in

방위사업청으로부터 사이버보안 인증을 요구하는 DoD

미 국방부는 2026년까지 방위사업자가 정부 인수 프로그램의 제안 요청에 응할 경우 기본적인 수준의 사이버 보안 기준을 충족해야 할 것이라고 발표했다.

사이버보안 성숙도 모델 인증(CMMC) 프레임워크 버전 1.0은 1월 31일 공개되었으며 “향후 DoD 인수를 위한 통일된 사이버보안 표준”이다.”

DoD의 엘렌 M. Lord 획득 및 지속가능성 국방부 차관은 일부 계약자의 사이버 요구사항이 올해 말에 나타나고 2026년까지 모든 새로운 DoD 계약은 새로운 CMMC 요구사항과 함께 제공될 것이라고 말했다.

DoD는 CMMC의 도입으로 방위산업기지(DIB) 하청업체의 사이버보안 대비태세를 높여 공급망 미분류 정보인 연방계약정보(FRI)와 통제불분류정보(CUI)의 보호를 강화하고자 한다.

CMMC는 DoD에 사이버 보안 관행과 프로세스에 중점을 둔 5단계의 인증을 사용하여 대형 및 소규모 방산업체의 사이버 준비 상태를 보다 쉽게 인증할 수 있도록 설계된 간단한 메커니즘을 제공한다.

CMMC 레벨 1 요건을 충족하면 DIB 계약자가 DoD CUI를 보호할 수 있는 레벨 2인 FCI를 보호할 자격이 있는지 검증할 수 있으며 레벨 4와 5는 APT(Advanced Persistent Threats)의 위험을 줄일 수 있음을 보여준다.

“레벨 1에서는 간단한 것이 ‘당신 회사에는 바이러스 백신 소프트웨어가 있는가? 바이러스 백신 소프트웨어를 업데이트하십니까? 암호를 업데이트하시겠습니까?” 케이티 애링턴 인수를 위한 도드의 정보보안 책임자가 말했다.

“CMMC 레벨 1은 우리가 매일 해야 할 기본적인 사이버 위생 기술이다. 그들은 당신 자신, 당신의 회사 그리고 당신 자신의 정보를 보호하기 위해 그곳에 있다.”​

방위사업청은 CMMC “제3자 평가 기관”이나 C3PAO가 모든 것이 갖춰지면 해당 부서에 의해 이러한 평가를 실시하도록 지정되기 때문에 국방부에 의해서만 CMMC 인증을 받지 않게 된다.

McAfee와 전략국제문제연구소(Center for Strategic and Internationalio)의 연구에 따르면 매년 6,000억달러가 사이버 도둑에게 전 세계 총생산의 1%에 해당하는 금액으로 미국 정부와 방위산업의 국가안보를 위협하고 있다.날 연구

“지도자들은 오늘날의 강력한 경쟁 환경에서 정보와 기술이 둘 다 핵심 주춧돌이 된다는 것을 알고 있습니다,”라고 로드는 덧붙였다. “하위 공급자를 공격하는 것은 프라임[공급자]보다 훨씬 더 매력적이다.”

“우리는 우리의 산업 파트너들이 이 일을 맡을 준비가 되어 있는지 확인해야 하며, 우리의 제3자 감사관은 그들이 우리가 국방과 우리의 산업 기반을 확보하기 위해 필요한 관행을 이행하고 있는지 확인할 것이다.”라고 Arrington은 말했다.

도메인, 기능성 및 레벨에 의해 조직된 모든 실천요강이 표 형식으로 된 CMMC 모델은 여기에서 성숙도 수준 프로세스 및 프로세스 및 실행 설명과 함께 사용할 수 있다.

Written by adminmhe

Leave a Reply

Your email address will not be published. Required fields are marked *

두 가지 매우 실제적인 IT 보안 위협

CISO의 역할 변화