Cybersecurity Maturity Model Certification CMMC Nedir?

ABD Savunma Bakanlığı (DoD) tarafından 2019 yılının son çeyreğinde taslak haline getirilen ve bu taslak içerisinde CMMC seviyelerini ve ilgili NIST kontrollerine yer verdiği yeni bir Siber Güvenlik Olgunluk modelini başlattı.

Kısaca “CMMC”, uzun haliyle “Cybersecurity Maturity Model Certification”, Türkçe karşılığı olarak “Siber Güvenlik  Olgunluk Modeli Sertifikasyonu” olarak adlandırabiliriz.

Zaten NIST varken nereden çıktı bu CMMC?

2015 yılında DoD DFARS olarak bilinen DFARS (Defense Acquisition Federal Regulation Supplement) ek’ini yayınladı. Bununla birlikte yüklenicilerin (contractor) NIST SP 800-171 siber güvenlik çerçevesiyle uyumluluğu sağlamasını zorunlu hale getirdi. O günden bu yana yurt dışı ve yurt içinde birçok firma NIST SP 800-171 uyumu içerisinde çalışmayı sürdürmek adına gerek içerideki gerekse dışarıdan aldığı hizmetlerle bu uyumu sağlamaya özen gösterdi.

DoD her ne kadar NIST süreçlerine uyumu yapmış olduğu ihalelerde rekabet avantajı haline getirerek NIST ve güvenlik bilincinin benimsenmesini hedeflese de yaşanan veri sızıntıları ve bu sızıntıların sonrasında NIST uyumluluğunu beyan eden yüklenicilerin aslında NIST süreçlerinin çok gerisinde kaldığını görmüş oldu.

CMMC’nin çözüm getirmek istediği temel nokta aslında tam olarak burada ortaya çıkıyor. Ben ilgili sevideki tüm standartları yerine getirdim sözünüz arkasında artık bir denetleme mekanizması kurulmuş olacak. Bu denetleme sayesinde yüklenicilerin siber güvenlik olgunluk seviyeleri denetçiler tarafından ölçülebilir duruma gelecektir. NIST 800-171 süreçlerini firmasında gerçekten uygulayan firmalar CMMC sertifikasyon hazırlıklarına bir adım önde başlamış olacaktır.

DoD tedarik zincirinde,  350.000’den fazla satıcı olduğunu düşünürsek denetlenmeyen bir siber güvenlik modelinin büyük zafiyetleri bünyesinde barındırması kaçınılmaz bir hal alıyor.

Haber

Hizmetin kullanılabilirliği, Savunma Bakanlığı için kritik bir faktördür. Çalıştığınız firma bir fidye yazılımı saldırısına maruz kalıyorsa, sözleşmenin ihtiyaçlarını karşılayamayabilir veya projeyi gerçekleştirmek için gereken parçaları veya hizmetleri sağlayamayabilirsiniz.

Tedarik zincirinin güvenliğini sağlamak yalnızca CUI’yi (Controlled Unclassified Information) korumakla ilgili değildir. Bunun sağlanmasıyla tedarik zincirinin faaliyete devam edebilmesi ve kendisini güvence altına alması gerekmektedir.

ISO27001 ve NIST süreçleri içerisinde yapmış olduğum çalışmalardan yola çıkarak CMMC’nin ülkemizde de örnek alınması gereken iyi bir Siber Güvenlik Uyum Süreci olduğunu kanaatindeyim.

CMMC kimler için gerekli? 

DoD yüklenicileri, ana veya alt yüklenici olarak CMMC olgunluk süreçleri konusunda gerek duyulan ilgili seviyede sertifikasyona tabi olmak zorundadır.

DoD kısaca ilgili yüklenicinin CUI (Controlled Unclassified Information) veya  FCI (Federal Contract Information ) sahip olması durumunda CMMC Sertifikasına sahip olunması gerektiğini belirtmiş.

Bir kuruluş, teklif taleplerinin (RFP) Savunma Bakanlığı tarafından dikkate alınabilmesi için gerekli düzeyde sertifikaya sahip olmalıdır.

CMMC Sertifikasyon Süreçleri

CMMC, yüklenicilerin bilgi sistemleri üzerindeki hassas devlet bilgilerini korumak için şirketin siber güvenlik altyapısının olgunluğunu ve güvenilirliğini yansıtan beş sertifika düzeyinden oluşur.
              
Bu beş seviye kademelidir ve birbirlerinin teknik gereksinimlerini temel alır.
              
Her seviyede, belirli siber güvenlik süreçlerini uygulamak için alt seviye gereksinimlere uyumu ve ek süreçlerin uygulanmasını gerektirir. Yani her üst standart için bir alt seviyedeki süreç ve uygulamalar sürdürülmeye devam eder.

Aşağıda, her seviyenin ilgili süreçlerine ve uygulamalarına ait genel bir şema bulunmaktadır.

