SecHard
5.3. CMMC Compliance
- seda peker
- Abdullah Can Çakar
Cybersecurity Maturity Model Certification'ın kısaltmasıdır. CMMC, ABD Savunma Bakanlığı (DoD) tarafından geliştirilmiş ve DoD'nin hassas bilgilerini işleyen yüklenicilerden beklenen siber güvenlik olgunluk düzeylerini tanımlayan bir çerçevedir.
CMMC Compliance'ın amacı, DoD'nin hassas bilgilerini koruyarak, ABD'nin ulusal güvenliğini güçlendirmektir. Bu amaçla, CMMC, yüklenicilerin siber güvenlik risklerini azaltmak için almaları gereken temel güvenlik kontrollerini tanımlamaktadır.
CMMC Compliance, DoD tarafından çıkarılmıştır. CMMC, 2017 yılında yayınlanmıştır ve 2025 yılında zorunlu hale gelecektir.
CMMC Compliance, DoD ile iş yapan yükleniciler için zorunludur. Bu yükleniciler, CMMC'nin belirli bir düzeyine ulaşmak için gerekli kontrolleri uygulamak ve bu kontrollerin etkinliğini kanıtlamak zorundadır.
CMMC Compliance'ın sağladığı faydalar şunlardır:
· DoD'nin hassas bilgilerini korur.
· Yüklenicilerin siber güvenlik risklerini azaltır.
· Yüklenicilerin uyumluluk yükümlülüklerini yerine getirmesine yardımcı olur.
· Yüklenicilerin itibarını güçlendirir.
CMMC Compliance'a uyum sağlamak için, yüklenicilerin CMMC'nin ilgili düzeyine ait kontrol listesini inceleyerek, kuruluşları için önemli olan kontrolleri belirlemeleri gerekmektedir. Belirledikleri kontroller için eylem planları geliştirmeleri ve bu kontrolleri uygulayarak etkinliğini değerlendirmeleri gerekmektedir.
CMMC Compliance, DoD ile iş yapan yükleniciler için önemli bir sorumluluktur. CMMC'ye uyum sağlamak, yüklenicilerin DoD'nin hassas bilgilerini korumalarına ve siber güvenlik risklerini azaltmalarına yardımcı olacaktır.
CMMC Compliance'ın beş seviyesi vardır:
· Level 1: Temel
· Level 2: Orta
· Level 3: Gelişmiş
· Level 4: Yetkin
· Level 5: Lider
Her seviye, yüklenicilerin karşılaması gereken daha fazla güvenlik kontrolünü tanımlamaktadır.
Madde | Sechard Tarafından Uygulanabilirlik |
|---|---|
3.1.1 - Authorized Access Control | Uygulanabilir |
3.1.2 - Transaction & Function Control | Uygulanabilir |
3.1.3 - Control CUI Flow | Uygulanabilir Değil |
3.1.4 - Separation of Duties | Uygulanabilir |
3.1.5 - Least Privilege | Uygulanabilir |
3.1.6 - Non-Privileged Account Use | Uygulanabilir |
3.1.7 - Privileged Functions | Uygulanabilir |
3.1.8 - Unsuccessful Logon Attempts | Uygulanabilir Değil |
3.1.9 - Privacy & Security Notices | Uygulanabilir Değil |
3.1.10 - Session Lock | Uygulanabilir Değil |
3.1.11 - Session Termination | Uygulanabilir Değil |
3.1.12 - Control Remote Access | Uygulanabilir |
3.1.13 - Remote Access Confidentiality | Uygulanabilir |
3.1.14 - Remote Access Routing | Uygulanabilir |
3.1.15 - Privileged Remote Access | Uygulanabilir |
3.1.16 - Wireless Access Authorization | Uygulanabilir Değil |
3.1.17 - Wireless Access Protection | Uygulanabilir Değil |
3.1.18 - Mobile Device Connection | Uygulanabilir Değil |
3.1.19 - Encrypt CUI on Mobile | Uygulanabilir Değil |
3.1.20 - External Connections | Uygulanabilir Değil |
3.1.21 - Portable Storage Use | Uygulanabilir Değil |
3.1.22 - Control Public Information | Uygulanabilir Değil |
3.3.1 - System Auditing | Uygulanabilir |
3.3.2 - User Accountability | Uygulanabilir Değil |
3.3.3 - Event Review | Uygulanabilir Değil |
3.3.4 - Audit Failure Alerting | Uygulanabilir |
3.3.5 - Audit Correlation | Uygulanabilir |
3.3.6 - Reduction & Reporting | Uygulanabilir |
3.3.7 - Authoritative Time Source | Uygulanabilir Değil |
3.3.8 - Audit Protection | Uygulanabilir |
3.3.9 - Audit Management | Uygulanabilir |
3.2.1 - Role-Based Risk Awareness | Uygulanabilir Değil |
3.2.2 - Role-Based Training | Uygulanabilir Değil |
3.2.3 - Insider Threat Awareness | Uygulanabilir Değil |
3.4.1 - System Baselining | Uygulanabilir |
3.4.2 - Security Configuration Enforcement | Uygulanabilir |
3.4.3 - System Change Management | Uygulanabilir Değil |
