Cybersecurity Maturity Model Certification (CMMC)

Informationssikkerhed i relationen mellem kunde og leverandør

Cybersecurity Maturity Model Certification (CMMC)

Share:
cmmc-logo.pngCybersecurity Maturity Model Certification (CMMC) er en model for informationssikkerhed, dvs. en gennemtænkt struktur baseret på et meget bredt sæt af praktikker indenfor informationssikkerhed. CMMC har sin oprindelse i det amerikanske forsvar og har fokus på informationssikkerhed for offentlige kunder, der indgår i samarbejder med leverandører. Der er speciel fokus på beskyttelse af sensitive informationer og virksomheder, som indgår i forsyningskæden til forsvaret eller i bredere forstand homeland security.

Denne model er meget lig det, som kaldes en standard eks. ISO 27001, men adskiller sig fra denne på flere måder:
  • Den er amerikansk og tager sit udgangspunkt i militære samarbejder. Danske virksomheder, som indgår i en leverandørkæde, hvor amerikansk forsvar er endelig indkøber, kan forvente at skulle overholde CMMC. Den er dog ikke begrænset hertil og kan derfor også anvendes bredt i Danmark og til informationssikkerhed generelt.
  • Den trækker i høj grad på eksisterende amerikanske standarder, hvilket gør, at den starter på et højt afprøvet niveau, den genopfinder ikke en masse nye dybe tallerkner, og den er baseret på gratis materiale (både modellen og de underliggende standarder er frit tilgængelige).
  • Den er meget velegnet til at modenhedsvurdere virksomheder og organisationer, hvilket er effektivt til at sikre forskellige grader af informationssikkerhed.
  • Den omfatter en modenhedsmodel i fem trin, som giver en naturlig opskrift på at opdele implementering i mere overskuelige faser og også understøtter virksomhedsnære og -tilpassede behov.
Følgende giver et overblik over CMMC. Den fulde beskrivelse findes her.

 

Fundamentet i CMMC

CMMC dækker 17 best practice områder indenfor informationssikkerhed (det svarer til de 14 grupper af sikkerhedskontroller i ISO 27001). I denne model benævnes de "domæner":

cmmc-domains.png
 
En kort oversigt over kapabiliteter er givet herunder. ”Kapabiliteter” bruges i CMMC for temaer under de enkelte domæner, der kan opfattes som mål eller overordnede krav.
 

