CMMC- und NIST 800-171-Anforderungen
CMMC und NIST 800-171 sind zwei Compliance-Rahmenwerke, die in den Vereinigten Staaten zunehmend an Bedeutung gewinnen, insbesondere für Unternehmen, die mit der Regierung zusammenarbeiten oder sensible Informationen verarbeiten. Auf dieser Glossarseite werden wir einen umfassenden Überblick über beide Rahmenwerke geben, die wesentlichen Unterschiede zwischen ihnen erklären und die Anforderungen zur Nachweiserbringung der Compliance mit jedem Rahmenwerk erläutern.
What Are CMMC and NIST 800-171 Frameworks?
Das Cybersecurity Maturity Model Certification (CMMC) Framework ist darauf ausgelegt, die Sicherheit kontrollierter unklassifizierter Informationen (CUI) und bundesweiter Vertragsinformationen (FCI) in der Lieferkette des Verteidigungsministeriums (DoD) zu gewährleisten. Es basiert weitgehend auf den NIST 800-171 Standards und ist in drei Stufen unterteilt. Stufe 1 (Grundlegend) erfordert die Umsetzung grundlegender Cybersicherheitspraktiken und die Verhinderung unbefugten Zugriffs, Verwendung oder Offenlegung von FCI. Stufe 2 (Fortgeschritten) hat strengere Anforderungen und konzentriert sich auf die Umsetzung anspruchsvollerer Cybersicherheitspraktiken. Stufe 3 (Experte) bietet das höchste Sicherheitsniveau für DoD-Verträge und erfordert die Umsetzung fortschrittlicher Cybersicherheitspraktiken und -fähigkeiten.
Der NIST 800-171 Rahmen ist eine Reihe von Sicherheitsstandards, die vom National Institute of Standards and Technology entwickelt wurden. Es ist darauf ausgelegt, kontrollierte unklassifizierte Informationen (CUI) vor unbefugtem Zugriff, Nutzung oder Offenlegung zu schützen. Der Rahmen ist in 14 Familien unterteilt, von denen jede verschiedene Aspekte der Datensicherheit betrachtet. Die ersten vier Familien konzentrieren sich auf die Schaffung einer sicheren Umgebung, den Schutz der Vermögenswerte der Organisation, die Sicherstellung der Personalsicherheit und die Verwaltung von Zugriffskontrollen. Die verbleibenden zehn Familien konzentrieren sich auf verschiedene Aspekte der Datensicherheit, wie Authentifizierung und Autorisierung, Incident Response, Konfigurationsmanagement sowie physische und Umweltsicherheit.
How Do CMMC and NIST 800-171 Requirements and Controls Compare?
Sowohl der CMMC als auch NIST 800-171 stellen Organisationen einen Rahmen zur Bewertung ihrer Sicherheitslage sowie Empfehlungen zur Implementierung von Prozessen und Kontrollen zur besseren Absicherung ihrer Systeme zur Verfügung. Beide Vorschriften helfen Organisationen, indem sie Mindestsicherheitsanforderungen festlegen, die erfüllt werden müssen, um konform zu sein. Die Kontrollen für CMMC 2.0 Level 2 sind mit NIST 800-171 abgestimmt, das Sicherheitskontrollen in 14 Bereiche unterteilt.
Beide Vorschriften betonen die Bedeutung der Dokumentation der Sicherheitslage eines Unternehmens und geben wichtige Anleitungen zur Auswahl der richtigen Technologien, Richtlinien und bewährten Verfahren. NIST 800-171 gibt detailliertere Anweisungen zur Umsetzung bestimmter Sicherheitskontrollen, während der CMMC einen ganzheitlicheren Ansatz verfolgt und keine speziellen Technologien oder Verfahren vorschreibt. Beide Vorschriften konzentrieren sich auch auf den Schutz kontrollierter unklassifizierter Informationen (CUI) und die Standards für Audit und Verantwortlichkeit sowie die Unterstützung von Organisationen bei der Festlegung von Richtlinien für Identität und Zugriffsverwaltung. Beide Vorschriften enthalten auch strenge Anforderungen an Drittanbieter und Auftragnehmer.
Im folgenden Abschnitt betrachten wir die CMMC 2.0-Stufen und die NIST 800-171-Anforderungen im Detail.
CMMC 2.0 Levels and Requirements
CMMC 2.0 ist ein dreistufiges Zertifizierungssystem, das entwickelt wurde, um kontrollierte unklassifizierte Informationen (CUI) zu schützen. Die drei Stufen von CMMC 2.0 sind Grundlegend (Stufe 1), Fortgeschritten (Stufe 2) und Experte (Stufe 3).
CMMC Level 1 (Foundational) entspricht CMMC 1.02 Level 1. Die 17 Kontrollen für Foundational konzentrieren sich darauf, die Informationssysteme von Auftragnehmern zu schützen, hauptsächlich durch die Beschränkung des Zugriffs auf autorisierte Benutzer. Dieses Level bietet einen grundlegenden Schutz von Auftragnehmerinformationen und gilt nur für Organisationen, die Bundesvertragsinformationen (FCI) verarbeiten.
