在上一篇博文中,我们讨论了保护航空航天和国防供应链的重要性。对于与这些行业合作的公司来说,制定强有力的网络安全法规和协议,以确保任何敏感信息都得到适当处理,这也至关重要。
网络安全法规
另一个越来越重要DFAR规定封面年代网络安全和敏感信息的处理,即DFAR252.204-7012.本规定旨在维护受保护的国防信息并确保报告网络发病率。美国国防部2016年修订DFARS提供保障当居住在或通过承包商的内部信息系统或网络。另外还有国防部承包商s是有义务通过 DFARS 70系列 确保所有分包商满足网络安全要求的法规。这意味着必须分包商必须符合NIST SP 800-171和新兴网络安全成熟度模型认证法规(CMMC)在《行动计划》上取得足够进展和里程碑(POA&MS),并拥有他们的目前的评估结果公布在政府's 供应商绩效风险体系 (spr)。
T他推出了网络安全成熟度模型认证指令2020年由于日益增长的需求来提升在供应链内保护控制的未分类信息(CUI)。的 CMMC程序包含五个成熟度级别:
CMMC一级
- 满足保护联邦合同信息(FCI)的基本要求:
- 最新的杀毒软件应用
- 强密码
- 未经授权第三者保护年代
- FCI不打算公开发布。
- 加强网络安全防御所需的最小努力。
CMMC级别2
- 引入控制的未分类信息(CUI)。
- 标准的网络安全实践、政策和战略计划。
- NIST SP 800-171中规定的安全要求的主要子集。
- 55个新实践总共72个练习。
CMMC三级
- 良好的网络卫生和必要的控制以保护CUI。
- 根据其网络安全政策持续审查所有活动。
- NIST SP 800-171中指定的所有要求和其他类似标准。
- 130个需要的安全控制,分为17个领域。
CMMC 4级和5级
- 解决高级持久威胁(APTS)使用的更改策略,技术和程序。
- 主动的网络安全计划和标准化流程,以实现整个组织的一致性。
- 171个安全控制,分成17个域。
国防部开发了CMMC框架来评估和改善网络安全态势在所有层中供应链。根据一个特定业务他们在链条中的立场是决定了which CMMC级别为适合他们。
来确保最终产品符合要求政府法规和客户要求,这些和其他必须严格遵守标准整个供应链和在整个生产过程中年代.如上所示这范围从原材料到供应商选择和监控。年代tringent控制,最新的文档,和高效的监督是确保遵从的关键。没有ad对此标准法规关键数据可能被误解或更糟糕;是泄漏艾德向未经授权的人员或国家。
与所有认证和合规一样,这是有成本的遵守网络安全成熟度模型认证.对于中小企业,所有权的总成本为CMMC包括:
- 项目开发与管理
- 技术与工程实施
- 审计和认证
各级的成本和它们每年都会发生的事件为中小企业如下表所示:
**评估费用由承包商支持进行预评估准备,实际评估和任何评估后工作。这些成本还包括估计进行CMMC评估的潜在C3PAO成本,该估计包括支持预评估预评估准备,实际评估和评估后工作的劳动力,以及旅行费用。*国防联邦收购监管补编:评估承包商的网络安全要求(DFARS案件2019-D041)
表的Ignyte保证平台
随着强大的供应链和网络安全规定,对于航空航天和国防工业而言,对于纳迪普认可,这也是至关重要的。我们的下一个博客将涵盖它符合Nadcap的意味着什么,以及与这些行业一起使用的公司的NADCAP涵盖。
本博客摘自我们的白皮书《航空航天和国防认证与法规的关键本质》。点击在这里下载免费白皮书!
点击下面浏览更多的航空航天和国防内容。