ABD Savunma Bakanlığı (DoD) tarafından 2019 yılının son çeyreğinde taslak haline getirilen ve bu taslak içerisinde CMMC seviyelerini ve ilgili NIST kontrollerine yer verdiği yeni bir Siber Güvenlik Olgunluk modelini başlattı.
Kısaca “CMMC”, uzun haliyle “Cybersecurity Maturity Model Certification”, Türkçe karşılığı olarak “Siber Güvenlik Olgunluk Modeli Sertifikasyonu” olarak adlandırabiliriz.
Zaten NIST varken nereden çıktı bu CMMC?
2015 yılında DoD DFARS olarak bilinen DFARS (Defense Acquisition Federal Regulation Supplement) ek’ini yayınladı. Bununla birlikte yüklenicilerin (contractor) NIST SP 800-171 siber güvenlik çerçevesiyle uyumluluğu sağlamasını zorunlu hale getirdi. O günden bu yana yurt dışı ve yurt içinde birçok firma NIST SP 800-171 uyumu içerisinde çalışmayı sürdürmek adına gerek içerideki gerekse dışarıdan aldığı hizmetlerle bu uyumu sağlamaya özen gösterdi.
DoD her ne kadar NIST süreçlerine uyumu yapmış olduğu ihalelerde rekabet avantajı haline getirerek NIST ve güvenlik bilincinin benimsenmesini hedeflese de yaşanan veri sızıntıları ve bu sızıntıların sonrasında NIST uyumluluğunu beyan eden yüklenicilerin aslında NIST süreçlerinin çok gerisinde kaldığını görmüş oldu.
CMMC’nin çözüm getirmek istediği temel nokta aslında tam olarak burada ortaya çıkıyor. Ben ilgili sevideki tüm standartları yerine getirdim sözünüz arkasında artık bir denetleme mekanizması kurulmuş olacak. Bu denetleme sayesinde yüklenicilerin siber güvenlik olgunluk seviyeleri denetçiler tarafından ölçülebilir duruma gelecektir. NIST 800-171 süreçlerini firmasında gerçekten uygulayan firmalar CMMC sertifikasyon hazırlıklarına bir adım önde başlamış olacaktır.
DoD tedarik zincirinde, 350.000’den fazla satıcı olduğunu düşünürsek denetlenmeyen bir siber güvenlik modelinin büyük zafiyetleri bünyesinde barındırması kaçınılmaz bir hal alıyor.
Hizmetin kullanılabilirliği, Savunma Bakanlığı için kritik bir faktördür. Çalıştığınız firma bir fidye yazılımı saldırısına maruz kalıyorsa, sözleşmenin ihtiyaçlarını karşılayamayabilir veya projeyi gerçekleştirmek için gereken parçaları veya hizmetleri sağlayamayabilirsiniz.
Tedarik zincirinin güvenliğini sağlamak yalnızca CUI’yi (Controlled Unclassified Information) korumakla ilgili değildir. Bunun sağlanmasıyla tedarik zincirinin faaliyete devam edebilmesi ve kendisini güvence altına alması gerekmektedir.
ISO27001 ve NIST süreçleri içerisinde yapmış olduğum çalışmalardan yola çıkarak CMMC’nin ülkemizde de örnek alınması gereken iyi bir Siber Güvenlik Uyum Süreci olduğunu kanaatindeyim.
CMMC kimler için gerekli?
DoD yüklenicileri, ana veya alt yüklenici olarak CMMC olgunluk süreçleri konusunda gerek duyulan ilgili seviyede sertifikasyona tabi olmak zorundadır.
DoD kısaca ilgili yüklenicinin CUI (Controlled Unclassified Information) veya FCI (Federal Contract Information ) sahip olması durumunda CMMC Sertifikasına sahip olunması gerektiğini belirtmiş.
Bir kuruluş, teklif taleplerinin (RFP) Savunma Bakanlığı tarafından dikkate alınabilmesi için gerekli düzeyde sertifikaya sahip olmalıdır.