Navn

Forkortelse

Kapabiliteter

Access Control

AC

Etablering af krav til systemadgang

Kontrol af adgang til interne systemer

Kontrol af adgang til eksterne systemer

Begrænsning af dataadgang til autoriserede

Asset Management

AM

Identificer og dokumenter informationsaktiver

Håndter oversigt over informationsaktiver

Audit and Accountability

AU

Definer krav til audit

Udfør audit

Identificer og beskyt auditinformation

Review og håndter auditlogs

Awareness and Training

AT

Gennemfør aktiviteter der skaber bevidsthed om informationssikkerhed

Gennemfør uddannelse

Configuration Management

CM

Etabler en konfigurationsbaseline

Udfør konfigurations- og ændringsstyring

Identification and Authentication

IA

Giv adgang til identificerede brugere og systemer

Incident Response

IR

Planlæg håndtering af hændelser

Detekter og rapporter begivenheder

Definer og implementer respons på sikkerhedsbrud

Review sikkerhedsbrud

Afprøv planer for håndtering af hændelser

Maintenance

MA

Vedligehold sikkerhedssystemer

Media Protection

MP

Identificer og afmærk medier

Beskyt og kontroller medier

Rens medier

Beskyt medier under transport

Personnel Security

PS

Undersøg medarbejdere

Beskyt informationer ved medarbejderhandlinger

Physical Protection

PE

Begræns fysisk adgang

Recovery

RE

Håndter backup

Etabler nød-, beredskabs- og reetableringsstyring

Risk Management

RM

Identificer og evaluer risici

Håndter risici

Håndter risici i leverandørkæder

Security Assessment

CA

Etabler og vedligehold en plan for systemsikkerhed

Definer og håndter sikkerhedskontroller

Udfør kodereview

Situational Awareness

SA

Implementer trusselsovervågning

Systems and Communications Protection

SC

Definer sikkerhedskrav for systemer og kommunikation

Kontroller kommunikation til, fra og mellem systemer

System and Information Integrity

SI

Identificer og håndter fejl og mangler ved informationssystemer

Identificer ondartet indhold

Udfør netværks- og systemovervågning

Implementer avanceret beskyttelse af emails


Praktikker

CMMC er opbygget omkring konkrete selvstændige praktikker, som hver især er velbeskrevne. Den totale model omfatter 171 praktikker, hvoraf de fleste firmaer vil implementere færre (mere herom herunder).

Et eksempel på er praktik er AC.1.001 som dækker over følgende krav, der udtrykker et basalt krav om kun at give adgang til informationer, hvor der et autoriseret formål:
Limit information system access to authorized users, processes acting on behalf of authorized users, or devices (including other information systems).

CMMC leverer til hver praksis en nærmere beskrivelse, som omfatter:
  • En uddybning (for AC.1.001 er det 8 linjer)
  • En nedbrydning i forskellige ret håndgribelige aktiviteter. I dette tilfælde er der tre, hvoraf den første er: Control Who can use company computers and who can log on to the company network.
  • Eksempler på konkrete opgaver i dagligdagen (use cases), i dette tilfælde er der to, hvor den først beskriver, hvordan en systemadministrator giver adgangsrettigheder og beskytter adgangen.
  • Referencer til eksisterende standarder for mere information (i dette tilfælde er der nævnt syv standarder med detaljerede referencer).
     

Praktikkernes sammenhæng

Praktikker indgår i forskellige sammenhænge:
  • Domæner: Et domæne er et best practice område indenfor informationssikkerhed. Den netop omtalte praktik AC.1.001 indgår i domænet Adgangskontroller (AC).
  • Kapabiliteter (temaer) som i praksis er underopdelinger af domæner, som kan tænkes på som overordnede krav. Således er AC opdelt i fire kapabiliteter:
    • C001 Establish system access requirements (hvor AC.1.001 indgår)
    • C002 Control internal system access
    • C003 Control remote system access
    • C004 Limit data access to authorized users and processes
  • Niveauer: Der er fem niveauer som udtrykker en progression af modenhed. På det nederste niveau findes AC.1.001 samt tre andre praktikker. På niveau 2 er der ni yderligere praktikker og hele AC omfatter 26 praktikker, hvis man vælger at implementere til niveau 5.
Dette er illustreret herunder:

cmmc-praksis-kontekst.png

 

Praktikniveauer

Som beskrevet er der fem praktikniveauer.
 

Niveau

Navn

Beskrivelse

1

Basic Cyber Hygiene

Fokus er beskyttelsen af kontraktinformationer (mellem kunde og leverandør) og er begrænset til en basal beskyttelse

2

Intermediate Cyber Hygiene

Dette niveau ses som et skridt mod niveau og indeholder de væsentligste praktikker som indgår i niveau 3

3

Good Cyber Hygiene

Fokus er beskyttelse af uklassificerede informationer, hvortil der er krav om at disse er under kontrol. Formålet er at sikre at kunden kan dele sin informationer med leverandøren med en lav risiko for, at disse informationer forsvinder, korrumperes eller lækkes fra leverandøren

4

Proactive

På dette niveau indføres praktikker til yderligere beskyttelse mod avancerede/sofistikerede angribere og angreb mod informationssikkerhed. Praktikkerne på dette niveau har fokus på detektion og håndtering af trusler, hændelser og brud. Hertil kommer opbygning af en organisatorisk evne til at tilpasse sig til truslernes forbedrede taktikker, teknikker og metoder, hvorfor niveauet kaldes proaktivt

5

Advanced/Proactive

Sidste niveau tilføjer yderligere dybde og indhold til temaet for niveau 4. Et illustrativt eksempel kunne være IR.5.102 Use a combination of manual and automated, real-time responses to anomalous activities that match incident patterns.

