Khung mô hình CMMC phân các quy trình và thực tiễn tốt nhất về an ninh mạng thành một tập hợp các miền. Thực tiễn là các hoạt động được thực hiện ở mỗi cấp cho miền bao gồm: Kiểm soát truy cập (AC); Quản lý tài sản (AM); Nhận thức và đào tạo (AT); Kiểm toán và trách nhiệm (AU); Quản lý cấu hình (CM); Nhận dạng và xác thực (IA); Ứng phó sự cố (IR); Bảo trì (MA); Bảo vệ phương tiện (MP); An ninh nhân sự (PS); Tính toàn vẹn của hệ thống và thông tin (SI); Bảo vệ hệ thống và truyền thông (SC); Nhận thức tình huống (SA); Đánh giá an ninh (CA); Bảo vệ vật lý (PE); Quản lý rủi ro (RM) và Phục hồi (RE).
Bốn mức trưởng thành của quy trình an ninh
Cấp 1. Thực hiện: Một số thực hành được ghi lại khi cần thiết.
Cấp 2. Tài liệu hóa: Mỗi thực hành đều được ghi lại, bao gồm các thực hành Cấp 1 và một chính sách bao gồm tất cả các hoạt động.
Cấp 3. Được quản lý:
- Mỗi thực hành đều được ghi lại, bao gồm cả các cấp thấp hơn;
- Có một chính sách bao gồm tất cả các hoạt động;
- Có một kế hoạch và kế hoạch này được duy trì, được cung cấp nguồn lực, bao gồm tất cả các hoạt động.
Cấp 4. Được rà soát:
- Mỗi thực hành đều được ghi lại, bao gồm cả các cấp thấp hơn;
- Có một chính sách bao gồm tất cả các hoạt động;
- Có một kế hoạch bao gồm tất cả các hoạt động;
- Các hoạt động được xem xét và đo lường hiệu quả (kết quả đánh giá được chia sẻ với quản lý cấp cao hơn).
Cấp 5. Tối ưu hóa:
- Mỗi thực hành đều được ghi lại, bao gồm các cấp thấp hơn;
- Có một chính sách bao gồm tất cả các hoạt động;
- Có một kế hoạch bao gồm tất cả các hoạt động;
- Các hoạt động được xem xét và đo lường hiệu quả;
- Có một cách tiếp cận được chuẩn hóa, được tài liệu hóa trên tất cả các đơn vị tổ chức có thể áp dụng.
Các thực hành ở từng mức độ trưởng thành
Cấp 1. Làm sạch không gian mạng cơ bản (17 thực hành)
- Tương đương với tất cả các thông lệ trong Quy định mua sắm liên bang (FAR) 48 CFR 52.204-21.
Cấp 2. Làm sạch không gian mạng trung cấp (72 thực hành)
- Tuân thủ FAR;
- Bao gồm một tập hợp con gồm 48 thực hành từ NIST SP 800- 171 r1;
- Bao gồm 7 thực hành bổ sung để hỗ trợ làm sạch không gian mạng trung cấp.
Cấp 3. Làm sạch không gian mạng tốt (130 thực hành)
- Tuân thủ FAR;
- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;
- Bao gồm 20 thực hành bổ sung để hỗ trợ làm sạch không gian mạng tốt
Cấp 4. Làm sạch không gian mạng mức chủ động (156 thực hành)
- Tuân thủ FAR;
- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;
- Bao gồm một tập hợp con gồm 11 thực hành từ Dự thảo NIST SP 800-171B;
- Bao gồm 15 thực tiễn bổ sung để thể hiện chương trình an ninh mạng chủ động.
Cấp 5. Cao cấp/Tiến bộ (171 thực hành)
- Tuân thủ FAR;
- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;
- Bao gồm một tập hợp con gồm 4 thực hành từ Dự thảo NIST SP 800-171B;
- Bao gồm 11 thực tiễn bổ sung để chứng minh chương trình an ninh mạng tiên tiến.
