Краткое описание погружения:
- Министерство обороны (DOD) в январе 2020 года проведет сертификацию модели зрелости кибербезопасности (CMMC), чтобы гарантировать, что подрядчики государственных проектов имеют необходимые методы кибербезопасности для защиты контролируемой несекретной информации (CUI), к которой они имеют доступ. Тип информации, которую Министерство обороны пытается защитить, включает данные, относящиеся к критической инфраструктуре, ядерной энергии, конфиденциальную деловую информацию, закупки и приобретения.
- Все подрядчики Министерства обороны США должны пройти сертификацию у стороннего поставщика по своему выбору за счет подрядчика. Уровни сертификации варьируются от базового до продвинутого, и в июне 2020 года подрядчики начнут видеть ссылки на требования CMMC в запросах предложений. Некоторые оценки более высокого уровня могут проводиться Министерством обороны, Агентством по управлению оборонными контрактами или Агентством оборонной контрразведки и безопасности.
- Утрата CUI, по словам Министерства обороны, представляет угрозу для экономической безопасности Соединенных Штатов. и национальной безопасности, поэтому департамент пытается лучше защитить эту информацию. По оценкам Исполнительного аппарата Совета экономических консультантов при президенте в 2016 году, злонамеренная кибердеятельность обошлась экономике страны в сумму от 57 до 109 миллиардов долларов.
Суть:
В начале этого месяца Министерство обороны США опубликовало последнюю черновую версию CMMC для всеобщего ознакомления. В этом документе Министерство обороны более подробно рассматривает уровни сертификации.
- Уровень 1 – подрядчик демонстрирует базовую кибергигиену, как это определено Положением о федеральных закупках.
- Уровень 2 – подрядчик демонстрирует средний уровень кибергигиены и установил стандартные рабочие процедуры, политику и планы для всех своих методов работы.
- Уровень 3 – подрядчик демонстрирует хорошую кибергигиену и эффективные требования безопасности NIST SP 800-171 Rev 1 (Защита контролируемой несекретной информации в нефедеральных системах и организациях) и проверяет свою деятельность на предмет соблюдения политик и процедур.
- Уровень 4 — подрядчик демонстрирует существенную и активную программу кибербезопасности, проверяет эффективность мероприятий и информирует руководство о любых проблемах.
- Уровень 5 — подрядчик демонстрирует доказанную способность оптимизировать возможности в целях отражения усовершенствованные постоянные угрозы, стандартизирует свою деятельность во всех соответствующих бизнес-подразделениях и делится выявленными улучшениями.
Кроме того, некоторые области, которые подрядчики должны будут рассмотреть в процессе сертификации:
- Политики контроля доступа
- Идентификация и процедуры аутентификации
- Стратегии защиты мультимедиа
- Защита физического доступа
- Защита системы и связи
- Целостность системы и информации
Поскольку подрядчики строительной отрасли продолжают предпринимать большие шаги по внедрению технологий, кибератаки — не единственная проблема, которая должна их беспокоить. Рост популярности носимых устройств — пульсометров, трекеров местоположения, детекторов падений и усталости — а также средств обнаружения падений и вставок для касок, проверяющих усталость — также поднял вопросы о сборе данных и конфиденциальности.
Ассоциация защитного оборудования начала предварительное обсуждение стандарта, который будет защищать конфиденциальность работников, когда дело касается носимых устройств, но этот процесс может занять годы. Тем временем подрядчикам следует задуматься о «возможности злоупотреблений и неправильного использования», рассказала Construction Dive адвокат Мишель Шаап из компании Chiesa Shahinian & Giantomasi PC ранее в этом году. «Любая компания, которая применяет эти инструменты, — сказала она, — должна учитывать все добавленную стоимость и потенциальные риски, прежде чем внедрять эти новые технологии».