了解CMMC和使用FileCloud的合规性

CMMC

CMMC是美国政府使用的手段,用于强制执行审计第三方遵守NIST SP 800-171的分层方法, 基于五种不同程度的成熟程度。自1月以来,国防部第三方组织已被要求遵守NIST 800-171 2018年。在过去的三年中,国防部在国防工业基地遵守800-171卢比的低率, 并创建了CMMC,以解决这两种初值及其潜艇的不合规性问题。此外,当NIST 800-171年最初发起,国防部不会接受任何形式的第三方审计,以证明NIST 800-171遵从性,但这是 正是CMMC所做的,因此过去三年从NIST 800-171采用最初设想了很多改变了。

战略和国际研究中心估计,2017年网络犯罪的全球总成本高达6000亿美元。美国国防部正在强制执行风险管理方法,以提高第三方伙伴的网络安全措施,要求他们要求他们获得网络安全成熟度模型认证(CMMC)。该认证旨在改善对受控的未分类信息(CUI)和联邦合同信息(FCI)的保护,而该认证适用于国防部承包商。 CMMC测量组织保护FCI和CUI的方法。 CUI是根据联邦法律,法规和政府政策需要保护或审计控制的信息.FCI是政府根据合同提供或由政府开发或提供产品或服务的信息,而不是公开发布。

CMMC的关键外卖

  • 所有与国防部开展业务的公司都必须通过分包商进行认证。
  • 预计CMMC将将各种网络安全标准的相关部分与NIST SP 800-171,NIST SP 800-53,ISO 270001和ISO 27032相结合,进入网络安全的一个统一标准。
  • 承包商将需要由第三方审计员认证。
  • 承包商的认证水平将被公开,尽管具体调查结果的细节不会被公开访问。
  • 承包商必须清楚地将实践和程序与已遵守CMMC实践或流程的要求进行文件和程序。

五个成熟程度

根据您的公司和您与国防部所进行的业务将决定您需要哪个级别(1-5)。

  • 1级 - 基本网络卫生:包括适用于拥有普遍接受的普通实践的小型公司的基本网络安全。此级别的过程将包括一些基本执行的网络安全实践。此级别具有35个安全控制,必须成功实现。
  • 2级 - 中间人网络卫生:包括普遍接受的网络安全最佳实践。应记录此级别的实践,并访问CUI需要多因素身份验证。此级别包含一个额外的115个安全控件,位于1的顶部。
  • 3级 - 良好的网络卫生:包括所有NIST SP 800-171 Rev.1控制的保险和超出当前CUI保护范围的控制和其他实践。维持此级别的流程,并综合了解网络资产。此级别需要额外的91个安全控件,在1和2级覆盖的顶部。
  • 4级 - 积极主动:包括先进和复杂的网络安全实践。定期审查此级别的过程,正常资源,并在整个企业中定期改进。此外,防守响应以高速运营,并知识所有网络资产。此级别在前三个级别的顶部有一个95个控件。
  • 等级5 - 高级/进步:包括高度高级的网络安全实践。参与此级别的过程包括对企业的持续改进,并在高速执行的防御响应。此级别需要额外的34个控件。

5级CMMC

 

17安全要求域

CMMC模型由17个域组成,其中14个域名来自联邦信息处理标准(FIPS)出版物200和NIST 800-171

  1. 访问控制
  2. 资产管理
  3. 审计和问责制
  4. 意识和培训
  5. 配置管理
  6. 识别和身份验证
  7. 事件响应
  8. 维护
  9. 媒体保护
  10. 人员安全
  11. 物理保护
  12. 恢复
  13. 风险管理
  14. 安全评估
  15. 对情况的意识
  16. 系统和通信保护
  17. 系统和信息完整性

filecloud.根据您所需的CMMC成熟度级别为17个域中的每个域的预期成熟度级别识别漏洞,并为改进安全位置并满足CMMC要求创建清晰的说明。我们将经历几个域名,让您知道FileCloud如何帮助您遵守。