3.4.4 - Security Impact Analysis | Uygulanabilir |
3.4.5 - Access Restrictions for Change | Uygulanabilir |
3.4.6 - Least Functionality | Uygulanabilir |
3.4.7 - Nonessential Functionality | Uygulanabilir |
3.4.8 - Application Execution Policy | Uygulanabilir Değil |
3.4.9 - User-Installed Software | Uygulanabilir |
3.5.1 - Identification | Uygulanabilir Değil |
3.5.2 - Authentication | Uygulanabilir Değil |
3.5.3 - Multifactor Authentication | Uygulanabilir Değil |
3.5.4 - Replay-Resistant Authentication | Uygulanabilir Değil |
3.5.5 - Identifier Reuse | Uygulanabilir Değil |
3.5.6 - Identifier Handling | Uygulanabilir Değil |
3.5.7 - Password Complexity | Uygulanabilir |
3.5.8 - Password Reuse | Uygulanabilir |
3.5.9 - Temporary Passwords | Uygulanabilir |
3.5.10 - Cryptographically-Protected Passwords | Uygulanabilir |
3.5.11 - Obscure Feedback | Uygulanabilir Değil |
3.6.1 - Incident Handling | Uygulanabilir Değil |
3.6.2 - Incident Reporting | Uygulanabilir Değil |
3.6.3 - Incident Response Testing | Uygulanabilir Değil |
3.7.1 - Perform Maintenance | Uygulanabilir Değil |
3.7.2 - System Maintenance Control | Uygulanabilir Değil |
3.7.3 - Equipment Sanitization | Uygulanabilir Değil |
3.7.4 - Media Inspection | Uygulanabilir Değil |
3.7.5 - Nonlocal Maintenance | Uygulanabilir Değil |
3.7.6 - Maintenance Personnel | Uygulanabilir Değil |
3.8.1 - Media Protection | Uygulanabilir Değil |
3.8.2 - Media Access | Uygulanabilir |
3.8.3 - Media Disposal | Uygulanabilir Değil |
3.8.4 - Media Markings | Uygulanabilir Değil |
3.8.5 - Media Accountability | Uygulanabilir Değil |
3.8.6 - Portable Storage Encryption | Uygulanabilir Değil |
3.8.7 - Removable Media | Uygulanabilir Değil |
3.8.8 - Shared Media | Uygulanabilir Değil |
3.8.9 - Protect Backups | Uygulanabilir |
3.9.1 - Screen Individuals | Uygulanabilir Değil |
3.9.2 - Personnel Actions | Uygulanabilir Değil |
3.10.1 - Limit Physical Access | Uygulanabilir Değil |
3.10.2 - Monitor Facility | Uygulanabilir Değil |
3.10.3 - Escort Visitors | Uygulanabilir Değil |
3.10.4 - Physical Access Logs | Uygulanabilir Değil |
3.10.5 - Manage Physical Access | Uygulanabilir Değil |
3.10.6 - Alternative Work Sites | Uygulanabilir |
3.11.1 - Risk Assessments | Uygulanabilir |
3.11.2 - Vulnerability Scan | Uygulanabilir |
3.11.3 - Vulnerability Remediation | Uygulanabilir |
3.12.1 - Security Control Assessment | Uygulanabilir |
3.12.2 - Plan of Action | Uygulanabilir |
3.12.3 - Security Control Monitoring | Uygulanabilir |
3.12.4 - System Security Plan | Uygulanabilir Değil |
3.13.1 - Boundary Protection | Uygulanabilir Değil |
3.13.2 - Security Engineering | Uygulanabilir Değil |
3.13.3 - Role Separation | Uygulanabilir |
3.13.4 - Shared Resource Control | Uygulanabilir |
3.13.5 - Public-Access System Separation | Uygulanabilir Değil |
3.13.6 - Network Communication by Exception | Uygulanabilir Değil |
3.13.7 - Split Tunneling | Uygulanabilir Değil |
3.13.8 - Data in Transit | Uygulanabilir Değil |
3.13.9 - Connections Termination | Uygulanabilir Değil |
3.13.10 - Key Management | Uygulanabilir |
3.13.11 - CUI Encryption | Uygulanabilir Değil |
3.13.12 - Collaborative Device Control | Uygulanabilir |
3.13.13 - Mobile Code | Uygulanabilir Değil |
3.13.14 - Voice over Internet Protocol | Uygulanabilir Değil |
3.13.15 - Communications Authenticity | Uygulanabilir Değil |
3.13.16 - Data at Rest | Uygulanabilir Değil |
3.14.1 - Flaw Remediation | Uygulanabilir Değil |
3.14.2 - Malicious Code Protection | Uygulanabilir Değil |
3.14.3 - Security Alerts & Advisories | Uygulanabilir Değil |
3.14.4 - Update Malicious Code Protection | Uygulanabilir Değil |
3.14.5 - System & File Scanning | Uygulanabilir Değil |
3.14.6 - Monitor Communications for Attacks | Uygulanabilir Değil |
3.14.7 - Identify Unauthorized Use | Uygulanabilir |
SecHard