Mô hình CMMC tận dụng nhiều nguồn và tài liệu tham khảo, bao gồm: CMMC Cấp 1 chỉ đề cập tới các thông lệ từ FAR 52.204-21; CMMC Cấp 3 bao gồm tất cả các thông lệ từ NIST SP 800-171r1 cũng như các loại khác; CMMC Cấp 4 và 5 kết hợp một tập hợp con của các thực tiễn từ Dự thảo NIST SP 800-171B cùng với các nguồn khác.
Các nguồn bổ sung, chẳng hạn như Mô hình trưởng thành an ninh mạng thiết yếu của Vương quốc Anh (UK Cyber Essentials) và Tám mô hình trưởng thành thiết yếu của Trung tâm an ninh mạng Úc (Australia Cyber Security Centre Essential Eight Maturity Model) cũng được xem xét và tham chiếu trong mô hình.
Ellen Lord, Thứ trưởng Bộ Quốc phòng Hoa Kỳ cho biết, đây là một triển khai phức tạp và là nền tảng quan trọng trong nỗ lực bảo đảm an ninh mạng nói chung của của Bộ Quốc phòng Hoa Kỳ. Bà cũng lưu ý rằng, các thế lực thù địch đều biết trong môi trường cạnh tranh quyền lực lớn hiện nay, thông tin và công nghệ là nền tảng chính của an ninh quốc gia và tấn công nhà cung cấp phụ sẽ dễ dàng hơn nhiều so với đối tượng chính.
Nguyễn Anh Tuấn
Security Magazine
08:00 | 24/01/2020
15:00 | 19/06/2020
17:00 | 07/12/2020
09:00 | 30/12/2019
11:00 | 14/02/2022
14:00 | 11/01/2019
22:00 | 01/01/2021
10:00 | 10/02/2022
08:00 | 16/01/2024
Năm 2023, ChatGPT từ một cái tên phổ biến đã trở thành một trong những thành tựu nổi bật, đánh dấu kỷ nguyên của trí tuệ nhân tạo trong tương lai có ảnh hưởng sâu sắc đến tất cả các mặt của đời sống xã hội.
09:00 | 27/12/2023
Trong bối cảnh các mối đe dọa bảo mật trở nên phổ biến và ngày càng mang tính chất phá hoại nhiều hơn, việc bảo vệ email khỏi các tấn công trở nên cực kỳ quan trọng. Bài viết này giới thiệu về một khảo sát liên quan đến các tấn công email và hậu quả của nó cho các tổ chức, doanh nghiệp trong năm 2023, đồng thời giới thiệu một số giải pháp an toàn cho email hiện nay.
10:00 | 04/12/2023
Chuyển đổi số (CĐS) là xu hướng không thể quay ngược trong quá trình phát triển ngày nay, nhất là khi thế giới đang bước vào cuộc Cách mạng công nghiệp 4.0 (CMCN). Nhận thức được tầm quan trọng của CĐS và xây dựng Chính phủ điện tử, Đảng và Nhà nước ta đã xác định CĐS là một trong những chủ trương lớn nhằm đưa đất nước ta bứt phá, phát triển ngang tầm khu vực và thế giới. Bài báo sẽ trình bày về thực trạng CĐS, những quy định về bảo đảm an toàn thông tin (ATTT) và bảo mật dữ liệu, một số yêu cầu đặt ra đối với các hệ thống chỉ huy điều hành (CHĐH), đồng thời đưa ra các giải pháp giúp đẩy mạnh công cuộc CĐS trong Quân đội.
15:00 | 05/10/2023
Nguyên nhân của động thái này là vì giáo viên phát hiện hiệu quả học tập của học sinh bị ảnh hưởng. Các con số thống kê của chính phủ cũng cho thấy, tỷ lệ biết chữ ở nước này giảm nhẹ.