top of page

תקן CMMC

שירותי ייעוץ מתקדמים לספקי משרד ההגנה האמריקאי

מהו CMMC ?

Cybersecurity Maturity Model Certification (או בקיצור: CMMC) היא הסמכה לאבטחת סייבר הנדרשת עבור כל ארגון המתכוון לעבוד עם משרד ההגנה האמריקאי (Department of Defense – DoD), או כקבלן משנה של ארגון העובד עבור משרד ההגנה האמריקאי בשנים הקרובות. 

CMMC בגרסתו החדשה (ver 2) מורכב מ-3 רמות שונות של הסמכה, כל אחת מהן מותאמת לרמה שונה של אבטחת מידע הנדרשת בארגון.

רמת ההסמכה הנדרשת מכל ארגון תלויה בסוג וסיווג המידע שאליו הוא נחשף במהלך עבודתו מול משרד ההגנה, ומוגדרת במכרזים שמופצים לציבור. שימו לב כי הגדרות CMMC הן דינאמיות, וצפויות להתעדכן יחד עם התעשייה ולכן הסמכת CMMC תקפה ל-3 שנים ולאחריה יש צורך בחידוש. יש לדעת בנוסף כי כל רמת הסמכה "מכילה" את אלו הבאים מתחתיה, כלומר הסמכה לרמה 2 מכילה בתוכה את הדרישות של רמה 1, וכו'.  

 
 
 

איך עובד התהליך?

Level 2 or 3

הכנת הארגון

נדרשות אחת ל-3 שנים עבור הערכה באמצעות מבדק חיצוני מגוף רשמי להסמכה מטעם ה-DoD הנקרא בשם  Certified 3rd Party Assessment Organization (C3PAO).

אנו נלווה את ההיערכות למבדק, המבדק עצמו ומענה לפערים במידה ויימצאו.

 

אנחנו מגיעים לארגון שלכם ומבצעים זיהוי פערים אל מול הגנות הסייבר הקיימות, מבצעים ניתוח הפערים ויוצרים תוכנית להשלמתם (בהתאם לרמת ההסמכה הנדרשת מהארגון).

ליווי מוסמך

WhatsApp Image 2024-01-21 at 21.13_edite

התהליך מתבצע בהובלת Certified Registered Practitioner (RP) שהינו מטמיע מוסמך מטעם גוף ההסמכה CMMC-AB המלווה את הארגון בתהליך ההסמכה.

אנו הראשונים בארץ לקבל את ההכרה מטעם הארגון.

 

