Cybersecurity Maturity Model Certification (CMMC)
Denne model er meget lig det, som kaldes en standard eks. ISO 27001, men adskiller sig fra denne på flere måder:
- Den er amerikansk og tager sit udgangspunkt i militære samarbejder. Danske virksomheder, som indgår i en leverandørkæde, hvor amerikansk forsvar er endelig indkøber, kan forvente at skulle overholde CMMC. Den er dog ikke begrænset hertil og kan derfor også anvendes bredt i Danmark og til informationssikkerhed generelt.
- Den trækker i høj grad på eksisterende amerikanske standarder, hvilket gør, at den starter på et højt afprøvet niveau, den genopfinder ikke en masse nye dybe tallerkner, og den er baseret på gratis materiale (både modellen og de underliggende standarder er frit tilgængelige).
- Den er meget velegnet til at modenhedsvurdere virksomheder og organisationer, hvilket er effektivt til at sikre forskellige grader af informationssikkerhed.
- Den omfatter en modenhedsmodel i fem trin, som giver en naturlig opskrift på at opdele implementering i mere overskuelige faser og også understøtter virksomhedsnære og -tilpassede behov.
Fundamentet i CMMC
CMMC dækker 17 best practice områder indenfor informationssikkerhed (det svarer til de 14 grupper af sikkerhedskontroller i ISO 27001). I denne model benævnes de "domæner":En kort oversigt over kapabiliteter er givet herunder. ”Kapabiliteter” bruges i CMMC for temaer under de enkelte domæner, der kan opfattes som mål eller overordnede krav.
Navn |
Forkortelse |
Kapabiliteter |
Access Control |
AC |
Etablering af krav til systemadgang Kontrol af adgang til interne systemer Kontrol af adgang til eksterne systemer Begrænsning af dataadgang til autoriserede |
Asset Management |
AM |
Identificer og dokumenter informationsaktiver Håndter oversigt over informationsaktiver |
Audit and Accountability |
AU |
Definer krav til audit Udfør audit Identificer og beskyt auditinformation Review og håndter auditlogs |
Awareness and Training |
AT |
Gennemfør aktiviteter der skaber bevidsthed om informationssikkerhed Gennemfør uddannelse |
Configuration Management |
CM |
Etabler en konfigurationsbaseline Udfør konfigurations- og ændringsstyring |
Identification and Authentication |
IA |
Giv adgang til identificerede brugere og systemer |
Incident Response |
IR |
Planlæg håndtering af hændelser Detekter og rapporter begivenheder Definer og implementer respons på sikkerhedsbrud Review sikkerhedsbrud Afprøv planer for håndtering af hændelser |
Maintenance |
MA |
Vedligehold sikkerhedssystemer |
Media Protection |
MP |
Identificer og afmærk medier Beskyt og kontroller medier Rens medier Beskyt medier under transport |
Personnel Security |
PS |
Undersøg medarbejdere Beskyt informationer ved medarbejderhandlinger |
Physical Protection |
PE |
Begræns fysisk adgang |
Recovery |
RE |
Håndter backup Etabler nød-, beredskabs- og reetableringsstyring |
Risk Management |
RM |
Identificer og evaluer risici Håndter risici Håndter risici i leverandørkæder |
Security Assessment |
CA |
Etabler og vedligehold en plan for systemsikkerhed Definer og håndter sikkerhedskontroller Udfør kodereview |
Situational Awareness |
SA |
Implementer trusselsovervågning |
Systems and Communications Protection |
SC |
Definer sikkerhedskrav for systemer og kommunikation Kontroller kommunikation til, fra og mellem systemer |
System and Information Integrity |
SI |
Identificer og håndter fejl og mangler ved informationssystemer Identificer ondartet indhold Udfør netværks- og systemovervågning Implementer avanceret beskyttelse af emails |
Praktikker
CMMC er opbygget omkring konkrete selvstændige praktikker, som hver især er velbeskrevne. Den totale model omfatter 171 praktikker, hvoraf de fleste firmaer vil implementere færre (mere herom herunder).Et eksempel på er praktik er AC.1.001 som dækker over følgende krav, der udtrykker et basalt krav om kun at give adgang til informationer, hvor der et autoriseret formål:
CMMC leverer til hver praksis en nærmere beskrivelse, som omfatter:
- En uddybning (for AC.1.001 er det 8 linjer)
- En nedbrydning i forskellige ret håndgribelige aktiviteter. I dette tilfælde er der tre, hvoraf den første er: Control Who can use company computers and who can log on to the company network.
- Eksempler på konkrete opgaver i dagligdagen (use cases), i dette tilfælde er der to, hvor den først beskriver, hvordan en systemadministrator giver adgangsrettigheder og beskytter adgangen.
- Referencer til eksisterende standarder for mere information (i dette tilfælde er der nævnt syv standarder med detaljerede referencer).
Praktikkernes sammenhæng
Praktikker indgår i forskellige sammenhænge:- Domæner: Et domæne er et best practice område indenfor informationssikkerhed. Den netop omtalte praktik AC.1.001 indgår i domænet Adgangskontroller (AC).
