美国国防部首席安全官凯蒂·阿灵顿(Katie Arrington)表示,从12月1日开始,网络安全不再是可选的。凯蒂·阿灵顿声称:“这是国防部新的一天的开始,正如我们多年来一直在说的那样,网络安全是并购的基础,我们正在把钱放在我们的口中。我们是认真的。” 2020年11月12日下午5:19
CISO的Katie Arrington谈到了即将实施的网络安全成熟度模型认证。
随着新的网络安全成熟度模型认证所授予的前15个合同的截止日期临近,五角大楼明确表示,这仅仅是开始,他说可能需要认证至少1500个承包商和分包商。
“这是信任,但要验证。这是美国国防部新的一天的开始,正如我们多年来一直在说的那样,网络安全是采购的基础,我们将金钱放在我们的手中。我们是认真的。”美国国防部负责采购和维持的副部长兼首席安全官(CISO)凯蒂·阿灵顿(Katie Arrington)说。该规则于12月1日对新工作合同生效。针对美国安全薄弱的对手可以攻击商业和军事网络,以窃取秘密。“我们之所以这样做,是因为它对我们的商业,国家安全至关重要。”
阿灵顿说,她和她的团队将继续前进:“ CMMC将继续。我们没有停止。我们没有松懈,我们正在短短几天内迅速滚动,直到临时规则生效。”
她的话是INSA组织的活动的一部分。即将到来的是即将实施的强制网络安全的新合同规则,旨在确保整个员工队伍的能力基准和遵守NIST和DoD标准。
“一旦临时规则最终生效,我们就准备发布2021年启动的试点项目的名称,这是15份合同。”阿灵顿说。前15个合同将开始向承包商提供新的可验证的网络安全服务。预计总共有至少1500个承包商和分包商在这些第一个项目上工作,并且每个工作都需要获得认证才能进行。
这些合同将散布在各个服务部门,以及诸如Transcom和Cyber Command之类的司令部,以及诸如导弹防御局之类的所谓“第四产业”的一部分。合同的大小和复杂程度不一;认证将在2021财年进行。
根据先前的建议,只要一家公司声称自己正在努力遵守其余的NIST标准,就足以满足其中的110条。这意味着公司无需证明合规性就可以竞争合同。
“ CMMC将是一个通过/不通过的决定。经过审核后,您是否处于1级,”阿灵顿说。目标是使所有实际上符合其声称提供的安全性的公司平等选择来源。这样,五角大楼可以自动将安全性定价为合同价格,因为考虑到不再兼容的更便宜的选择将不再可行。
对于规定了高标准素数合规性的合同,CMMC规则意味着合同将概述分包商是否需要达到相同的合规性水平,或者是否可以委托他们以较低的合规性水平,因为他们将不会处理敏感信息。
建立在验证基础上的网络安全机制意味着五角大楼最终可以停止与可修复补丁的公司在多年后仍未修复漏洞的合同。自愿遵守这些弱点,这些简单的错误威胁着整个供应链。
人们没有更改密码,没有实现两个因素,没有适当地标记文档。不这样做会给我们的供应链造成伤害。” 任何继续以这种方式行事的公司将来都不太可能获得五角大楼合同。
