供應鏈威脅與日俱增,全球都在關注,除了多年來強調的軟體業者要從安全程式碼開發做起,導入SSDLC流程,供應商本身的安全該如何受到要求與規範,同樣是全球政府與產業資安關注的一大焦點。近年來,美國國防部提出一項計畫,稱之為「網路安全成熟度模型認證」,全名是Cybersecurity Maturity Model Certification(CMMC),受到各界極大關注,這是該單位為供應商制定的首套網路安全標準。

這項計畫,是在2020年1月31日正式發布1.0版,根據美國國防部(DOD)的說明,目的是要求競標國防合約的公司,在回應提案時,需證明自己符合其網路安全成熟度。

簡言之,美國國防部將開始要求國防部的承包商,必須具備網路安全認證,並需依據專案的機密性,取得不同等級的認證,而且,其內容不只規範一線供應商(承包商),也將涵蓋二線等供應商(分包商)。

到了2021年11月,美國國防部再提出CMMC 2.0版。基本上,這個認證的主要目的,就是要評估美國國防部承包商的網路安全能力,而2.0版的修訂,希望確保承包商遵循最佳實務做法,以保護網路上的敏感資訊,同時也使中小型業者更容易遵守這些規範。

預計在2026財年,CMMC將成美國國防採購案的必要需求

基本上,CMMC框架是從2019年開始發展,最初可追溯到2007年,當時美國國防工業基地(DIB)的網路安全工作組成立之際,就已經開始進行,到了2015年,美國國防部發布DFARS 252.204-7012,以及美國國家標準暨技術研究院(NIST)發布SP 800-171安全標準,都與後續發展的CMMC有相當的關聯。

隨著網路安全風險日益嚴峻,國家安全與供應鏈安全問題開始更受重視,CMMC在2019年開始被提出。

2020年發布CMMC 1.0版之時,時任擔任美國國防部副部長、負責採購與後勤的Ellen M. Lord表示,網路安全風險威脅著國防工業與美國政府,以及其盟友和合作夥伴的國家安全,造成每年平均6,000億美元的損失。

她指出,在當今世界強權競爭環境中,對手都知道,資訊與技術是關鍵的基石,而且,攻擊二線等供應商(分包商),遠比攻擊主要供應商更具吸引力。

為此,美國將在2026財年(2026年9月30日)時,規範所有新的國防部採購案(合約)都將納入CMMC的要求。

換言之,未來供應商要跟美國國防部做生意,將需要達到不同專案所要求的CMMC等級,才能承包其業務。

這對於要跟美國國防部做生意的臺灣企業而言,同樣必須重視。這是因為,若國內供應商取得高等級的認證,與軍方做生意,不只自身網路安全能力必須提升,市場給予的網路安全信任度也將增加。

更進一步來看,這項CMMC認證機制,不僅可推動提升網路防護能力,未來也可能受到業界擴大採用,值得密切關注。畢竟,美軍在國防工業的網路防護要求如今已形成一套無法忽視的規範,而對於全球企業而言,CMMC認證也可能成為企業資安防護所看重的新標準。

在2020年1月31日,美國推出網路安全成熟度模型認證CMMC 1.0,時任擔任美國國防部副部長的Ellen M. Lord(左2)宣布這項計畫,並預告將在2026財年(2026年9月30日),規範所有新的國防部合約都需具備CMMC的要求。(圖片來源/美國國防部)

推動CMMC第三方評估認證制度,聚焦保護FCI與CUI

CMMC的特性主要有下列三點:第一是具有「分層模型」的概念,要求國防部供應商需根據資訊的類型與敏感性,逐步實施網路安全標準,同時這項計畫還規定了,將資訊向下傳遞給二線供應商的流程。

第二是「評估要求」,有了CMMC評估,將促使部門能夠驗證出明確的網路安全標準實施情形。

第三是「透過合約實施」,一旦CMMC完全實施,對於處理敏感未分類國防部資訊的供應商而言,若要取得合約,供應商本身需具備的條件,是達到特定的CMMC等級。

如此一來,可藉由建立分級制度,將安全層級明確訂出,而最重要的部分則是,CMMC認證將經由美國國防部授權的第三方評估機構(C3PAOs)進行,以判定供應商是否合格。目前,美國防部也在推動第三方評估機構與諮詢單位,並培訓相關人員與完善評估工具

關於CMMC模型運用的主要目的,我們可以參考美國國防部副部長辦公室採購與後勤處(OUSD A&S)的說明,當中提到:加強保護聯邦合約資訊(Federal Contract Information,FCI),以及更進一步保護受控未分類資訊(Controlled unclassified information,CUI)。

簡單來說,根據聯邦採購條例(FAR)第4.1901節的規定,FCI是由政府合約提供或產生的資訊,包括為政府開發或交付產品的產品或服務的內容,屬於政府不公開的資訊,但不包含政府向公眾提供的資訊。