- Kapabiliteter (temaer) som i praksis er underopdelinger af domæner, som kan tænkes på som overordnede krav. Således er AC opdelt i fire kapabiliteter:
- C001 Establish system access requirements (hvor AC.1.001 indgår)
- C002 Control internal system access
- C003 Control remote system access
- C004 Limit data access to authorized users and processes
- Niveauer: Der er fem niveauer som udtrykker en progression af modenhed. På det nederste niveau findes AC.1.001 samt tre andre praktikker. På niveau 2 er der ni yderligere praktikker og hele AC omfatter 26 praktikker, hvis man vælger at implementere til niveau 5.
Praktikniveauer
Som beskrevet er der fem praktikniveauer.
Niveau |
Navn |
Beskrivelse |
1 |
Basic Cyber Hygiene |
Fokus er beskyttelsen af kontraktinformationer (mellem kunde og leverandør) og er begrænset til en basal beskyttelse |
2 |
Intermediate Cyber Hygiene |
Dette niveau ses som et skridt mod niveau og indeholder de væsentligste praktikker som indgår i niveau 3 |
3 |
Good Cyber Hygiene |
Fokus er beskyttelse af uklassificerede informationer, hvortil der er krav om at disse er under kontrol. Formålet er at sikre at kunden kan dele sin informationer med leverandøren med en lav risiko for, at disse informationer forsvinder, korrumperes eller lækkes fra leverandøren |
4 |
Proactive |
På dette niveau indføres praktikker til yderligere beskyttelse mod avancerede/sofistikerede angribere og angreb mod informationssikkerhed. Praktikkerne på dette niveau har fokus på detektion og håndtering af trusler, hændelser og brud. Hertil kommer opbygning af en organisatorisk evne til at tilpasse sig til truslernes forbedrede taktikker, teknikker og metoder, hvorfor niveauet kaldes proaktivt |
5 |
Advanced/Proactive |
Sidste niveau tilføjer yderligere dybde og indhold til temaet for niveau 4. Et illustrativt eksempel kunne være IR.5.102 Use a combination of manual and automated, real-time responses to anomalous activities that match incident patterns. |
- Niveau 1 handler om et basalt niveau at beskyttelse, som kan betragtes som universelt indenfor informationssikkerhed
- Niveau 2 og 3 skal give kunderne en sikkerhed for, at de kan dele informationer uden væsentlig risiko og tilbyde disse en tryghed herved. For virksomheder, som ønsker et samarbejde med amerikansk forsvar, er implementering af niveau 3 et krav.
- Niveau 4 og 5 handler om at forbedre sikkerheden i forhold til de stadig mere avancerede og komplekse trusler indenfor cybersecurity ved at gøre organisationen stadig mere dynamisk og adapterende.
Procesniveauer
Det sidste hovedelement i CMMC handler om organisationens evne til at implementere processer, der understøtter informationssikkerhed. Organisationens procesmodenhed udtrykker dens evne til at udføre, udbrede, fastholde, evaluere og forbedre sine måder at arbejde på.Som for praktikkerne er der fem procesniveauer.
Niveau |
Navn |
Beskrivelse |
1 |
Performed |
Fokus er evnen til at udføre praktikkerne. På dette niveau kan denne udførelse stadig være ad-hoc, personafhængig og udokumenteret |
2 |
Documented |
På niveau 2 skal organisationen etablere og dokumentere sine praktikker, således de kan gentages uden alt for stor variation. Ligeledes skal der formuleres politikker, som udtrykker ledelsens forventninger til implementeringen, og disse politikker skal understøttes af konkrete praktikker |
3 |
Managed |
Aktiviteterne forbundet med praktikker skal styres, dvs. planlægges og følges op på. Planen skal etableres og holdes vedlige ligesom der skal tilføres de nødvendige ressourcer til at planlægge og implementere praktikker |
4 |
Reviewed |
Udgangspunktet for review af praktikker er målinger på disse eks. KPI’er med fokus på virkningsgrad og effektivitet. Review har til formål at identificere korrigerende handlinger, identificere trends og informere ledelsen om status |
5 |
Optimizing |
Sidste niveau tilføjer krav om tværorganisatorisk standardisering og optimering af praktikker |
Endelig kan praktikniveauer og procesniveauer sammenstilles i denne figur:
Afsluttende betragtninger
Der er mange fordele forbundet med brugen af modenhedsmodeller, som bl.a. giver en naturlig progression i forbedringerne og derfor kan bruges til at opdele implementeringen i mere overkommelige, men samtidig værdiskabende faser.Som det fremgår, er CMMC i høj grad baseret på CMMI (se her) og dermed på det mest velafprøvede fundament overhovedet. Hertil er det også en styrke, at CMMC tager udgangspunkt i allerede afprøvede og aktivt vedligeholdte standarder. Dette vil sikre at implementering af CMMC forbliver et aktiv for virksomheder i lang tid fremover.
På det helt overordnede niveau er CMMC relateret til amerikansk forsvar og er nu et krav for virksomheder, der indgår i forsyningskæder til US DOD eks. produkter til amerikansk forsvar/homeland security. Men indholdet under dette ser vi som universelt og vil med stor fordel kunne implementeres i virksomheder, der tager informationssikkerhed seriøst.
Kontakt os gerne for en uforpligtende dialog herom (se her).