Khung mô hình CMMC phân các quy trình và thực tiễn tốt nhất về an ninh mạng thành một tập hợp các miền. Thực tiễn là các hoạt động được thực hiện ở mỗi cấp cho miền bao gồm: Kiểm soát truy cập (AC); Quản lý tài sản (AM); Nhận thức và đào tạo (AT); Kiểm toán và trách nhiệm (AU); Quản lý cấu hình (CM); Nhận dạng và xác thực (IA); Ứng phó sự cố (IR); Bảo trì (MA); Bảo vệ phương tiện (MP); An ninh nhân sự (PS); Tính toàn vẹn của hệ thống và thông tin (SI); Bảo vệ hệ thống và truyền thông (SC); Nhận thức tình huống (SA); Đánh giá an ninh (CA); Bảo vệ vật lý (PE); Quản lý rủi ro (RM) và Phục hồi (RE).
Bốn mức trưởng thành của quy trình an ninh
Cấp 1. Thực hiện: Một số thực hành được ghi lại khi cần thiết.
Cấp 2. Tài liệu hóa: Mỗi thực hành đều được ghi lại, bao gồm các thực hành Cấp 1 và một chính sách bao gồm tất cả các hoạt động.
Cấp 3. Được quản lý:
- Mỗi thực hành đều được ghi lại, bao gồm cả các cấp thấp hơn;
- Có một chính sách bao gồm tất cả các hoạt động;
- Có một kế hoạch và kế hoạch này được duy trì, được cung cấp nguồn lực, bao gồm tất cả các hoạt động.
Cấp 4. Được rà soát:
- Mỗi thực hành đều được ghi lại, bao gồm cả các cấp thấp hơn;
- Có một chính sách bao gồm tất cả các hoạt động;
- Có một kế hoạch bao gồm tất cả các hoạt động;
- Các hoạt động được xem xét và đo lường hiệu quả (kết quả đánh giá được chia sẻ với quản lý cấp cao hơn).
Cấp 5. Tối ưu hóa:
- Mỗi thực hành đều được ghi lại, bao gồm các cấp thấp hơn;
- Có một chính sách bao gồm tất cả các hoạt động;
- Có một kế hoạch bao gồm tất cả các hoạt động;
- Các hoạt động được xem xét và đo lường hiệu quả;
- Có một cách tiếp cận được chuẩn hóa, được tài liệu hóa trên tất cả các đơn vị tổ chức có thể áp dụng.
Các thực hành ở từng mức độ trưởng thành
Cấp 1. Làm sạch không gian mạng cơ bản (17 thực hành)
- Tương đương với tất cả các thông lệ trong Quy định mua sắm liên bang (FAR) 48 CFR 52.204-21.
Cấp 2. Làm sạch không gian mạng trung cấp (72 thực hành)
- Tuân thủ FAR;
- Bao gồm một tập hợp con gồm 48 thực hành từ NIST SP 800- 171 r1;
- Bao gồm 7 thực hành bổ sung để hỗ trợ làm sạch không gian mạng trung cấp.
Cấp 3. Làm sạch không gian mạng tốt (130 thực hành)
- Tuân thủ FAR;
- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;
- Bao gồm 20 thực hành bổ sung để hỗ trợ làm sạch không gian mạng tốt
Cấp 4. Làm sạch không gian mạng mức chủ động (156 thực hành)
- Tuân thủ FAR;
- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;
- Bao gồm một tập hợp con gồm 11 thực hành từ Dự thảo NIST SP 800-171B;
- Bao gồm 15 thực tiễn bổ sung để thể hiện chương trình an ninh mạng chủ động.
Cấp 5. Cao cấp/Tiến bộ (171 thực hành)
- Tuân thủ FAR;
- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;
- Bao gồm một tập hợp con gồm 4 thực hành từ Dự thảo NIST SP 800-171B;
- Bao gồm 11 thực tiễn bổ sung để chứng minh chương trình an ninh mạng tiên tiến.