מאמרים

  • כיצד תשפיע הדרישה להסמכת CMMC על ההתקשרויות העסקיות הקיימות שלי עם ה-DoD?
    בכוונת ה-DoD לדרוש הסמכת CMMC מכלל שרשרת האספקה של הספקים ונותני השירות שלו, הן במכרזים עתידיים הכוללים גישה למידע CUI או FCI, והן כתוספת לחוזים קיימים. לכן גם ארגון שעובד מול DoD בהווה יצטרך להציג הסמכה גם אם אין בכוונתו לגשת למכרזים עתידיים לאחר 2025, וכן כל שרשרת האספקה שלו.
  • האם הארגון שלי יכול לקבל הסמכת CMMC בכוחות עצמו?
    אמנם ניתן להתכונן להסמכת CMMC באופן פנימי, אך התהליך עשוי להיות מורכב, יקר, ולהימשך זמן רב, בעיקר אם הארגון אינו מעסיק מומחי אבטחת מידע וגם אבטחת איכות. יועץ חיצוני עם מומחיות ב-CMMC יכול לעזור לייעל את התהליך, להבטיח שכל הדרישות מתקיימות ביעילות, ולהגדיל את הסבירות לעבור את ביקורת ההסמכה בניסיון הראשון ובכך לחסוך זמן רב וכסף.
  • מה ההבדל בין NIST SP 800-171 ל-CMMC?
    ה-NIST SP 800-171 הוא קובץ הנחיות המיועד לגופים לא פדרליים החשופים ל-CUI. CMMC מתבסס על קווים מנחים אלו, אך מרחיב אותם ע"י הוספת פרקטיקות ותהליכים נוספים וכן בחלוקה ל-5 רמות ההסמכה. בניגוד ל-NIST, המבוסס על הערכה עצמית, CMMC דורש הסמכה על ידי צד שלילי (C3PAO).
  • מה קורה במידה ונכשלנו במבדק CMMC?
    ארגון שנכשל במבדקCMMC יקבל מה-C3PAOרשימה של ליקויים שיש לטפל בהם. יהיה עליו ליישם פעולות מתקנות עבור תחומים אלה ולאחר מכן לעבור הערכה מחדש. שימו לב שתיתכן תקופת המתנה לפני שניתן יהיה לבצע הערכה מחדש. מסיבות אלו מומלץ לשקול ליווי של בעל מקצוע בתהליך ההסמכה.
  • האם יהיו יוצאי דופן שיהיו פטורים מהסמכת CMMC?
    נכון לעכשיו אין יוצאי דופן. כל קבלן וקבלן משנה שעובדים כחלק משרשרת האספקה של DoDונחשפים ל-FCI או ל-CUIיחויבו להציג הסמכת CMMC ללא קשר לגודלם ולתעשייה בה הם פועלים, למרות שתיתכן שונות ברמת ההסמכה הנדרשת. זה כולל גם שירותים הניתנים בענן.
  • האם דרישות CMMC ישתנו לאורך הזמן? וכיצד הארגון שלי יכול להיערך לכך?
    כן. ככל שהאיומים וטכנולוגיות אבטחת המידע ילכו ויתפתחו, כך גם התייחסות המודל אליהם צפויה להתעדכן בהתאם ע"י גוף ההסמכה הרשמי הנקרא CMMC Accreditation Body או AB.יועץ מקצועי שילווה את הארגון בתהליך ההסמכה יכול לסייע גם בבניית תוכנית לשמירת הארגון מעודכן.
  • האם גם ארגונים שאינם חלק משרשרת האספקה של משרד ההגנה האמריקאי יכולים לקבל הסמכה למודל CMMC?
    כן. אמנם אין בכך חובה, אך הסמכת CMMC מהווה איתות לשוק על מקצועיות הארגון והרצינות בה הוא תופס את אבטחת המידע שאליו הוא חשוף.
  • כמה צפויה לעלות הסמכת CMMC?
    העלויות משתנות בהתאם למספר גורמים ביניהם רמת ההסמכה המבוקשת, גודל ומורכבות הארגון ורשתות המידע שלו, וכמות הפערים הקיימים במערכת אבטחת המידע. בנוסף, ישנן העלויות עבור הערכת צד שלישי בפועל. בהערכה גסה: הסמכהלרמה 1 צפויה לעלות בין מאות לאלפי דולרים, הסמכה לרמה 2 עשויה להגיע לאלפי עד עשרות אלפי דולרים בודדים, והסמכה לרמה 3 ומעלה עלולה אף להגיע למאות אלפי דולרים.להתייעצות ראשונית ניתן להשאיר פרטים בטופס שבהמשך העמוד, או ליצור איתנו קשר ישירות.
  • כמה זמן צפוי להימשך תהליך ההסמכה?
    גם כאן– קשה לקבוע שכן ישנם משתנים רבים בתהליך. משך הזמן להכנת הארגון למבדק יכול להמשך בין שבועות בודדים למספר חודשים.
  • כיצד ניתן לקבל עזרה מקצועית בתהליך הסמכת הארגון?
    לקבלת ייעוץ ועזרה ממומחי אבטחת האיכות ואבטחת המידע שלנו ניתן לפנות אלינו – מעוף איכות, שיפור, ייעול בע"מ.

אבטח את עתיד הארגון שלך

מוכן לצאת למסע שלך להסמכת CMMC ואבטחת סייבר משופרת? השאר פרטיך כאן

תודה

bottom of page