Die Cybersecurity Maturity Model Certification (CMMC) ist eine Zertifizierung, die dazu dient, die vertraulichen Informationen des Verteidigungsministeriums (DoD) zu schützen. Sie ist Teil der größeren Bemühungen, sicherzustellen, dass alle DoD Auftragnehmer und Lieferanten in der Defense Industrial Base (DIB) über die notwendigen Cybersecurity-Prozesse und -Verfahren verfügen, um kontrollierte unklassifizierte Informationen (CUI) und Informationen aus Bundesverträgen (FCI) zu schützen.

CMMC 2.0-Stufen Ein umfassender Leitfaden für DoD Auftragnehmer

Jetzt lesen

CMMC 2.0 besteht aus drei unterschiedlichen Reifegraden, die das Hauptaugenmerk dieses Artikels sind. Organisationen können zwischen den drei Reifegraden, Grundlegend, Fortgeschritten und Experte, wählen, um ihre Cybersecurity-Position besser zu bewerten und zu verbessern. Dieser Artikel wird diese Reifegrade im Detail erklären, um DoD-Auftragnehmern, Lieferanten und anderen Organisationen, die die Compliance-Anforderungen erfüllen müssen, zu helfen, die notwendigen Sicherheitsmaßnahmen zu verstehen und umzusetzen.

Verständnis der CMMC 2.0-Stufen

CMMC 2.0 Reifeebene 1: Grundlegend

Die Grundebene ist die erste der drei Ebenen und umfasst grundlegende Praktiken des Cybersecurity-Risikomanagements. Diese Ebene umfasst die grundlegendsten Maßnahmen zum Schutz vor Cyber-Bedrohungen und soll die gängigsten Cyber-Bedrohungen abdecken. Sie konzentriert sich auf grundlegende Maßnahmen zur Sicherheit und Risikosteuerung, wie Authentifizierung und Zugriffskontrolle, also die Fähigkeit zu steuern, wer auf welche Informationen zugreifen kann.

Die Anforderungen dieser Ebene sind in 17 verschiedene Praktiken unterteilt, einschließlich, aber nicht beschränkt auf, Asset Management, Medien Schutz, Identifizierung & Authentifizierung, Sicherheitsbewertung & Autorisierung und System- & Kommunikationsschutz. Organisationen müssen nachweisen, dass alle erforderlichen Praktiken umgesetzt wurden, sowie effektive Prozesse des Cybersecurity-Managements demonstrieren.

Beispiele für geeignete Sicherheitspraktiken auf der Grundebene sind:

  • Regelmäßiges Sichern von Daten und Speichern dieser Daten an einem sicheren, externen Standort
  • Verwendung komplexer Passwörter und Zwei-Faktor-Authentifizierung für alle Konten
  • Installation, Wartung und Aktualisierung von Firewalls, Antivirenprogrammen und anderer Sicherheitssoftware
  • Regelmäßige Durchführung von Sicherheitsaudits zur Identifizierung von Schwachstellen und Maßnahmen zu deren Behebung

Wer benötigt die CMMC Level 1 Compliance?

CMMC 2.0 Level 1 gilt für DoD-Vertragspartner und Subunternehmer, die Bundesvertragsinformationen (FCI) verarbeiten, die von der Regierung im Rahmen eines Vertrags zur Entwicklung oder Bereitstellung eines Produkts oder einer Dienstleistung für die Regierung bereitgestellt oder generiert werden.

Die Grundebene erfordert von Organisationen, grundlegende Cybersecurity-Praktiken durchzuführen. Sie können die Zertifizierung durch eine jährliche Selbstbewertung erreichen. CMMC Third Party Assessor Organizations (C3PAOs) sind nicht an der Zertifizierung der Stufe 1 beteiligt.

CMMC 2.0 Reifeebene 2: Fortgeschritten

Die fortgeschrittene Ebene ist der nächste Schritt im CMMC-Zertifizierungsprozess und umfasst spezialisiertere Cybersecurity-Praktiken. Diese Praktiken sollen vor fortgeschritteneren Cyber-Bedrohungen schützen. Sie soll einen höheren Schutzgrad als die Grundebene bieten und ist darauf ausgelegt, die wertvollsten Vermögenswerte eines Unternehmens zu schützen.

Die fortgeschrittene Ebene ist in 110 verschiedene Praktiken unterteilt, einschließlich, aber nicht beschränkt auf, Zugriffskontrolle, Sicherheitsbewertung & Autorisierung, System- & Kommunikationsschutz und Angriffs- & Reaktionsplanung. Organisationen müssen nachweisen, dass alle erforderlichen Praktiken umgesetzt wurden, sowie effektive Prozesse des Cybersecurity-Managements demonstrieren. CMMC 2.0 Level 2 ist auf NIST 800-171 abgestimmt.

Beispiele für geeignete Sicherheitspraktiken auf der fortgeschrittenen Ebene sind:

  • Einrichtung von Richtlinien und Verfahren zur Verwaltung des Benutzerzugriffs und der Authentifizierung
  • Implementierung wirksamer Sicherheitssysteme und Kommunikationsschutz wie Verschlüsselung und Netzwerkisolierung
  • Einrichtung eines Systems zur schnellen und effektiven Reaktion auf Cyber-Bedrohungen
  • Regelmäßige Durchführung von Sicherheitsbewertungen zur Identifizierung und Behebung von Schwachstellen
  • Entwicklung von Strategien zur Verhinderung und Erkennung bösartiger Aktivitäten

Wer benötigt die CMMC Level 2 Compliance?

DoD-Vertragspartner und Subunternehmer, die den gleichen Typ von CUI verarbeiten, müssen die Level 2 Compliance erfüllen. DoD-Vertragspartner mit priorisierten Akquisitionen, die Daten verarbeiten, die für die nationale Sicherheit von entscheidender Bedeutung sind, müssen alle drei Jahre eine Bewertung durch eine C3PAO bestehen, während nicht priorisierte Akquisitionen mit Daten, die nicht für die nationale Sicherheit von entscheidender Bedeutung sind, eine jährliche Selbstbewertung durchführen müssen.

CMMC 2.0 Reifelevel 3: Experte

Die Expertenstufe ist die höchste Stufe des CMMC-Zertifizierungsprozesses und umfasst die umfassendsten Cybersicherheitspraktiken. Sie soll die Sicherheit der sensibelsten Informationen und Vermögenswerte einer Organisation gewährleisten und die Fähigkeit der Organisation sicherstellen, sich gegen komplexe, ausgeklügelte Cyberangriffe zu verteidigen.

CMMC 2.0 Level 3 befasst sich mit den fortgeschrittensten, anhaltenden Bedrohungen und soll die Cybersicherheit eines Systems stärken. Es erfordert von den Organisationen, einen Plan zu erstellen, aufrechtzuerhalten und zu ressourcen, um Cybersicherheitspraktiken ordnungsgemäß umzusetzen. Dieser Plan sollte Ziele, Missionen, Projekte, Ressourcen, Schulungen und die Beteiligung der Stakeholder der Organisation umfassen. Die Pläne sollten sich auch auf den Schutz von CUI konzentrieren.

Obwohl die spezifischen Anforderungen noch entwickelt werden, wird Level 3 wahrscheinlich die 110 Kontrollen von NIST SP 800-171 und eine Teilmenge von NIST SP 800-172 Kontrollen enthalten. Das Konzept und die Umsetzung von Level 3 werden den Organisationen helfen, ihre Anfälligkeit für fortgeschrittene, anhaltende Bedrohungen zu reduzieren und gute Praktiken der Cyberhygiene sicherzustellen.

Zusätzlich zu den Sicherheitsanforderungen von NIST SP 800-172 hat Level 3 weitere 20 Praktiken hinzugefügt. Darüber hinaus gilt die DFARS-Klausel 252.204-7012, die eine zusätzliche Ebene von Sicherheitsanforderungen für Systeme hinzufügt, die CUI für DoD-Programme mit höchster Priorität verarbeiten.

Beispiele für geeignete Sicherheitspraktiken auf Expertenebene sind:

  • Implementierung eines effektiven Systems zur Überwachung und Erkennung bösartiger Aktivitäten
  • Aufstellung von Richtlinien und Verfahren zur Verwaltung des Benutzerzugriffs und der Authentifizierung
  • Implementierung fortschrittlicher Sicherheitssysteme und Kommunikationsschutz wie Verschlüsselung und Netzwerkisolierung
  • Aufbau eines Vorfallsreaktionssystems zur schnellen und effektiven Reaktion auf Cyberbedrohungen
  • Implementierung eines Systems zur regelmäßigen Überprüfung und Überwachung von Systemen und Netzwerken auf potenzielle Cybersicherheitsprobleme

Wer benötigt die CMMC 2.0 Level 3 Compliance?

CMMC 2.0 Level 3 gilt für Unternehmen, die CUI für DoD-Programme mit höchster Priorität bearbeiten. Es ist vergleichbar mit CMMC 1.02 Level 5, obwohl das DoD noch seine spezifischen Sicherheitsanforderungen entwickelt.

CMMC für Organisationen, die nicht konform sein müssen

Organisationen, die nicht mit den CMMC-Standards konform sein müssen, können trotzdem von dem Rahmenwerk profitieren. Zum Anfang sind die CMMC-Level immer noch als Referenz für Organisationen außerhalb der Defense Industrial Base anwendbar, um ihre eigenen Sicherheitsrichtlinien und -verfahren zu erstellen und sicherzustellen, dass ihre vertraulichen Informationen gut geschützt sind. Um zu bestimmen, welches CMMC-Reifelevel für ihre Organisation am besten geeignet ist, sollten sie ihre Sicherheitslage bewerten. Dies gibt Ihnen einen Ausgangspunkt, um einen effektiven Sicherheitsplan zu erstellen, der den Zielen Ihrer Organisation entspricht.

Organisationen, die ihren eigenen Sicherheitsplan erstellen möchten, sollten die Maßnahmen der CMMC umsetzen. Dies beinhaltet Bereiche wie Zugangskontrolle, System- und Informationsintegrität, Medienprotektion und Incident Response. Während Sie jeden Bereich durchgehen, sollten Sie die Anforderungen der CMMC-Level berücksichtigen, um den Plan an Ihre Organisation anzupassen. Sie sollten auch Ihre Sicherheitslage bewerten, um eventuelle Lücken zu identifizieren und zu bestimmen, wie Sie diese angehen können. Diese sollten in jeder Organisation Cybersecurity-Risikomanagement Strategie enthalten sein.

Sie sollten auch andere Maßnahmen in Betracht ziehen, die Ihre Sicherheitslage verbessern, wie kontinuierliche Überwachung und Patching, sichere Systementwicklung, Informationssicherheit und Schulungen. All diese Maßnahmen können auf Ihre individuellen organisatorischen Bedürfnisse zugeschnitten und in den Gesamtsicherheitsplan integriert werden.

Indem sie die CMMC-Stufen als Referenz nutzen und einen effektiven Sicherheitsplan erstellen, können Unternehmen sicherstellen, dass ihre vertraulichen Informationen gut geschützt sind. Darüber hinaus können sie eine Vertrauensumgebung für ihre Kunden und Partner schaffen und ihre Verpflichtungen gegenüber Datenschutzgesetzen und -standards erfüllen. Letztendlich können Organisationen, die die Prinzipien des CMMC zur Orientierung nutzen, eine sichere Umgebung für ihre Informationen und Systeme entwickeln.

Wie das Kiteworks-fähige Private Content Network die CMMC 2.0 Level 2 Compliance beschleunigt

Das Kiteworks-fähige Private Content Network (PCN) vereinfacht und beschleunigt den CMMC 2.0 Level 2 Compliance-Prozess für Unternehmen. Kiteworks vereinheitlicht, verfolgt, kontrolliert und sichert alle sensiblen Inhaltskommunikationen auf einer Plattform. Es ermöglicht auch Erst- und Drittparteien, an vertraulichen Inhalten zusammenzuarbeiten. Kiteworks hilft, den Prozess der Erreichung der CMMC 2.0 Level 2 Compliance durch Bereitstellung von Zugriffskontrolle, sicherem Dateitransfer, Dateiverschlüsselung, sicherem Filesharing und Authentifizierung mit Zwei-Faktor-Authentifizierung und Multi-Faktor-Authentifizierung zu vereinfachen und zu beschleunigen. Organisationen können granulare Berechtigungen und Richtlinien festlegen, um die höchsten Sicherheitsstufen ihrer Daten und Inhalte zu gewährleisten.

Mit Kiteworks können Organisationen ihre CMMC 2.0 Level 2 Dokumentation und Nachweise sicher intern mit einer C3PAO (Third Party Assessor Organization) und mit dem CMMC Accreditation Body (CMMC-AB) teilen. Dies hilft Organisationen, den Compliance-Prozess schneller und effizienter zu durchlaufen.

Kiteworks hilft Organisationen, eine digitale Audit-Trail für alle ihre sensiblen Inhaltskommunikationen zu erstellen. Dies ermöglicht es ihnen, sensible Inhaltskommunikationen zu überwachen und die Einhaltung von Datenschutz- und Sicherheitsvorschriften, einschließlich CMMC 2.0 Level 2, nachzuweisen. Kiteworks stellt C3PAO-Auditoren außerdem einen vollständigen Audit-Trail zur Verfügung, der zur Beschleunigung des Zertifizierungsprozesses genutzt werden kann. Darüber hinaus unterstützt Kiteworks fast 90% der CMMC 2.0 Level 2 Anforderungen out of the box.

Um mehr über das Kiteworks Private Content Network und darüber, wie es Ihre CMMC 2.0 Level 2 Compliance beschleunigen kann, zu erfahren, vereinbaren Sie heute eine individuell zugeschnittene Demo.

 

Zurück zum Risiko- & Compliance-Glossar

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Explore Kiteworks