CMMC Sertifikasyon Süreçleri
CMMC, yüklenicilerin bilgi sistemleri üzerindeki hassas devlet bilgilerini korumak için şirketin siber güvenlik altyapısının olgunluğunu ve güvenilirliğini yansıtan beş sertifika düzeyinden oluşur.
Bu beş seviye kademelidir ve birbirlerinin teknik gereksinimlerini temel alır.
Her seviyede, belirli siber güvenlik süreçlerini uygulamak için alt seviye gereksinimlere uyumu ve ek süreçlerin uygulanmasını gerektirir. Yani her üst standart için bir alt seviyedeki süreç ve uygulamalar sürdürülmeye devam eder.
Aşağıda, her seviyenin ilgili süreçlerine ve uygulamalarına ait genel bir şema bulunmaktadır.
CMMC Seviye 1: 17 Kontrol Maddesi
CMMC Seviye 2: 72 Kontrol Maddesi (Seviye 1 kontrollerini içerir.)
CMMC Seviye 3: 130 Kontrol (Seviye 2 kontrollerini içerir.)
CMMC Seviye 4: 156 Kontrol (Seviye 3 kontrollerini içerir.)
CMMC Seviye 5: 171 Kontrol (Seviye 4 kontrollerini içerir.)
Seviye 1: Temel Siber Hijyen
Birinci seviye, kuruluşların “temel siber hijyen” uygulamalarını hayata geçirmesidir. Toplam 17 adet uygulama mevcuttur. Genel olarak Federal Contract Information (FCI) bilgilerinin korunduğu sevidir.
Örnek vermek gerekirse;
- Oturum açma işlemlerinde parola veya diğer doğrulama yöntemlerini kullanmamızı ister.
- Yetkili kullanıcıların ve diğer kullanıcıların erişim yetkilerini gözden geçirin.
- Ağ bağlantınızda ayrıma önem verin.
Aslına bakılırsa NIST 800-171 farkındalığı olan ve BT sistemlerini bu farkındalık çerçevesinde yapılandıran bir yüklenici CMMC Seviye 1 düzeyindedir diyebiliriz.
Seviye 2: Orta Düzey Siber Hijyen
Seviye 2’de CMMC gereksinimlerinin başladığı seviyedir. Bu seviye, CUI (Controlled Unclassified Information) adı verilen yeni bir veri türü sunar.
NIST 800-171 R2 güvenlik gereksinimlerine dayalıdır ve içeriğindeki maddeler CMMC Seviye 2 içerisinde yer alan birçok maddeyle örtüşmektedir.
Bu seviyede 72 uygulama maddesi yer almaktadır. Bu maddelerden 17 tanesi Seviye 1’den gelmektedir. NIST-800-171’e ilave olarak 7 adet ek uygulama maddesi eklenmiştir.
Bazı örnek başlıkları aşağıda paylaşıyorum.
- Erişim Kontrolü: Kimin erişimi var ve erişimi var mı?
- Farkındalık ve Eğitim: Personelinizi CUI konusunda eğittiniz mi?
- Denetim ve Hesap Verebilirlik: CUI’ye kimin eriştiğini biliyor musunuz?
- Olay Yanıtı: Bir veri ihlali olduğunda ne olur?
- Bakım: Süreçler nasıl sürdürülür?
- Ortam Koruması: Yedeklemeler, harici sürücüler ve kullanımdan kaldırılan ekipman nasıl imha edilir?
CMM Seviye 2 içerisindeki maddeler Seviye 3 için iyi bir temel oluşturmaktadır. Siber güvenlik olgunlaşma ve kurumsallaşma süreçlerinde özenle üstünde durulması gerektiği belirtilmiştir.
Seviye 3: İyi Siber Hijyen
CMMC’nin 3. seviyesi, Seviye 2’nin gereksinimlerini daha ileri götürür ve NIST 800-171 r2 standartlarının bir koluna dayanır.
CMMC Seviye 1 ve 2 kontrollerini kapsayan CMMC Seviye 3’ü oluşturan 130 kontrol vardır. CMMC Seviye 3, 110 NIST 800-171 standartında yer alan kontrollerin tamamını kapsayacak ve ilave olarak ek 20 kontrol eklenecektir.
