תקן CMMC
שירותי ייעוץ מתקדמים לספקי משרד ההגנה האמריקאי
מהו CMMC ?
Cybersecurity Maturity Model Certification (או בקיצור: CMMC) היא הסמכה לאבטחת סייבר הנדרשת עבור כל ארגון המתכוון לעבוד עם משרד ההגנה האמריקאי (Department of Defense – DoD), או כקבלן משנה של ארגון העובד עבור משרד ההגנה האמריקאי בשנים הקרובות.
CMMC בגרסתו החדשה (ver 2) מורכב מ-3 רמות שונות של הסמכה, כל אחת מהן מותאמת לרמה שונה של אבטחת מידע הנדרשת בארגון.
רמת ההסמכה הנדרשת מכל ארגון תלויה בסוג וסיווג המידע שאליו הוא נחשף במהלך עבודתו מול משרד ההגנה, ומוגדרת במכרזים שמופצים לציבור. שימו לב כי הגדרות CMMC הן דינאמיות, וצפויות להתעדכן יחד עם התעשייה ולכן הסמכת CMMC תקפה ל-3 שנים ולאחריה יש צורך בחידוש. יש לדעת בנוסף כי כל רמת הסמכה "מכילה" את אלו הבאים מתחתיה, כלומר הסמכה לרמה 2 מכילה בתוכה את הדרישות של רמה 1, וכו'.
איך עובד התהליך?
נדרש לLevel 2 או 3?
ספקים ברמה שנייה ושלישית נדרשים לעמוד בדרישות רמה ראשונה ובנוסף סט של דרישות מורכבות וכמו כן גם הערכה חיצונית אחת ל-3 שנים מגוף רשמי (הנקרא בשם Certified 3rd Party Assessment Organization (C3PAO).
אנו נלווה את ההיערכות למבדק, המבדק עצמו ומענה לפערים במידה ויימצאו.
הכנת הארגון
ישנן שתי דרכים להתחיל את התהליך.
הדרך הקלאסית - ניתוח פערים (Gap analsys). במסגרתו מגיעים עם צ'ק ליסט מותאם לדרישות ולפי במידה וקיימים פערים אל מול הדרישות אנו ניצור עבורכם תוכנית להשלמתם וליווי במידת הצורך.
הדרך המומלצת יותר היא להתחיל בפגישת הגדרת SCOPE שאחריה ניתן לבצע ניתוח פערים מדויק. אנו נעזור לכם לדייק מה נדרש (ומה לא נדרש) ובצורה זו התהליך יזרום בצורה חלקה וטובה יותר.
ליווי מוסמך
התהליך מתבצע בהובלת Certified Registered Practitioner (RP) שהינו מטמיע מוסמך מטעם גוף ההסמכה Cyber-AB המלווה את הארגון בתהליך ההסמכה.
אנו הראשונים בארץ לקבל את ההכרה מטעם הארגון.
-
כיצד תשפיע הדרישה להסמכת CMMC על ההתקשרויות העסקיות הקיימות שלי עם ה-DoD?בכוונת ה-DoD לדרוש הסמכת CMMC מכלל שרשרת האספקה של הספקים ונותני השירות שלו, הן במכרזים עתידיים הכוללים גישה למידע CUI או FCI, והן כתוספת לחוזים קיימים. לכן גם ארגון שעובד מול DoD בהווה יצטרך להציג הסמכה גם אם אין בכוונתו לגשת למכרזים עתידיים לאחר 10.2025, וכן כל שרשרת האספקה שלו.
-
האם הארגון שלי יכול לקבל הסמכת CMMC בכוחות עצמו?אמנם ניתן להתכונן להסמכת CMMC באופן פנימי, אך התהליך עשוי להיות מורכב, יקר, ולהימשך זמן רב, בעיקר אם הארגון אינו מעסיק מומחי אבטחת מידע ואבטחת איכות בתחום. יועץ חיצוני עם מומחיות ב-CMMC יכול לעזור לייעל את התהליך, להבטיח שכל הדרישות מתקיימות ביעילות, ולהגדיל את הסבירות לעבור את ביקורת ההסמכה בניסיון הראשון ובכך לחסוך זמן רב וכסף.
