Khung mô hình CMMC phân các quy trình và thực tiễn tốt nhất về an ninh mạng thành một tập hợp các miền. Thực tiễn là các hoạt động được thực hiện ở mỗi cấp cho miền bao gồm: Kiểm soát truy cập (AC); Quản lý tài sản (AM); Nhận thức và đào tạo (AT); Kiểm toán và trách nhiệm (AU); Quản lý cấu hình (CM); Nhận dạng và xác thực (IA); Ứng phó sự cố (IR); Bảo trì (MA); Bảo vệ phương tiện (MP); An ninh nhân sự (PS); Tính toàn vẹn của hệ thống và thông tin (SI); Bảo vệ hệ thống và truyền thông (SC); Nhận thức tình huống (SA); Đánh giá an ninh (CA); Bảo vệ vật lý (PE); Quản lý rủi ro (RM) và Phục hồi (RE).
Bốn mức trưởng thành của quy trình an ninh
Cấp 1. Thực hiện: Một số thực hành được ghi lại khi cần thiết.
Cấp 2. Tài liệu hóa: Mỗi thực hành đều được ghi lại, bao gồm các thực hành Cấp 1 và một chính sách bao gồm tất cả các hoạt động.
Cấp 3. Được quản lý:
- Mỗi thực hành đều được ghi lại, bao gồm cả các cấp thấp hơn;
- Có một chính sách bao gồm tất cả các hoạt động;
- Có một kế hoạch và kế hoạch này được duy trì, được cung cấp nguồn lực, bao gồm tất cả các hoạt động.
Cấp 4. Được rà soát:
- Mỗi thực hành đều được ghi lại, bao gồm cả các cấp thấp hơn;
- Có một chính sách bao gồm tất cả các hoạt động;
- Có một kế hoạch bao gồm tất cả các hoạt động;
- Các hoạt động được xem xét và đo lường hiệu quả (kết quả đánh giá được chia sẻ với quản lý cấp cao hơn).
Cấp 5. Tối ưu hóa:
- Mỗi thực hành đều được ghi lại, bao gồm các cấp thấp hơn;
- Có một chính sách bao gồm tất cả các hoạt động;
- Có một kế hoạch bao gồm tất cả các hoạt động;
- Các hoạt động được xem xét và đo lường hiệu quả;
- Có một cách tiếp cận được chuẩn hóa, được tài liệu hóa trên tất cả các đơn vị tổ chức có thể áp dụng.
Các thực hành ở từng mức độ trưởng thành
Cấp 1. Làm sạch không gian mạng cơ bản (17 thực hành)
- Tương đương với tất cả các thông lệ trong Quy định mua sắm liên bang (FAR) 48 CFR 52.204-21.
Cấp 2. Làm sạch không gian mạng trung cấp (72 thực hành)
- Tuân thủ FAR;
- Bao gồm một tập hợp con gồm 48 thực hành từ NIST SP 800- 171 r1;
- Bao gồm 7 thực hành bổ sung để hỗ trợ làm sạch không gian mạng trung cấp.
Cấp 3. Làm sạch không gian mạng tốt (130 thực hành)
- Tuân thủ FAR;
- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;
- Bao gồm 20 thực hành bổ sung để hỗ trợ làm sạch không gian mạng tốt
Cấp 4. Làm sạch không gian mạng mức chủ động (156 thực hành)
- Tuân thủ FAR;
- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;
- Bao gồm một tập hợp con gồm 11 thực hành từ Dự thảo NIST SP 800-171B;
- Bao gồm 15 thực tiễn bổ sung để thể hiện chương trình an ninh mạng chủ động.
Cấp 5. Cao cấp/Tiến bộ (171 thực hành)
- Tuân thủ FAR;
- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;
- Bao gồm một tập hợp con gồm 4 thực hành từ Dự thảo NIST SP 800-171B;
- Bao gồm 11 thực tiễn bổ sung để chứng minh chương trình an ninh mạng tiên tiến.
