CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

こんにちは、丸山満彦です。

Carnegie Mellon Universityのブログで、CMMCについての記事が記載されていますね。。。

● Carnegie Mellon University

・2020.03.30 An Introduction to the Cybersecurity Maturity Model Certification (CMMC) by Katie C. Stewart

プロセスとプラクティスの成熟度という概念がポイントの一つですよね。。。

【参考】

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

-----

Leveled Practices

• Level 1 represents basic cyber hygiene, and focuses on the protection of federal contract information (FCI). It consists of practices that correspond only to the basic safeguarding requirements specified in 48 CFR 52.204-21 ("Basic Safeguarding of Covered Contractor Information Systems").
• Level 2 is a transitional step in cybersecurity maturity progression to protect CUI. Level 2 consists of a subset of the security requirements specified in NIST SP 800-171, as well as practices from other standards and references.
• Level 3 focuses on the protection of CUI. It encompasses all of the security requirements specified in NIST SP 800‑171, as well as additional practices from other standards and references.
• At Level 4, the model begins to focus more on the proactive activities an organization can take to protect, detect, and respond to threats. These practices enhance the organization's ability to address and adapt to the changing tactics, techniques, and procedures (TTPs) used by advanced persistent threats (APT)s.
• Level 5 focuses on the protection of CUI from APTs. The practices increase the depth and sophistication of cybersecurity capabilities.

Process Maturity

• ML 1 requires that an organization to perform the specified practices. Because the organization may perform these practices only in an ad hoc manner, process maturity is not assessed this level. Documentation, unless specified directly in the practice, is not required at ML 1.
• ML 2 requires an organization to establish and document practices within a domain. The documentation of practices enables an organization to execute the CMMC practices in a repeatable manner and to achieve expected outcomes. In addition, ML2 requires that the organization has a guiding policy that establishes the objectives and importance of the CMMC domain.
• ML 3 requires an organization to establish, maintain, and resource a plan for managing CMMC domain activities. The plan may include information on missions, goals, project plans, resourcing, required training, and involvement of relevant stakeholders. In addition, at ML 3, an organization must resource its CMMC activities as defined in the plan.
• ML 4 requires an organization to review and measure practices for effectiveness. Organizations at this level must also take corrective actions when necessary, and inform higher level management of status or issues on a recurring basis.
• ML 5 requires a company to standardize and optimize process implementation throughout the organization. A company must develop procedures from standard guidance that senior management typically provides. In addition, a company must communicate and share improvement information throughout the organization.

-----

実践レベル

• レベル1　基本的なサイバー衛生を表し、連邦契約情報(FCI)の保護に焦点を当てている。これは、48 CFR 52.204-21（"Basic Safeguarding of Covered Contractor Information Systems"）で規定されている基本的な保護要件にのみ対応するプラクティスで構成されている。
• レベル2　CUIを保護するためのサイバーセキュリティ成熟度の段階的なステップである。レベル2は、NIST SP 800-171 で規定されているセキュリティ要件のサブセット、および他の標準や参考文献からの実践で構成されている。
• レベル3　CUIの保護に焦点を当てている。レベル3は、NIST SP 800-171で規定されているすべてのセキュリティ要件に加えて、他の規格や参考文献からの追加のプラクティスを網羅している。
• レベル4　脅威を保護、検出、および対応するために組織が取ることができるプロアクティブな活動に焦点を当てている。これらのプラクティスは、高度な持続的脅威(APT)が使用する変化する戦術、技術、および手順(TTP)に対応し、適応するための組織の能力を強化する。
• レベル5　APT からの CUI の保護に焦点を当てている。実践により、サイバーセキュリティ能力の深さと洗練度が向上する。

 

プロセスの成熟度

• ML1　組織が指定されたプラクティスを実行することを要求している。組織がこれらのプラクティスをその場しのぎで対応しているため，プロセスの成熟度はこのレベルでは評価されない。ML1では、プラクティスの中で直接指定されていない限り、文書化は要求されない。
• ML2　組織は、ドメイン内のプラクティスを確立し、文書化することを要求される。実践を文書化することで，組織は CMMC の実践を再現可能な形で実行し，期待される成果を得ることができるようになる。また、ML2では、組織がCMMCドメインの目的と重要性を定めた指導方針を持つことを要求している。
• ML3　組織がCMMC領域の活動を管理するための計画を策定し、維持し、リソースを提供することを要求している。この計画には、ミッション、目標、プロジェクト計画、リソース、必要なトレーニング、関連する利害関係者の関与などの情報が含まれている。さらに、ML3では、組織は計画で定義されたCMMC活動のリソースを提供しなければならない。
• ML4　組織は有効性のために実践を見直し、測定することを要求される。また、このレベルの組織は、必要に応じて是正措置を講じ、定期的に状況や問題点を上位管理者に報告しなければならない。
• ML5　組織全体でプロセスを標準化し、最適化することを求めています。企業は、上級管理職が一般的に提供する標準的なガイダンスに基づいて手順を開発しなければならない。さらに、企業は組織全体で改善情報を伝達し、共有しなければならない。

Translated with www.DeepL.com/Translator (free version)を元に一部変更しています。