在CUI方面,美國政府已推動發展10多年,簡單來說,這是指由政府或承包商代表政府所提供或擁有的資訊,雖然並非需要保密,但仍然具有機密性且需要保護,特別是在國家資訊安全防護的需求之下,CUI將需要更高層度的保護。而在2015年發展出的NIST SP 800-171,就是聚焦於CUI的安全標準,後續並在2020年2月發布修訂版2。

對於CUI的保護,或許我們以政府不公開資訊來看待,會更容易理解這個概念。因為相關敏感資訊雖不到保密層級,不過,若是公開,可能會有潛在危害,所以要限制公開或控制其資訊傳播。P 64

在2021年11月,美國政府推出CMMC 2.0版,這項網路安全成熟度模型認證計畫,有了進一步的簡化與改善,除了以NIST SP 800-171為基礎,並將認證等級調整為3級,建立供應鏈資安生態體系,特別是在國防合約資訊與受控非機敏資訊方面,讓每個供應商都應具備基本資安能力,(圖片來源/OUSD A&S)

CMMC 2.0版簡化合規要求,認證等級畫分三級

在2021年11月,美國國防部發布CMMC 2.0版,與前一版內容相比,最明顯的差異,就是網路安全成熟度的認證級別上的變化。

具體而言,美國國防部在原先的CMMC 1.0版中,畫分出五種認證等級,由第一級到第五級由低至高排序,包括:基本網路防護(Basic)、中等網路防護(Intermediate)、良好網路防護(Good)、主動防護(Proactive),以及進階防護(Advanced)。

在2.0版將有所調整,省略原本第二級與第四級的過渡階段,簡化為三個等級:第一級為基礎防護級(Foundational),第二級為進階防護級(Advanced),第三級為專家防護級(Expert)。同時,CMMC也朝向與NIST標準保持一致。

之所以發展出改進簡化的CMMC 2.0版,主要是美國國防部在徵求公眾意見後,為了讓中小企業更容易施行,因而進行改良,當中不僅簡化認證標準,減少評估費用,也讓合規要求所面臨的障礙最小化。

以NIST 800-171為基礎,第二級將遵循110項安全控制措施

這三個成熟度等級有何差異?

簡單來說,以第一級,也就是基礎級而言,僅適用於具有FCI的公司。資訊需要保護,但對於國家安全並不重要。這裡的規範著重基本的網路衛生,如今則轉變為年度自我認證,不用外部評估。

以第二級、亦即進階級而言,主要適用於保護CUI的公司。這裡將以NIST 800-171的110個控制項作為基準要求,目前已推出第二版,並規範每三年進行一次第三方評估。

若以第三級,也就是專家級而言,對於CUI的保護需要有最高優先等級。具體內容將以2021年2月發布的NIST 800-172為基準來要求,它是基於NIST 800-171而予以增強後的產物,將具有比110個控制項更多的內容,並是由政府主導的3年制評估。因此,3種等級各自要求的資安控制範圍不同,評估形式也有所不同。

值得關注的是,在2021年12月,美國OUSD A&S已經提供CMMC Level 1自評指引的文件,以及CMMC Level 2評估指引。

簡單來說,在Level 1自評指引中,談到6大安全控制類型的遵循,包括存取控制、識別與認證、多媒體防護、實體防護、系統與通訊防護,以及系統與資訊完整性,共17個控制項,這部分均與合約資訊有關。

在Level 2評估指引中,主要遵循14大安全控制類型,除了上述6類,還包括意識與培訓、稽核與問責、配置管理、事件回應、維運、個人安全、風險評估與資安評估,共110項規範。至於Level 3的評估指引,目前仍在開發中。

針對Level 1與Level 2需落實的NIST SP 800-171安全控制項目,在2021年12月,美國國防部副部長辦公室採購與後勤處(OUSD A&S)提供了一份可供對照的Excel表格。基本上,Level 1自評項目聚焦於6大資安控制類型,共17個控制項;而Level 2需經第三方驗證,除了要符合Level 1的17個控制項目,還要做到另外93個控制項,也就是總共14大資安控制類型,共110個控制項。

美國OUSD A&S在2021年12月也已提供相關評估指引,例如,上圖為CMMC Level 2評估指引中的部分內容,章節內容涵蓋14大資安控制類型的110個控制項。

 

一旦CMMC 2.0實施,承包商和分包商合約中所要求的 CMMC級別,將在徵求承包廠商意見階段即提出。另外,美國OUSD A&S還提出強化資安的五大步驟,包括教育民眾認識網路威脅,實施存取控制,驗證使用者,監控實體空間,以及更新資安防護。特別的是,由於大多數網路安全事件都因使用者犯錯而開始,為了讓民眾瞭解基本安全意識,美國國防部還建立了Project Spectrum的專案網站,可為企業組織提供網路安全資訊、資源、工具與培訓的內容。

熱門新聞

Advertisement