CMMC Level 2 (Advanced) entspricht CMMC 1.02 Level 3 und umfasst alle 14 Domänen und 110 Sicherheitskontrollen gemäß NIST SP 800-171. Dieses Level ist für Unternehmen konzipiert, die mit CUI arbeiten.
CMMC Level 3 (Experte) gilt für Unternehmen, die CUI für DoD-Programme mit höchster Priorität bearbeiten. Es erfordert die 110 Kontrollen gemäß NIST SP 800-171 sowie eine Teilmenge der Kontrollen gemäß NIST SP 800-172. Dieses Level wurde entwickelt, um die Anfälligkeit eines Systems gegenüber fortgeschrittenen, andauernden Bedrohungen (APTs) zu reduzieren.
NIST 800-171 Requirement Families
Die 14 Anforderungsfamilien von NIST 800-171 bilden die Grundlage für die Erstellung eines sicheren Informationssystems für Bundesauftragnehmer, die CUI behandeln. Diese Familien decken viele Aspekte der Sicherung eines Informationssystems ab, von der Systemkonfiguration und Zugangskontrolle bis hin zur Überwachung und Protokollierung von Audits. Die spezifischen Anforderungen müssen vom Auftragnehmer umgesetzt werden, um die Einhaltung zu gewährleisten.
NIST 800-171 Requirement Family #1: Access Control
Die Zugriffskontrollanforderungen zielen darauf ab, unbefugten Zugriff auf CUI zu verhindern, um die Informationen zu schützen und sicher aufzubewahren. Diese Anforderungen umfassen Themen wie Benutzerauthentifizierung, Sitzungssperre, Mindestprivilegien, Zugriffssteuerungslisten, Kontenüberwachung und mehr.
NIST 800-171 Requirement Family #2: Audit and Accountability
Diese Anforderungsgruppe stellt sicher, dass Individuen und Aktionen zu ihrem Ursprungsort zurückverfolgt werden können. Dies wird durch das Aufzeichnen von Ereignissen im System und das Verwalten von Aktivitätsprotokollen der Benutzer erreicht. Es umfasst auch Anforderungen für die Überprüfung und den Schutz von Prüfprotokollen.
NIST 800-171 Requirement Family #3: Awareness and Training
Die Anforderungen an Bewusstsein und Schulung sollen die Bedeutung der Sicherheit für das Personal im System verstärken. Dazu gehören Anforderungen zur Bereitstellung formaler Schulungen für das Personal zu Themen wie Informationsverarbeitung, Systemsicherheit und Verschlüsselung.
NIST 800-171 Requirement Family #4: Configuration Management
Die Anforderungen an das Konfigurationsmanagement zielen darauf ab, konsistente und sichere Systemkonfigurationen in der gesamten Organisation sicherzustellen. Diese Anforderungen umfassen Themen wie die sichere Basiskonfiguration von Systemen und die Verwendung von Tools zur Verwaltung von Konfigurationseinstellungen.
NIST 800-171 Requirement Family #5: Identification and Authentication
Diese Anforderungsgruppe konzentriert sich darauf, wie Benutzer sich authentifizieren und Zugriff auf das System erhalten. Sie umfasst Anforderungen in Bezug auf Benutzeranmeldeinformationen, Zwei-Faktor-Authentifizierung, kryptografische Module und mehr.
NIST 800-171 Requirement Family #6: Incident Response
Diese Anforderungsgruppe konzentriert sich auf die Vorbereitung, Reaktion und Wiederherstellung von möglichen Sicherheitsvorfällen. Sie umfasst Anforderungen in Bezug auf die Erkennung, Eindämmung, Ausmerzung und Wiederherstellung von Vorfällen.
NIST 800-171 Requirement Family #7: Maintenance
Die Wartungsanforderungen sollen sicherstellen, dass die Systemkomponenten regelmäßig gewartet werden, um ihre Sicherheit zu erhöhen. Diese Anforderungen umfassen Kontrollen wie das Einspielen von Patches, die Inventarisierung von Software und Hardware sowie den Virenschutz.
NIST 800-171 Requirement Family #8: Media Protection
Diese Anforderungsreihe konzentriert sich auf den Schutz von Medien wie Festplatten, USBs und mehr. Sie umfasst Anforderungen in Bezug auf das Beschriften, Verfolgen und Säubern von Medien.
NIST 800-171 Requirement Family #9: Physical Protection
Die Anforderungen an den physischen Schutz sind darauf ausgelegt, sicherzustellen, dass die physische Umgebung, in der CUI gehostet wird, sicher ist. Dies umfasst Anforderungen in Bezug auf die Sicherheit von alternativen Standorten, den Umweltschutz und die Zugangskontrolle.