Mô hình CMMC tận dụng nhiều nguồn và tài liệu tham khảo, bao gồm: CMMC Cấp 1 chỉ đề cập tới các thông lệ từ FAR 52.204-21; CMMC Cấp 3 bao gồm tất cả các thông lệ từ NIST SP 800-171r1 cũng như các loại khác; CMMC Cấp 4 và 5 kết hợp một tập hợp con của các thực tiễn từ Dự thảo NIST SP 800-171B cùng với các nguồn khác.
Các nguồn bổ sung, chẳng hạn như Mô hình trưởng thành an ninh mạng thiết yếu của Vương quốc Anh (UK Cyber Essentials) và Tám mô hình trưởng thành thiết yếu của Trung tâm an ninh mạng Úc (Australia Cyber Security Centre Essential Eight Maturity Model) cũng được xem xét và tham chiếu trong mô hình.
Ellen Lord, Thứ trưởng Bộ Quốc phòng Hoa Kỳ cho biết, đây là một triển khai phức tạp và là nền tảng quan trọng trong nỗ lực bảo đảm an ninh mạng nói chung của của Bộ Quốc phòng Hoa Kỳ. Bà cũng lưu ý rằng, các thế lực thù địch đều biết trong môi trường cạnh tranh quyền lực lớn hiện nay, thông tin và công nghệ là nền tảng chính của an ninh quốc gia và tấn công nhà cung cấp phụ sẽ dễ dàng hơn nhiều so với đối tượng chính.
Nguyễn Anh Tuấn
Security Magazine
08:00 | 24/01/2020
15:00 | 19/06/2020
17:00 | 07/12/2020
09:00 | 30/12/2019
11:00 | 14/02/2022
14:00 | 11/01/2019
22:00 | 01/01/2021
10:00 | 10/02/2022
21:00 | 29/08/2024
Nhà mạng lớn nhất Anh Quốc - EE đã lên tiếng về việc bảo vệ trẻ em khỏi tác động tiêu cực của điện thoại thông minh. Nhà mạng khuyến cáo các bậc cha mẹ không nên cho trẻ dưới 11 tuổi tiếp xúc với thiết bị này. Hướng dẫn mới được đưa ra trong bối cảnh các bậc phụ huynh ngày càng lo ngại những cạm bẫy tiềm ẩn của việc tiếp cận điện thoại thông minh đối với thanh thiếu niên.
13:00 | 27/08/2024
Trong 04 ngày từ 20 - 23/8, Đoàn công tác của ngành Cơ yếu Việt Nam do Thiếu tướng Nguyễn Đăng Lực, Phó Trưởng ban Ban Cơ yếu Chính phủ làm Trưởng đoàn đã đến làm việc với các Tỉnh/Thành ủy: Cần Thơ, Bến Tre, Sóc Trăng và Đồng Tháp nhằm tăng cường sự phối hợp và đẩy mạnh việc triển khai các nhiệm vụ về lĩnh vực cơ yếu, bảo mật và an toàn thông tin.
14:00 | 30/07/2024
Đảm bảo và thực hiện an ninh trên không gian mạng, đồng thời tôn trọng quyền riêng tư và tự do, đã trở thành một trong những ưu tiên chiến lược của các nước phát triển do an ninh mạng tác động trực tiếp đến an ninh quốc gia, đến khả năng cạnh tranh của các công ty và đến sự thịnh vượng của toàn xã hội. Thế giới mạng đòi hỏi sự giám sát liên tục đối với sự phát triển công nghệ và mức độ tinh vi ngày càng tăng của các cuộc tấn công. Tây Ban Nha là quốc gia hiện đang đối mặt với nhiều thách thức về an ninh mạng và việc xây dựng chiến lược đảm bảo an ninh mạng là cách quốc gia này ứng phó với tốc độ gia tăng nguy cơ mất an ninh mạng hiện nay.
08:00 | 30/06/2024
Trong bối cảnh các nền tảng truyền thông xã hội trong những năm gần đây luôn rơi vào tầm ngắm chỉ trích và bị yêu cầu giám sát vì tính chất gây nghiện và tác động của nó đối với giới trẻ. Tổng y sĩ Mỹ Vivek Murthy đã lên tiếng kêu gọi Quốc hội nước này thông qua luật yêu cầu thêm nhãn cảnh báo vào các ứng dụng truyền thông xã hội.