stringtranslate.com

Certificación del Modelo de Madurez de Ciberseguridad

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un marco de evaluación y un programa de certificación de evaluadores diseñado para aumentar la confianza en las medidas de cumplimiento de una variedad de estándares publicados por el Instituto Nacional de Estándares y Tecnología . [1]

El marco y el modelo CMMC fueron desarrollados por la Oficina del Subsecretario de Defensa para Adquisiciones y Mantenimiento (OUSD(A&S)) del Departamento de Defensa de los Estados Unidos a través de contratos existentes con la Universidad Carnegie Mellon , el Laboratorio de Física Aplicada de la Universidad Johns Hopkins y Futures, Inc. [1] El Organismo de Acreditación de Certificación del Modelo de Madurez de Ciberseguridad supervisa el programa en virtud de un contrato sin costo. El programa está actualmente supervisado por la oficina CIO del DOD . [2]

El CMMC, que a menudo requiere una evaluación de terceros si un contratista maneja información no clasificada controlada , tendrá un impacto en la industria de defensa de 768 mil millones de dólares (el 3,2 % del producto interno bruto de los Estados Unidos de América). [3]

El propósito del CMMC es verificar que los sistemas de información utilizados por los contratistas del Departamento de Defensa de los Estados Unidos para procesar, transmitir o almacenar datos confidenciales cumplan con los requisitos obligatorios de seguridad de la información. [4] El objetivo es garantizar la protección adecuada de la información no clasificada controlada (CUI) [5] y la información de contratos federales (FCI) que es almacenada y procesada por el socio o proveedor.  

Modelo

El marco proporciona un modelo para que los contratistas de la base industrial de defensa cumplan con los requisitos de seguridad de la norma NIST SP 800-171 Rev 2, Protección de información no clasificada controlada en sistemas y organizaciones no federales. Algunos contratos también incluirán un subconjunto de requisitos de la norma NIST SP 800-172, Requisitos de seguridad mejorados para proteger la información no clasificada controlada: un suplemento a la publicación especial NIST 800-171. [6]

CMMC organiza estas prácticas en un conjunto de dominios, que se relacionan directamente con las familias NIST SP 800-171 Rev 2 y NIST SP 800-172. Hay tres niveles dentro de CMMC: Nivel 1, Nivel 2 y Nivel 3 [1]

La CMMC no se aplicará en los contratos federales hasta que se haya completado la reglamentación final y se haya incorporado al Código de Regulaciones Federales (CFR) 32 y 48. [1]. [6]

La oficina del CMMC ha prometido próximamente orientación para ayudar a establecer expectativas para las empresas de la Base Industrial de Defensa en cuanto a qué nivel de acreditación deben buscar, dependiendo de su papel como principal o subcontratista en varios contratos.

Historia

En 2002, la Ley Federal de Gestión de Seguridad de la Información requirió que cada agencia federal de los Estados Unidos desarrollara, documentara e implementara un programa a nivel de toda la agencia para brindar seguridad de la información y los sistemas de información.

En 2002, la Ley de Investigación y Desarrollo de la Seguridad Cibernética autorizó asignaciones a la Fundación Nacional de Ciencias (NSF) y al Secretario de Comercio para el Instituto Nacional de Estándares y Tecnología (NIST) para establecer nuevos programas y aumentar la financiación de ciertos programas actuales para la investigación y el desarrollo de la seguridad informática y de redes (CNS) y las becas de investigación de CNS. Esto condujo al desarrollo de requisitos de seguridad en el marco de la Certificación del Modelo de Madurez de la Seguridad Cibernética.

En 2003, el Proyecto FISMA, ahora Proyecto de Gestión de Riesgos, lanzó y publicó requisitos como FIPS 199 , FIPS 200 y las Publicaciones Especiales NIST 800–53 , 800–59 y 800–6. Luego, las Publicaciones Especiales NIST 800–37, 800–39, 800–171, 800-53A.

En 2010, la Orden Ejecutiva 13556 – Información no clasificada controlada anuló una orden anterior y creó un estándar para etiquetar datos en todo el gobierno.

En el Reglamento Suplementario sobre Adquisiciones Federales de Defensa de 2011 (DFARS), la norma propuesta 7000 para promulgar requisitos para salvaguardar la información no clasificada específicamente en lo que se refiere a la investigación fundamental se propuso en el caso 2011-D039.