NIST 800-171 Requirement Family #10: Risk Assessment
Die Anforderungen an die Risikobewertung zielen darauf ab, sicherzustellen, dass Risiken für das System identifiziert und angegangen werden. Diese Anforderungsfamilie umfasst Maßnahmen wie Schwachstellenscans, Risikobewertung und Risikominderung.
NIST 800-171 Requirement Family #11: System and Communications Protection
Diese Anforderungsgruppe konzentriert sich auf den Schutz der Kommunikationskanäle und -systeme in der Organisation. Sie umfasst Maßnahmen wie Verschlüsselung, Firewalls, entmilitarisierte Zonen und die Absicherung von Netzwerkgeräten.
NIST 800-171 Requirement Family #12: System and Information Integrity
Die Anforderungen an die System- und Informationsintegrität konzentrieren sich auf den Schutz der Integrität des Systems und der darin enthaltenen Informationen. Dies umfasst Anforderungen in Bezug auf den Schutz vor bösartigem Code, den Schutz des Dateisystems und die Validierung der Informationenseingabe.
NIST 800-171 Requirement Family #13: System Security Plan
Diese Anforderungsreihe umfasst die Schritte zur Erstellung eines System-Sicherheitsplans zum Schutz von CUI. Dazu gehören Kontrollen wie Systemdokumentation, System-Sicherheitstests und Plan-Wartung.
NIST 800-171 Requirement Family #14: System and Services Acquisition
Die Anforderungen für System- und Diensterwerb sollen sicherstellen, dass alle Systeme und Dienste sicher erworben werden. Diese Anforderungsgruppe umfasst Kontrollen wie System- und Dienstanforderungen, sichere Erwerbspraktiken und die Verwendung von CUI durch Auftragnehmer.
Key Differences Between CMMC 2.0 and NIST 800-171
Die Anforderungen der beiden Frameworks haben einige Überschneidungen, aber es gibt auch einige signifikante Unterschiede. Die CMMC 2.0 verlangt von Organisationen, fortgeschrittene Cybersicherheitspraktiken wie Verschlüsselung, Schwachstellenmanagement und Incident Response zu implementieren. Im Vergleich dazu erfordert das NIST 800-171 nur die Umsetzung grundlegender Cybersicherheitspraktiken.
Die CMMC 2.0 erfordert auch, dass Organisationen Nachweise für die Einhaltung des Frameworks erbringen. Organisationen müssen ihre Umsetzung der verschiedenen Anforderungen und Kontrollen dokumentieren und ihre Compliance-Dokumentation an das Verteidigungsministerium übermitteln. Die NIST 800-171 erfordert nicht das gleiche Maß an Dokumentation. Organisationen müssen lediglich sicherstellen, dass ihre Datensicherheitspraktiken den Anforderungen entsprechen.
If I Comply With CMMC 2.0, Am I Compliant With NIST 800-171?
Die Einhaltung der CMMC-Anforderungen garantiert nicht die Einhaltung von NIST 800-171. CMMC 2.0 wurde speziell für das Verteidigungsministerium (DoD) entwickelt und soll kontrollierte unklassifizierte Informationen (CUI) schützen, die von Verteidigungsauftragnehmern gehalten werden.
Während NIST 800-171 auch CUI schützt, handelt es sich um einen Satz von Standards, der für alle Regierungsauftragnehmer gilt, die CUI bearbeiten. Damit Auftragnehmer mit NIST 800-171 konform sind, müssen sie den spezifischen Anforderungen aller 14 Familien folgen; allein die Einhaltung von CMMC ist nicht ausreichend. Obwohl sich die beiden Standards in vielen Aspekten überschneiden können, unterscheiden sie sich auch in einigen Punkten. CMMC 2.0 bietet zum Beispiel für kleinere Auftragnehmer Konformität, indem es die drei Bewertungsstufen festlegt.
Kiteworks for CMMC 2.0 Level 2 and NIST SP 800-171 Compliance
Das Private Content Network bietet Regierungsunternehmen eine sichere Plattform zum Teilen von Dateien, die die CMMC 2.0 Level 2- und NIST SP 800-171-Konformität ermöglicht. Es handelt sich um eine von FedRAMP autorisierte Lösung für den Moderate-Level CUI, die Daten sowohl während der Übertragung als auch im Ruhezustand mit TLS 1.2 und AES-256-Verschlüsselung verschlüsselt. Kiteworks unterstützt nahezu 90% der CMMC 2.0 Level 2-Anforderungen von Haus aus und erfüllt alle Sicherheitsanforderungen, die in NIST SP 800-171 festgelegt sind. Kiteworks hilft auch Organisationen, andere Vorschriften einzuhalten, einschließlich ITAR, GDPR, SOC 2 (SSAE-16) und FISMA.
Kiteworks bietet eine entscheidende Sicherheitsebene und Governance über Benutzer und Systeme, die sensible Informationen wie CUI halten und übertragen. Organisationen, die die Einhaltung von CMMC 2.0 Level 2 oder NIST 800-171 compliance suchen, können eine individuelle Demo von Kiteworks vereinbaren, um mehr zu erfahren.