Mô hình CMMC tận dụng nhiều nguồn và tài liệu tham khảo, bao gồm: CMMC Cấp 1 chỉ đề cập tới các thông lệ từ FAR 52.204-21; CMMC Cấp 3 bao gồm tất cả các thông lệ từ NIST SP 800-171r1 cũng như các loại khác; CMMC Cấp 4 và 5 kết hợp một tập hợp con của các thực tiễn từ Dự thảo NIST SP 800-171B cùng với các nguồn khác.
Các nguồn bổ sung, chẳng hạn như Mô hình trưởng thành an ninh mạng thiết yếu của Vương quốc Anh (UK Cyber Essentials) và Tám mô hình trưởng thành thiết yếu của Trung tâm an ninh mạng Úc (Australia Cyber Security Centre Essential Eight Maturity Model) cũng được xem xét và tham chiếu trong mô hình.
Ellen Lord, Thứ trưởng Bộ Quốc phòng Hoa Kỳ cho biết, đây là một triển khai phức tạp và là nền tảng quan trọng trong nỗ lực bảo đảm an ninh mạng nói chung của của Bộ Quốc phòng Hoa Kỳ. Bà cũng lưu ý rằng, các thế lực thù địch đều biết trong môi trường cạnh tranh quyền lực lớn hiện nay, thông tin và công nghệ là nền tảng chính của an ninh quốc gia và tấn công nhà cung cấp phụ sẽ dễ dàng hơn nhiều so với đối tượng chính.
Nguyễn Anh Tuấn
Security Magazine
08:00 | 24/01/2020
15:00 | 19/06/2020
17:00 | 07/12/2020
09:00 | 30/12/2019
11:00 | 14/02/2022
14:00 | 11/01/2019
22:00 | 01/01/2021
10:00 | 10/02/2022
15:00 | 19/02/2024
Trong khoảng 15 năm trở lại đây, với sự phát triển mạnh mẽ của Internet đã kéo theo sự ra đời và phát triển bùng nổ của các nền tảng mạng xã hội (MXH), đặc biệt là các nền tảng MXH xuyên biên giới. MXH xuất hiện như một bước tiến lớn của ngành công nghệ số, mang lại nhiều lợi ích cho người dùng. Tuy nhiên, MXH cũng mang đến nhiều mối lo ngại đối với xã hội và mỗi quốc gia trên khắp thế giới như thông tin độc hại, sai lệch, xuyên tạc, chống phá Đảng, Nhà nước, kích động bạo lực, biểu tình,… Điều này đặt ra nhiều vấn đề đối với các cơ quan quản lý, nếu không có những giải pháp kiểm soát chặt chẽ, xử lý mạnh tay, ngăn chặn kịp thời sẽ làm tăng nguy cơ gây mất trật tự, an ninh xã hội.
10:00 | 20/11/2023
Các công ty công nghệ thông tin hàng đầu thế giới (BigTech) thông báo sẽ tăng cường các biện pháp chống bóc lột và lạm dụng tình dục trẻ em trên không gian mạng.
13:00 | 09/10/2023
Trong bối cảnh đẩy mạnh phát triển Chính quyền số để thúc đẩy chuyển đổi kinh tế số, xã hội số, phát huy hiệu quả chuyển đổi số để nâng cao năng lực, hiệu lực trong hoạt động của bộ máy nhà nước ở địa phương, đòi hỏi lực lượng cơ yếu tỉnh Điện Biên phải nỗ lực nhiều hơn nữa, nâng cao chất lượng, hiệu quả trong công tác tham mưu cho cấp ủy, chính quyền địa phương về hoạt động cơ yếu và những nội dung liên quan đến định hướng, chiến lược phát triển trong lĩnh vực bảo mật, an toàn thông tin.
15:00 | 31/08/2023
Trí tuệ nhân tạo (AI) đã trở thành một yếu tố quan trọng và có tác động sâu sắc trong xã hội hiện đại. Không chỉ đơn thuần là một khái niệm trong khoa học viễn tưởng, AI đã vượt qua ranh giới để trở thành một công nghệ tiềm năng với khả năng thay đổi cách chúng ta sống, làm việc và tương tác với nhau. Nhưng bên cạnh những lợi ích của AI thì chúng ta cũng đã chứng kiến làn sóng phản ánh nhiều điểm tiêu cực của AI ảnh hưởng đến xã hội và loài người.