-
מה ההבדל בין NIST SP 800-171 ל-CMMC?ה-NIST SP 800-171 הוא קובץ הנחיות המיועד לגופים לא פדרליים החשופים ל-CUI. CMMC מתבסס על קווים מנחים אלו, אך מרחיב אותם ע"י הוספת פרקטיקות ותהליכים נוספים וכן בחלוקה ל-3 רמות ההסמכה. בניגוד ל-NIST, המבוסס על הערכה עצמית, CMMC מרמה 2,3 דורש הסמכה על ידי צד שלישי (C3PAO).
-
מה קורה במידה ונכשלנו במבדק CMMC?ארגון שנכשל במבדקCMMC יקבל מה-C3PAOרשימה של ליקויים שיש לטפל בהם. יהיה עליו ליישם פעולות מתקנות עבור תחומים אלה ולאחר מכן לעבור הערכה מחדש. שימו לב שתיתכן תקופת המתנה לפני שניתן יהיה לבצע הערכה מחדש. מסיבות אלו מומלץ לשקול ליווי של בעל מקצוע בתהליך ההסמכה.
-
האם יהיו יוצאי דופן שיהיו פטורים מהסמכת CMMC?נכון לעכשיו אין יוצאי דופן. כל קבלן וקבלן משנה שעובדים כחלק משרשרת האספקה של DoDונחשפים ל-FCI או ל-CUIיחויבו להציג הסמכת CMMC ללא קשר לגודלם ולתעשייה בה הם פועלים, למרות שתיתכן שונות ברמת ההסמכה הנדרשת. זה כולל גם שירותים הניתנים בענן.
-
האם דרישות CMMC ישתנו לאורך הזמן? וכיצד הארגון שלי יכול להיערך לכך?כן. ככל שהאיומים וטכנולוגיות אבטחת המידע ילכו ויתפתחו, כך גם התייחסות המודל אליהם צפויה להתעדכן בהתאם ע"י גוף ההסמכה הרשמי הנקרא Cyber Accreditation Body או AB.יועץ מקצועי שילווה את הארגון בתהליך ההסמכה יכול לסייע גם בבניית תוכנית לשמירת הארגון מעודכן.
-
האם גם ארגונים שאינם חלק משרשרת האספקה של משרד ההגנה האמריקאי יכולים לקבל הסמכה למודל CMMC?כן. אמנם אין בכך חובה, אך הסמכת CMMC מהווה איתות לשוק על מקצועיות הארגון והרצינות בה הוא תופס את אבטחת המידע והשימוש בה.
-
כמה צפויה לעלות הסמכת CMMC?העלויות משתנות בהתאם למספר גורמים ביניהם רמת ההסמכה המבוקשת, גודל ומורכבות הארגון ורשתות המידע שלו, וכמות הפערים הקיימים במערכת אבטחת המידע. בנוסף, ישנן העלויות עבור הערכת צד שלישי. בהערכה גסה: הסמכה לרמה 1 צפויה לעלות כמה אלפי דולרים, הסמכה לרמה 2 עשויה להגיע לעשרות אלפי דולרים , והסמכה לרמה 3 ומעלה עלולה אף להגיע למאות אלפי דולרים. להתייעצות ראשונית ניתן להשאיר פרטים בטופס שבהמשך העמוד, או ליצור איתנו קשר ישירות.
-
כמה זמן צפוי להימשך תהליך ההסמכה?גם כאן– קשה לקבוע שכן ישנם משתנים רבים בתהליך. משך הזמן להכנת הארגון למבדק יכול להמשך בין מספר חודשים עד חודשים רבים- מעל שנה, בתלות בנקודת הפתיחה בארגון.
-
כיצד ניתן לקבל עזרה מקצועית בתהליך הסמכת הארגון?לקבלת ייעוץ ועזרה ממומחי אבטחת האיכות ואבטחת המידע שלנו ניתן לפנות אלינו – מעוף איכות, שיפור, ייעול בע"מ.
אבטח את עתיד הארגון שלך
השאר פרטיך כאן