Som det fremgår af ovenstående, så anvendes en terminologi fra forsvarsdomænet. Vi tænker alligevel, at CMMC fint kan bringes i anvendelse i andre sammenhænge med følgende betragtninger:
  • Niveau 1 handler om et basalt niveau at beskyttelse, som kan betragtes som universelt indenfor informationssikkerhed
  • Niveau 2 og 3 skal give kunderne en sikkerhed for, at de kan dele informationer uden væsentlig risiko og tilbyde disse en tryghed herved. For virksomheder, som ønsker et samarbejde med amerikansk forsvar, er implementering af niveau 3 et krav.
  • Niveau 4 og 5 handler om at forbedre sikkerheden i forhold til de stadig mere avancerede og komplekse trusler indenfor cybersecurity ved at gøre organisationen stadig mere dynamisk og adapterende.
Antal praktikker på hvert niveau fremgår af følgende:
cmmc-antal-praktikker.png
 


Procesniveauer

Det sidste hovedelement i CMMC handler om organisationens evne til at implementere processer, der understøtter informationssikkerhed. Organisationens procesmodenhed udtrykker dens evne til at udføre, udbrede, fastholde, evaluere og forbedre sine måder at arbejde på.

Som for praktikkerne er der fem procesniveauer.
 

Niveau

Navn

Beskrivelse

1

Performed

Fokus er evnen til at udføre praktikkerne. På dette niveau kan denne udførelse stadig være ad-hoc, personafhængig og udokumenteret

2

Documented

På niveau 2 skal organisationen etablere og dokumentere sine praktikker, således de kan gentages uden alt for stor variation. Ligeledes skal der formuleres politikker, som udtrykker ledelsens forventninger til implementeringen, og disse politikker skal understøttes af konkrete praktikker

3

Managed

Aktiviteterne forbundet med praktikker skal styres, dvs. planlægges og følges op på. Planen skal etableres og holdes vedlige ligesom der skal tilføres de nødvendige ressourcer til at planlægge og implementere praktikker

4

Reviewed

Udgangspunktet for review af praktikker er målinger på disse eks. KPI’er med fokus på virkningsgrad og effektivitet. Review har til formål at identificere korrigerende handlinger, identificere trends og informere ledelsen om status

5

Optimizing

Sidste niveau tilføjer krav om tværorganisatorisk standardisering og optimering af praktikker

 

Endelig kan praktikniveauer og procesniveauer sammenstilles i denne figur:

cmmc-modenhed.png

Hovedbudskabet er, at en organisation kan betragtes som på det lavest niveau af de to kolonner dvs. har den et praktikniveau på 3 og et procesniveau på 2, så er organisationen på niveau 2 i henhold til CMMC.

 

Afsluttende betragtninger

Der er mange fordele forbundet med brugen af modenhedsmodeller, som bl.a. giver en naturlig progression i forbedringerne og derfor kan bruges til at opdele implementeringen i mere overkommelige, men samtidig værdiskabende faser.

Som det fremgår, er CMMC i høj grad baseret på CMMI (se her) og dermed på det mest velafprøvede fundament overhovedet. Hertil er det også en styrke, at CMMC tager udgangspunkt i allerede afprøvede og aktivt vedligeholdte standarder. Dette vil sikre at implementering af CMMC forbliver et aktiv for virksomheder i lang tid fremover.

På det helt overordnede niveau er CMMC relateret til amerikansk forsvar og er nu et krav for virksomheder, der indgår i forsyningskæder til US DOD eks. produkter til amerikansk forsvar/homeland security. Men indholdet under dette ser vi som universelt og vil med stor fordel kunne implementeres i virksomheder, der tager informationssikkerhed seriøst.

Kontakt os gerne for en uforpligtende dialog herom (se her).