Das Einhalten der CMMC-Anforderungen erfordert Zeit, Aufwand und Koordination durch Test-, Sicherheits- und IT-Teams. Der Erfolg hängt vom Verständnis der CMMC-Anforderungen und deren Anwendung auf betriebliche Technologien wie Testsysteme ab.
Das CMMC-Programm basiert auf der Norm NIST 800-171 Rev. 2, die 110 Kontrollen enthält, welche in 14 Familien unterteilt sind. Es gibt viele Online-Ressourcen, um Listen dieser Kontrollen zu erhalten, z. B. die NIST-Website, auf der Sie ein Textdokument herunterladen können, in dem die Anforderungen beschrieben sind, oder eine Tabelle, in der die Anforderungen aufgelistet sind, oder NIST 800-171A mit Anweisungen für die Bewertung der einzelnen Kontrollen. Eine Analyse der NIST 800-171-Kontrollen überlassen wir anderen Sicherheitsexperten.
An dieser Stelle ist von Interesse, wie diese Kontrollen auf Testsysteme angewendet werden. Testsysteme unterscheiden sich aus mehreren Gründen von IT-Systemen:
Lassen Sie uns, unter Berücksichtigung dieser Unterschiede, einige der Themen in NIST 800-171 betrachten.
Die ersten 22 Kontrollen in NIST 800-171 beziehen sich auf die Beschränkung des Zugriffs auf das Testsystem. Das System muss den Zugriff auf autorisierte Benutzer begrenzen und automatisierte Prozesse (Geräte), die Zugriff auf das System haben, beschränken. Testingenieure müssen alle potenziellen Benutzer des Systems und ihre Rollen identifizieren. Beachten Sie bei dieser Analyse, dass einige Benutzer Netzwerkprozesse wie Datenbanken sind, die Daten vom Testsystem in eine zentrale Datenbank übertragen.
Für jeden identifizierten Benutzer muss der Systemarchitekt eine Strategie für die Authentifizierung erstellen. Soll die Standard-Windows-Anmeldemethode verwendet werden, um zu steuern, wer Zugriff auf das System hat? Welche Zugriffsrechte haben Bediener und inwiefern unterscheiden sich diese von den Zugriffsrechten der Administratoren? Wie authentifizieren sich Netzwerkprozesse gegenüber dem System?
Testteams müssen auch den physischen Zugriff berücksichtigen und welche Auswirkungen dieser auf das System hat. Da Ethernet in heutigen Testsystemen ein wichtiger Bus ist, kann sich eine Person durch Umstecken des Kabels mit einem Gerät verbinden. Wie stellen Sie sicher, dass Daten nicht über eine direkte Verbindung vom Gerät abgerufen werden können? Wenn Sie das nicht kontrollieren können, können Sie die Kabel physisch schützen?
NIST 800-171 sieht speziell die Bereitstellung der passenden Zugriffsrechte für jede Operation vor. Testarchitekten sollten daher überlegen, wie sie diesen Least-Privilege-Ansatz umsetzen können. In Systemen, in denen die Bediener nicht einzeln angemeldet sind (z. B. in einem Labor, in dem mehrere Personen gemeinsam am Tester arbeiten), müssen die Zugriffsrechte sehr eng begrenzt werden. Wenn etwas höhere Berechtigungen erfordert, z. B. das Installieren eines Software-Updates, sollte sich ein Administrator am System anmelden müssen, um den Vorgang auszuführen.
Mehrere der Anforderungen an die Zugriffskontrolle können mit Standardtools zur IT-Identitätsverwaltung erfüllt werden. Wenn das Testsystem auf Windows basiert, können Testteams mit dem IT-Team zusammenarbeiten, um Corporate-Identity-Tools zu nutzen. Wenn das System nicht vernetzt ist oder Geräte verwendet, die nicht von IT-Systemen unterstützt werden, müssen Testarchitekten überlegen, wie sie grundlegende Anforderungen wie etwa eine angemessene Passwortkomplexität oder die Begrenzung der Anmeldeversuche erfüllen können.
Die Anforderungen in dieser Familie zielen darauf ab, sicherzustellen, dass Bediener und Administratoren entsprechend ihrer Rolle ordnungsgemäß in Cybersicherheitsprinzipien geschult sind. Testteams können möglicherweise auf Schulungen ihrer IT-Teams zurückgreifen. Wenn Testsysteme bestimmte Aktionen oder Protokolle erfordern, müssen möglicherweise Schulungen entwickelt werden, um diese Anforderungen zu erfüllen.
Ein zentrales Prinzip in NIST 800-171 ist die Fähigkeit nachzuverfolgen, wer bestimmte Aktionen ausgeführt hat. Dies ist nützlich, um bösartige Handlungen zu erkennen, und im Falle eines Vorfalls können so verursachte Schäden identifiziert und eine Ursachenanalyse durchgeführt werden. Dazu müssen Testsysteme so konzipiert sein, dass sie bestimmte Aktionen protokollieren.