CMMC Olgunluk Seviyeleri
CMMC Seviye Ölçüm Kontrolleri

CMMC Seviye 1: 17 Kontrol Maddesi

CMMC Seviye 2: 72 Kontrol Maddesi (Seviye 1 kontrollerini içerir.)

CMMC Seviye 3: 130 Kontrol (Seviye 2 kontrollerini içerir.)

CMMC Seviye 4: 156 Kontrol (Seviye 3 kontrollerini içerir.)

CMMC Seviye 5: 171 Kontrol (Seviye 4 kontrollerini içerir.)

Seviye 1: Temel Siber Hijyen

Birinci seviye, kuruluşların “temel siber hijyen” uygulamalarını hayata geçirmesidir. Toplam 17 adet uygulama mevcuttur. Genel olarak Federal Contract Information (FCI) bilgilerinin korunduğu sevidir.
              
Örnek vermek gerekirse;

Aslına bakılırsa NIST 800-171 farkındalığı olan ve BT sistemlerini bu farkındalık çerçevesinde yapılandıran bir yüklenici CMMC Seviye 1 düzeyindedir diyebiliriz.

Seviye 2: Orta Düzey Siber Hijyen

Seviye 2’de CMMC gereksinimlerinin başladığı seviyedir. Bu seviye, CUI (Controlled Unclassified Information) adı verilen yeni bir veri türü sunar.

NIST 800-171 R2 güvenlik gereksinimlerine dayalıdır ve içeriğindeki maddeler CMMC Seviye 2 içerisinde yer alan birçok maddeyle örtüşmektedir.

Bu seviyede 72 uygulama maddesi yer almaktadır. Bu maddelerden 17 tanesi Seviye 1’den gelmektedir. NIST-800-171’e ilave olarak 7 adet ek uygulama maddesi eklenmiştir.

Bazı örnek başlıkları aşağıda paylaşıyorum.

CMM Seviye 2 içerisindeki maddeler Seviye 3 için iyi bir temel oluşturmaktadır. Siber güvenlik olgunlaşma ve kurumsallaşma süreçlerinde özenle üstünde durulması gerektiği belirtilmiştir.

Seviye 3: İyi Siber Hijyen

CMMC’nin 3. seviyesi, Seviye 2’nin gereksinimlerini daha ileri götürür ve NIST 800-171 r2 standartlarının bir koluna dayanır.

CMMC Seviye 1 ve 2 kontrollerini kapsayan CMMC Seviye 3’ü oluşturan 130 kontrol vardır. CMMC Seviye 3, 110 NIST 800-171 standartında yer alan kontrollerin tamamını kapsayacak ve ilave olarak ek 20 kontrol eklenecektir.

NIST 800-171 standardında olmayan ek 20 kontrol aşağıda yer almaktadır. Genel olarak log yönetimi, yedekleme yöntemi ve yedeklerin güvenilirliği, risk azaltma, spam koruma sistemleri, kök neden analiz gibi birçok güzel konu eklenmiştir.

Seviye 4: Proaktif

CMMC’nin 4. seviyesi, yüklenicilerin tehditleri ölçme, tespit etme ve ortadan kaldırması konusunda sürekli olarak hazır olma gerekliliğini ortaya koymaktadır. Bu seviyede süreçleri, maruz kaldığınız tehditlerle ilgili geçmiş verilere ve kuruluşunuzun bunlara nasıl yanıt verdiğine bakmamızı ister.         

CMMC yönergelerini okurken, dördüncü seviyenin CUI ile çalışan ana yükleniciler için minimum seviye olması amaçlandığı görülmektedir.

Ayrıca, dördüncü seviyenin, kuruluşların devlet destekli bilgisayar korsanları tarafından sunulan tehditlerle başa çıkmalarına izin vermek için tasarlandığı gözden kaçmamaktadır. Bu seviyede, kuruluşların, APT gruplarının değişen taktiklerine, süreçlerine ve yeteneklerine yanıt verebilmesini hedeflemiştir.

CMMC Seviye 4 için 156 kontrol vardır.

Seviye 5: İleri / Aşamalı

CMMC Seviye 5, CMMC’nin son seviyesidir ve siber güvenlikte İleri ve son teknoloji olan kuruluşları tanımlar.

CMMC, 5. seviyeye ulaşmak için yerine konması gereken, dördüncü seviye üzerinde 30 ekstra güvenlik kontrolü blunmaktadır. Bunlar, büyük ölçüde kuruluşların, ekstra teknik gereksinimler yerine denetim ve yönetim süreçleri aracılığıyla değişen tehdit ortamlarına yanıt verme becerisiyle ilgilidir.

Genellikle Uzay alanında hizmet verecek olan yüklenicilere hitap edeceği öngörülmektedir.

Bu yazı dizisinde sizlere elimden geldiğince CMMC modelini ve sertifika süreçlerini anlatmaya çalıştım. Aşağıda sizlerle CMMC zaman çizelgesini paylaşıyorum.

CMMC Zaman Çizelgesi

Kaynak : https://www.acq.osd.mil/cmmc

https://www.cmmcab.org/cmmc-standard

Exit mobile version