En 2013 entra en vigor la regla DFARS 252.204-7000 que exige la protección de datos confidenciales en sistemas no federales.

En 2016 entra en vigor la cláusula DFARS 7012 que exige que todos los titulares de contratos realicen una autoevaluación para cumplir con los requisitos de seguridad de NIST SP 800-171.

En 2019, el Departamento de Defensa anunció la creación de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC, por sus siglas en inglés) para realizar la transición desde un mecanismo de autocertificación de la higiene cibernética básica de una organización que se utilizaba para gobernar la Base Industrial de Defensa. Desde 2017, todos los contratistas de defensa debían autoevaluar e informar sobre su preparación en materia de ciberseguridad de acuerdo con el estándar NIST SP 800-171.

Después de una serie de violaciones en la cadena de suministro, [7] el Departamento de Defensa, trabajando en asociación con la industria, creó el modelo CMMC.

En 2019, se publicó la norma provisional que autoriza la inclusión de CMMC en los contratos de adquisición, el Suplemento al Reglamento Federal de Adquisiciones de Defensa ( DFARS ) 2019-D041, el 29 de septiembre de 2020, con fecha de entrada en vigor del 30 de noviembre de 2020. [8]

El 8 de diciembre de 2020, la Junta de Acreditación de CMMC y el Departamento de Defensa publicaron un cronograma actualizado [9] que establece que el modelo estará completamente implementado para septiembre de 2021.

El 8 de diciembre de 2020, el Departamento de Defensa publica siete subvenciones pioneras que pondrán a prueba el marco CMMC y requerirán que cualquier contratista en la subvención tenga un evaluador externo certificado que mida el cumplimiento de la empresa. [10]

El 31 de diciembre de 2020, la Administración de Servicios Generales publicó una Solicitud de Propuesta para su programa Polaris que señalaba que, si bien CMMC actualmente se aplica solo al Departamento de Defensa, todos los contratistas gubernamentales, civiles o militares, deben prepararse para cumplir con los requisitos de CMMC. [11]

El 4 de noviembre de 2021, el Departamento de Defensa anunció el lanzamiento de CMMC 2.0. [12] Esta nueva versión fue diseñada para simplificar sus requisitos.

El 29 de septiembre de 2022, Cyber ​​AB (el organismo de acreditación del CMMC del Departamento de Defensa) estableció una subsidiaria para gestionar la capacitación y certificación denominada "Certificación de instructor y asesor de ciberseguridad" (CAICO). [13]

El 25 de octubre de 2022, la Organización de Certificación de Instructores y Evaluadores de Ciberseguridad (CAICO) [14] anunció el lanzamiento del examen de Profesional Certificado en CMMC (CCP). Este examen verifica el conocimiento del candidato sobre el marco CMMC del Departamento de Defensa y las funciones y responsabilidades de los distintos puestos dentro de él. [15]

El 5 de enero de 2023, RedSpin, un evaluador externo de CMMC, anunció que había evaluado con éxito a un cliente como parte de la evaluación del Programa de Evaluación Voluntaria de Vigilancia Conjunta (JSVAP). [16]

El 26 de diciembre de 2023, el Departamento de Defensa publicó en el Registro Federal la regla propuesta, Programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC), que establece los requisitos actualizados para CMMC 2.0. [17]

Crítica

Los profesionales de la industria han expresado una gran preocupación por la falta de comunicaciones oficiales centralizadas y el cronograma acelerado para la implementación. La gran cantidad de empresas afectadas en la base industrial de Defensa crea un nivel de volumen para las Organizaciones de Evaluación de Terceros de CMMC (C3PAO) que aún no están acreditadas que parecería ser poco realista para los plazos propuestos y ha sido ampliamente discutido en LinkedIn. [18] [19] Arrington ha respondido afirmando que la reciprocidad con los programas de certificación existentes, como FedRAMP y FIPS 140, eliminará el trabajo duplicado y mantendrá el nivel de trabajo mínimo para las empresas que ya cumplen con la normativa. [20]

El presidente del organismo de acreditación CMMC, Ty Schieber, abandonó la junta junto con Mark Berman, director de comunicaciones, en medio de un programa de patrocinio aparentemente no autorizado, "Pay to Play", que se publicó en el sitio web de CMMC-AB. Karlton Johnson asumió el cargo de presidente. [21] [22]