NIST 800-171 standardında olmayan ek 20 kontrol aşağıda yer almaktadır. Genel olarak log yönetimi, yedekleme yöntemi ve yedeklerin güvenilirliği, risk azaltma, spam koruma sistemleri, kök neden analiz gibi birçok güzel konu eklenmiştir.
- AM.3.036. Define procedures for the handling of CUI data.
- AU.3.048. Collect audit logs into a central repository.
- AU.2.044. Review audit logs.
- IR.2.093. Detect and report events.
- IR.2.094. Analyze and triage events to support event resolution and incident declaration.
- IR.2.095. Develop and implement responses to declared incidents according to pre-defined procedures.
- IR.2.097. Perform root cause analysis on incidents to determine underlying causes.
- RE.2.137. Regularly perform and test data back-ups.
- RE.3.139. Regularly perform complete and comprehensive data back-ups and store them off-site and offline.
- RM.3.144. Periodically perform risk assessments to identify and prioritize risks according to the defined risk categories, risk sources, and risk measurement criteria.
- RM.3.146. Develop and implement risk mitigation plans.
- RM.3.147. Manage non-vendor-supported products (e.g., end of life) separately and restrict as necessary to reduce risk.
- CA.3.162. Employ code reviews of enterprise software developed for internal use to identify areas of concern that require additional improvements.
- SA.3.169. Receive and respond to cyber threat intelligence from information sharing forums and sources and communicate to stakeholders.
- SC.2.179. Use encrypted sessions for the management of network devices.
- SC.3.192. Implement Domain Name System (DNS) filtering services.
- SC.3.193. Implement a policy restricting the publication of CUI on publicly accessible websites (e.g., Forums, LinkedIn, Facebook, Twitter, etc.).
- SI.3.218. Employ spam protection mechanisms at information system access entry and exit points.
- SI.3.219. Implement DNS or asymmetric cryptography email protections.
- SI.3.220. Utilize email sandboxing to detect or block potentially malicious email attachments.
Seviye 4: Proaktif
CMMC’nin 4. seviyesi, yüklenicilerin tehditleri ölçme, tespit etme ve ortadan kaldırması konusunda sürekli olarak hazır olma gerekliliğini ortaya koymaktadır. Bu seviyede süreçleri, maruz kaldığınız tehditlerle ilgili geçmiş verilere ve kuruluşunuzun bunlara nasıl yanıt verdiğine bakmamızı ister.
CMMC yönergelerini okurken, dördüncü seviyenin CUI ile çalışan ana yükleniciler için minimum seviye olması amaçlandığı görülmektedir.
Ayrıca, dördüncü seviyenin, kuruluşların devlet destekli bilgisayar korsanları tarafından sunulan tehditlerle başa çıkmalarına izin vermek için tasarlandığı gözden kaçmamaktadır. Bu seviyede, kuruluşların, APT gruplarının değişen taktiklerine, süreçlerine ve yeteneklerine yanıt verebilmesini hedeflemiştir.
CMMC Seviye 4 için 156 kontrol vardır.
Seviye 5: İleri / Aşamalı
CMMC Seviye 5, CMMC’nin son seviyesidir ve siber güvenlikte İleri ve son teknoloji olan kuruluşları tanımlar.
CMMC, 5. seviyeye ulaşmak için yerine konması gereken, dördüncü seviye üzerinde 30 ekstra güvenlik kontrolü blunmaktadır. Bunlar, büyük ölçüde kuruluşların, ekstra teknik gereksinimler yerine denetim ve yönetim süreçleri aracılığıyla değişen tehdit ortamlarına yanıt verme becerisiyle ilgilidir.
Genellikle Uzay alanında hizmet verecek olan yüklenicilere hitap edeceği öngörülmektedir.
Bu yazı dizisinde sizlere elimden geldiğince CMMC modelini ve sertifika süreçlerini anlatmaya çalıştım. Aşağıda sizlerle CMMC zaman çizelgesini paylaşıyorum.
Kaynak : https://www.acq.osd.mil/cmmc