Ana Sayfa Analizler / Makaleler ABD, Savunma Firmalarının Siber Güvenlik Karnelerinin Belirlenmesi için İlk Adımı Attı

ABD, Savunma Firmalarının Siber Güvenlik Karnelerinin Belirlenmesi için İlk Adımı Attı

MSI Dergisi’nin 190’ıncı sayısında yayımlanan Haber Analiz, derginin internet sitesinde paylaşılmıştır:

K. Burak CODUR / b.codur@savunmahaber.com

Amerikan Savunma Bakanlığı, savunma firmalarının siber güvenlik konusundaki olgunluğunu niceliksel olarak ölçmek ve belgelemek için oluşturduğu CMMC (Cybersecurity Maturity Model Certification / Siber Güvenlik Olgunluk Modeli Sertifikasyonu) modelinin ilk sürümünü, 31 Ocak’ta yayınladı.

Savunma platform ve sistemlerinin siber güvenliği kadar, bu platform ve sistemlerin geliştirme sürecinde görev alan kurum ve kuruluşların siber güvenliği de kritik bir önem taşıyor. ABD’de, savunma ile ilgili faaliyetlerde görev alan, yaklaşık 300.000 firma yer alıyor. Özellikle ana yükleniciler ve büyük firmalar, siber güvenlik alanında gerekli tedbirleri alma konusunda ihtiyaç duyulan kaynakları kolaylıkla ayırabiliyorlar. Diğer yandan, tedarik zincirinde yer alan KOBİ’lerin, bu konuya yeterince kaynak ayıramadığı ya da konunun yeterince farkında olmadığı, Amerikan Savunma Bakanlığı yetkililerince zaman zaman dile getiriliyordu. Bu tabloda, sanayi casusluğu faaliyeti yürüten tarafların, tedarik zincirinde yer alan küçük firmaları hedef aldığı, yine dile getirilen endişeler arasında yer alıyordu.

CMMC, böyle bir ortamda kurgulandı ve hayata geçirildi. CMMC’nin bir diğer hedefi de siber güvenlik konusunda kullanılan çeşitli standartlar ve yönetmeliklerden kaynaklanan karmaşıklığı, tek bir uygulamaya düşürmek oldu.

Beş Seviyeli Olgunluk

Savunma platform ve sistemlerinin siber güvenliği kadar bu platform ve sistemlerin geliştirme sürecinde görev alan kurum ve kuruluşların siber güvenliği de kritik bir önem taşıyor.

CMMC Modeli, konu ile ilgili var olan Amerikan standartlarının yanı sıra İngiliz ve Avustralya standartlarından da yararlanılarak ortaya konuldu. Modelde, firmalar, beş seviyeye göre sınıflandırılıyor. Her seviye, bir önceki seviyede gerçekleştirilen faaliyetlerin üzerine, yeni gereksinimler ekliyor.

Uygulama açısından bakıldığında, ilk seviyedeki firmaların, temel “siber hijyen”e sahip olmaları gerekiyor. İkinci seviyedekiler orta “siber hijyen”e; üçüncü seviyedekiler ise iyi bir “siber hijyen”e sahip olarak değerlendiriliyor. Dördüncü seviyedeki firmalar, siber güvenlik konusunda proaktif; beşinci ve son seviyedekiler ise gelişmiş ve ilerici olarak nitelendiriliyor.

CMMC Modeli’nin yerine getirilmesini beklediği, toplam 171 uygulama bulunuyor. Seviye arttıkça, hayata geçirilmesi gereken uygulama sayısı da artıyor.

Süreçler açısından bakıldığında ise ilk seviyedeki firmaların, siber güvenlik ile ilgili temel tedbirleri alabilmeleri bekleniyor. İkinci seviyedeki firmaların, siber güvenlik ile ilgili tüm faaliyetlerini dokümante etmeleri; üçüncü seviyedeki firmaların ise bu faaliyetleri yönetebilmeleri gerekiyor. Dördüncü seviyedeki firmalar, bu faaliyetleri gözden geçirerek geliştirebilmeli. Beşinci ve son seviyedeki firmalar ise bu faaliyetleri optimize edebilmeli.

CMMC Modeli’nde yer alan 17 kabiliyet alanı, şöyle sıralanıyor: Erişim Kontrolü; Olaylara Müdahale; Risk Yönetimi; Varlık Yönetimi; Bakım; Güvenlik Değerlendirmesi; Farkındalık ve Eğitim; Medya Koruması; Durumsal Farkındalık; Kontrol ve Hesap Verebilirlik; Personel Güvenliği; Sistem ve İletişim Koruması; Konfigürasyon Yönetimi; Fiziksel Koruma; Sistem ve Veri Bütünlüğü; Tanıma ve Onaylama; Kurtarma.

Bir firmanın hangi olgunluk seviyesinde olması gerektiği, projede üstlendiği role göre belirlenecek.

Önümüzdeki Dönem

CMMC’nin, Amerikan Savunma Bakanlığı tarafından yayınlanan teklife çağrı dokümanlarında, haziran ayından itibaren bir gereksinim olarak görülmesi planlanıyor. Sertifikasyonun, Amerikan Savunma Bakanlığı ve sektör firmalarının dışında, üçüncü parti kurum ya da kuruluşlar tarafından gerçekleştirilmesi öngörülüyor. Bununla beraber, üst seviyedeki sertifikasyonlarda, Amerikan Savunma Bakanlığına bağlı birimlerin rol alması da gündemde bulunuyor. Sertifikasyonun geçerlilik süresinin ne kadar olacağı, şu anda belirsiz. 2026 Mali Yılı’nda imzalanacak tüm sözleşmelerde ise CMMC gereksinimlerinin yer alması hedefleniyor.

 37,447 Toplam Görüntüleme,  2 Günlük Görüntüleme

İlgili İçerikler

Bu web sitesi deneyiminizi geliştirmek için çerezler kullanmaktadır. Bu konuda bilgi sahibi olduğunuzu düşünüyoruz, ancak isterseniz devre dışı bırakabilirsiniz. Kabul Et Detaylı bilgi almak için tıklayın.