungen, die einen Teil von 24 Sicherheitsanforderungen aus NIST 800-172 mit vom DoD genehmigten Parametern umfassen.

Die Implementierung von CMMC 2.0 beginnt mit Phase 1 (Erstimplementierung), die mit Inkrafttreten der 48 CFR Regel startet und die Anforderungen für die Selbstbewertung der Stufen 1 oder 2 erfordert. Phase 2 beginnt 12 Monate nach Beginn von Phase 1 und führt die Anforderung für die CMMC Stufe 2 Zertifizierung ein. Danach beginnt Phase 3 24 Monate nach Phase 1 und fügt die Anforderung für die CMMC Stufe 3 Zertifizierung hinzu. Die letzte Phase, Phase 4 (Vollständige Implementierung), beginnt 36 Monate nach Phase 1 und stellt die vollständige Implementierung dar, bei der alle Ausschreibungen und Verträge die entsprechenden CMMC-Stufenanforderungen enthalten müssen. Das DoD behält sich die Flexibilität vor, CMMC-Anforderungen vor diesen geplanten Phasen für bestimmte Beschaffungen nach Bedarf umzusetzen.

Organisationen im Sektor der Verteidigungsindustrie (DIB), die Federal Contract Information (FCI) oder Kontrollierte Unklassifizierte Informationen (CUI) verarbeiten, speichern oder übertragen, müssen CMMC-konform sein. Dies umfasst über 220.000 Unternehmen, die die Lieferkette des Verteidigungsministeriums (DoD) unterstützen – von Hauptauftragnehmern bis zu Unterauftragnehmern. Diese Organisationen tragen zu DoD-Systemen, Netzwerken, Installationen, Fähigkeiten und Dienstleistungen bei und müssen die CMMC-Anforderungen erfüllen, um sensible Verteidigungsinformationen zu schützen.

CMMC Stufe 2 konzentriert sich auf den Schutz von Kontrollierten Unklassifizierten Informationen (CUI) und integriert 110 Sicherheitsanforderungen, die in NIST 800-171 Rev 2 spezifiziert sind. Diese Stufe deckt wichtige Bereiche wie Zugriffskontrollen, Vorfallreaktion, Sicherheitsbewertung und Systemintegrität ab.

CMMC 2.0 verbietet POA&Ms für CMMC Stufe 1, erlaubt sie jedoch für CMMC Stufe 2 und CMMC Stufe 3. Organisationen müssen POA&Ms innerhalb von 180 Tagen nach Abschluss der Bewertung schließen. Während POA&Ms einen bedingten Status ermöglichen, müssen alle Punkte geschlossen werden, um den endgültigen Status zu erreichen. Die Anforderungen sind in § 170.21 der endgültigen CMMC-Programmvorschrift definiert.

Zusätzliche Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks