#RSAC: Das Zertifizierungsprogramm für das Cybersecurity Maturity Model ist im Kommen

  • [Blocked Image: https://assets.infosecurity-magazine.com/content/float/ed534514-f1af-4db8-a02d-890dfdeb1fe3.jpg]Kelly Fletcher, stellvertretender Hauptinformationsbeauftragter des Verteidigungsministeriums

    In einer Podiumsdiskussion auf der RSA Conference 2022 erörterte eine Gruppe von Experten die Auswirkungen und Möglichkeiten des Cybersecurity Maturity Model Certification (CMMC)-Programms des US-Verteidigungsministeriums.

    Die Moderatorin des Panels, Lauren Williams, leitende Redakteurin bei FCW und Defense System, erklärte, dass eine Organisation, die mit dem US-Verteidigungsministerium Geschäfte machen will, irgendwann das Cybersecurity Maturity Model-Zertifizierungsprogramm einhalten muss. Das Verteidigungsministerium spricht schon seit einigen Jahren über das CMMC als Ansatz, um einen einheitlichen Sicherheitsstandard für Auftragnehmer im Verteidigungsbereich zu schaffen. Jetzt, im Jahr 2022, gibt es Bemühungen, die 2.0-Version der Spezifikation zu definieren.

    Kelly Fletcher, stellvertretender Hauptinformationsbeauftragter des Verteidigungsministeriums, sagte, dass CMMC 1.0 fünf Stufen hatte und ziemlich kompliziert war. Das neue CMMC 2.0 hat nur noch drei Konformitätsstufen und soll einen rationalisierten Prozess ermöglichen, der für Organisationen leichter zu verstehen ist.

    „Es geht nicht darum, dass die Cybersicherheitskontrollen nicht robust sind, sondern nur darum, dass der Prozess verständlicher ist“, sagte Fletcher über CMMC 2.0.

    CMMC 2.0 kommt im Jahr 2023

    Fletcher erklärte, dass sich CMMC 2.0 derzeit in der Phase der Regelsetzung befindet. Der Plan sieht vor, dass der Plan im März 2023 dem US Office of Management and Budget (OMB) zur öffentlichen Stellungnahme vorgelegt wird. Derzeit wird davon ausgegangen, dass sich CMMC im Sommer 2023 auf Verträge der US-Regierung auswirken wird.

    „Wenn Sie bereits mit dem DoD zusammenarbeiten, sollten Sie sich die Cybersicherheitsanforderungen in Ihrem Vertrag ansehen, denn viele der Anforderungen, die heute in den Verträgen stehen, sind die gleichen wie die, die CMMC haben wird“, sagte Fletcher.

    Matthew Travis, CEO der CMMC-Akkreditierungsstelle, erläuterte, dass die Bewertungen der Verteidigungsunternehmen von Drittanbietern durchgeführt werden sollen. Travis geht davon aus, dass für das CMMC eine kontinuierliche Überwachung und Bewertung erforderlich sein wird und nicht nur eine punktuelle Einhaltung.

    Michael Baker, Chief Information Security Officer bei DXC Technology, schlägt vor, dass sich Unternehmen schon jetzt mit dem CMMC befassen und die Lieferkette, einschließlich kritischer Unterauftragnehmer, bewerten sollten.

    „Wenn Sie die Ressourcen haben, um CMMC vorzubeugen, sollten Sie sicherstellen, dass Sie Ihre Verpflichtungen erfüllen“, so Baker. „Das ist das Richtige für Ihr Unternehmen, denn Sie wollen keine Schwachstelle in Ihrer Lieferkette haben, für die Sie dann langfristig dem Verteidigungsministerium gegenüber Rechenschaft ablegen müssen, weil Sie nicht das getan haben, was Sie tun mussten.“

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com