Véase también

Referencias

  1. ^ abc "Descripción general del modelo de certificación de madurez de ciberseguridad (CMMC). Consultado el 1 de abril de 2022" (PDF) .
  2. ^ "Director de Información del Departamento de Defensa. Consultado el 17 de abril de 2023".
  3. ^ "Instituto Internacional de Investigación para la Paz de Estocolmo. "Tendencias en el gasto militar mundial, 2019", págs. 2-3. Consultado el 7 de diciembre de 2020" (PDF) .
  4. ^ "Dirección estratégica para el programa de certificación del modelo de madurez de la ciberseguridad (CMMC)". Departamento de Defensa de Estados Unidos . Consultado el 27 de diciembre de 2022 .
  5. ^ Ross, Ron; Pillitteri, Victoria; Dempsey, Kelley; Riddle, Mark; Guissanie, Gary (28 de enero de 2021). "Protección de información no clasificada controlada en sistemas y organizaciones no federales".
  6. ^ ab "Certificación del Modelo de Madurez de Ciberseguridad (CMMC)".
  7. ^ "La estrategia del FBI aborda la amenaza cibernética en evolución - Oficina Federal de Investigaciones". Oficina Federal de Investigaciones . 16 de septiembre de 2020 . Consultado el 8 de enero de 2021 .
  8. ^ "Suplemento del Reglamento Federal de Adquisiciones de Defensa: Evaluación de la Implementación de Requisitos de Ciberseguridad por parte de los Contratistas (Caso DFARS 2019-D041)". Registro Federal . 29 de septiembre de 2020 . Consultado el 9 de enero de 2021 .
  9. ^ "Actualización de la cronología de CMMC". CyberDI . 5 de enero de 2021 . Consultado el 9 de enero de 2021 .
  10. ^ Serbu, Jared (15 de diciembre de 2020). "El Pentágono revela los primeros contratos para servir como pioneros para CMMC". Federal News Network . Consultado el 8 de enero de 2021 .
  11. ^ Boyd, Aaron (4 de enero de 2021). "GSA publica el borrador del nuevo contrato de servicios de TI del gobierno Polaris". Nextgov.com . Consultado el 8 de enero de 2021 .
  12. ^ "OUSD". 4 de noviembre de 2021. Archivado desde el original el 4 de noviembre de 2021.
  13. ^ "La Cyber ​​AB crea una organización de certificación de instructores y asesores de ciberseguridad". GovCon Wire . 29 de septiembre de 2022 . Consultado el 21 de febrero de 2023 .
  14. ^ Organización de certificación de instructores y asesores de ciberseguridad (CAICO)
  15. ^ "La organización de certificación de instructores y asesores de ciberseguridad lanza el examen profesional certificado CMMC". Business Wire . 25 de octubre de 2022 . Consultado el 21 de febrero de 2023 .
  16. ^ "Redspin se convierte en el primer C3PAO en realizar una evaluación JSVAP exitosa". www.businesswire.com (Comunicado de prensa). 5 de enero de 2023 . Consultado el 17 de abril de 2023 .
  17. ^ Programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC), 88 FR 89058 (propuesto el 26 de diciembre de 2023) (que se codificará en 32 CFR § 170). Registro Federal .
  18. ^ "Las empresas tecnológicas le dicen al Departamento de Defensa que sus nuevos estándares cibernéticos no están dando en el blanco". Federal News Network . 27 de marzo de 2020 . Consultado el 9 de enero de 2021 .
  19. ^ "El Departamento de Defensa advierte a los proveedores sobre certificadores CMMC de terceros falsos". Federal News Network . 24 de febrero de 2020 . Consultado el 9 de enero de 2021 .
  20. ^ Williams, Lauren C. (8 de septiembre de 2020). "Las directrices de reciprocidad de CMMC aún son un trabajo en progreso". FCW . Consultado el 9 de enero de 2021 .
  21. ^ "Cuestiones de certificación del modelo de madurez de la ciberseguridad". Fedscoop . 28 de julio de 2020. Archivado desde el original el 28 de julio de 2020 . Consultado el 9 de enero de 2021 .
  22. ^ "CMMC AB destituye al presidente Ty Schieber y a Mark Berman". Fedscoop . 16 de septiembre de 2020. Archivado desde el original el 1 de octubre de 2020 . Consultado el 9 de enero de 2021 .

Enlaces externos