访问控制 –FileCloud支持与Active Directory,LDAP和SSO集成。此外,FileCloud还将您的网络共享与NTFS权限集成,以便为您提供对允许用户查看,上传,下载,共享,同步或管理的数据的更好访问控制。在FileCloud中,您可以创建用户和组,并将其分配给它们的权限和策略以允许或阻止它们访问数据。 FileCloud还支持DLP和粒度文件夹权限。

资产管理– filecloud.的集中式设备管理允许您查看使用我们的手机和桌面客户端访问FileCloud的所有设备。 FileCloud还包括创建这些设备的报告的功能,以帮助您创建库存报告。

审计和问责制–filecloud.的审计功能使您可以查看每次访问FileCloud的何时,何时,何处,以及何处。 FileCloud还支持Siem(Blah)集成。 FileCloud的数据治理功能允许您应用多个保留规则,以避免删除要在FileCloud中存储的可审计记录。

意识和培训–要补充内部员工培训,FileCloud为您提供了有关在使用FileCloud时应用最佳安全性实践的广泛信息。 FileCloud还提供最终用户培训。

配置管理- filecloud.包含多个配置功能,包括但不限于集中式设备管理,内容分类,DLP,全局策略,特定设备配置策略,自定义,数据治理,数据治理,用户密码强制执行,私有共享权限,粒度文件夹级别权限等。

识别和认证 - 除FileCloud的专有用户身份验证外,FileCloud还支持与Active Directory,LDAP和SSO集成。 FileCloud还支持Duo安全集成和2FA。

事件响应 - filecloud.的数据治理仪表板显示潜在的规则违规,例如DLP违规或保留政策违规。 FileCloud Workflows使您能够自动化报告生成,设备批准和其他任务。

维护- 使用FileCloud Workflows,管理员能够在FileCloud中执行自动维护任务,例如,在指定的时间之后删除文件或禁用未在特定时间内访问FileCloud的用户。 FileCloud还支持自动审核日志修剪并导出到管理员定义的位置。

媒体保护 - filecloud.通过CLAMAV或ICAP协议的抗病毒集成使您可以验证文件的完整性,因为它们上传。 FileCloud的DLP为您提供了对数据的粒度控制。 FileCloud通过HTTPS / SSL支持传输的加密。

人员安全 - filecloud.的Smart Classification和DLP使您可以根据拒绝或允许下载或共享的DLP规则对数据进行分类。

恢复- filecloud. Server Backup Tool创建自动备份数据。

结论

对于您的组织符合CMMC,他们必须实施加密文件共享解决方案。最终用户负责利用合适的FileCloud功能以及管理和维护托管FileCloud以确保CMMC要求的环境进行管理和维护环境。

filecloud.是货架软件解决方案的商业解决方案,可帮助业务安全地共享,管理和管理企业内容。 FileCloud软件为组织提供了必要的功能,以获取CMMC合规性。

 

参考

Accillion CMMC合规指南. (n.d.). ACCELLION. Retrieved 2021, from //www.accellion.com/sites/default/files/resources/wp-accellion-cmmc-compliance-guide.pdf

Carey, B. (2020, May 11). Prepare for CYBERSECURITY Maturity Model certification (cmmc). Retrieved April 06, 2021, from //blog.rapid7.com/2020/04/15/preparing-for-the-cybersecurity-maturity-model-certification-cmmc-part-1-practice-and-process/

战略和国际研究中心(CSIS)&www.mcafee.com。 (2018年2月)。网络犯罪的经济影响 - 没有减速。检索到2021年4月6日,来自 //csis-website-prod.s3.amazonaws.com/s3fs-public/publication/economic-impact-cybercrime.pdf

网络安全成熟度模型认证(CMMC) (第1卷)。 (2020)。卡内基梅隆大学和约翰霍普金斯大学应用物理实验室LLC。

躲闪 cybersecurity audits are Coming: Here’s how to prepare. (2021). Retrieved April 06, 2021, from //www.sysarc.com/services/managed-security-services/cybersecurity-maturity-model-certification-cmmc-guide-for-dod-contractors/