Um effektiv zu sein, müssen Auditprotokolle privilegierte Aktionen erfassen, also solche Aktionen, die den Zugriff oder die Konfiguration ändern. Auditprotokolle erstellen einen Datensatz aller Aktionen im System – wer angemeldet ist, welche Daten verschoben werden, welche Objekte im System geändert werden. Um genau zu sein, muss das Auditsystem einen zuverlässigen Taktgeber für die Zeitstempel haben. Und um zuverlässig zu sein, müssen Auditprotokolle vor Änderungen oder Löschung geschützt werden.
Im Rahmen des Testsystementwurfs müssen Testarchitekten einen Plan zur Erstellung, Aktualisierung und zum Schutz dieser Auditprotokolle erstellen.
Um ein sicheres Testsystem bereitzustellen, muss das Testteam häufig Konfigurationseinstellungen vornehmen, die das System und die Komponenten in einen sichereren Zustand versetzen. NIST 800-171 erfordert, dass das Team eine Momentaufnahme dieser Konfiguration als Basis erstellt, damit das System schnell auf diese Konfiguration zurückgesetzt werden kann.
Secure Technology Implementation Guides (STIGs) bieten eine Möglichkeit für Systemadministratoren, sicherzustellen, dass das System in den sichersten Konfigurationen verbleibt. Anbieter arbeiten mit der Defense Information Systems Agency (DISA) zusammen, um STIGs zu erstellen, die Anweisungen zum Prüfen und Anpassen von Konfigurationen für ihre Produkte enthalten. Nach der Genehmigung sind STIGs in der DoD-STIG-Datenbank verfügbar. Sammeln Sie nach Möglichkeit STIGs für die Softwarekomponenten Ihres Testsystems.
Die Verwaltung von Identitäten und Konten ist ein weiterer wichtiger Bestandteil von NIST 800-171. Dazu müssen Systeme Benutzer und andere Systeme authentifizieren, bevor sie diesen Zugriff gewähren. Ähnlich wie bei der Zugriffsverwaltung können Testteams bei der Authentifizierung gegenüber Standard-PC-Technologien im System auf IT-Tools zurückgreifen.
Testarchitekten müssen nach Möglichkeiten suchen, Komponenten im System zu authentifizieren. Ethernet-Komponenten, Datenbanken und Netzwerkcomputer müssen sich vor dem Herstellen einer Verbindung mit dem Testdatensystem authentifizieren.
Wenn Abwehrmechanismen versagen und ein System angegriffen wird, muss eine Organisation schnell reagieren. Diese Familie der Kontrollen erfordert, dass Teams für ein solches Versagen Vorkehrungen treffen, die unter anderem die Nachverfolgung von Vorfällen, das Testen des Systems und eine Möglichkeit zur Meldung von Vorfällen an die entsprechenden Behörden umfassen.
Testsysteme müssen regelmäßig gewartet und kalibriert werden. NIST 800-171 erfordert, dass Teams diese Maßnahmen so planen, dass Ausfälle der Schutzmechanismen während der Wartungsaktivitäten vermieden werden.
Wird Hardware zum Zwecke der Reparatur oder Kalibrierung eingesendet, müssen sensible Daten zuvor gelöscht werden. Anbieter sollten Volatilitätserklärungen mit Anweisungen zum ordnungsgemäßen Löschen der Speicherorte dieser Geräte bereitstellen, und Testteams sollten Prozesse zum Schutz von Daten bei Wartungsprozessen einrichten.
Wenn sensible Daten auf Datenträgern gespeichert werden, müssen diese Geräte logisch und physisch geschützt werden. Die Daten auf solchen Geräten müssen verschlüsselt werden. Die Geräte müssen vor Diebstahl geschützt werden, und Systeme müssen den Zugriff von unbekannten Geräten wie USB-Laufwerken verhindern.
Testarchitekten müssen überlegen, wo Daten gespeichert werden und wie die Daten an diesen Orten geschützt werden können. Je nachdem können IT-Tools für diese Speicherorte hilfreich sein – Windows Bitlocker kann beispielsweise Daten auf den meisten Server-PCs verschlüsseln. Bei anderen Geräten muss das Testprogramm möglicherweise vor der Datenprotokollierung Daten verschlüsseln oder steuern, welche Geräte verbunden werden dürfen.
Um sicherzustellen, dass nur bestimmte Personen Zugriff auf das Testsystem und die Daten haben, müssen Prozesse eingerichtet werden, die Einzelpersonen überprüfen und den Zugriff bei Rollenwechseln steuern. Testteams müssen überlegen, wie sich entsprechend den bestehenden Unternehmensrichtlinien Prozesse implementieren lassen, um zu verwalten, wer Zugriff auf die Systeme hat.
Die Systemsicherheit wird manchmal durch physische Handlungen umgangen, zum Beispiel durch das Umstecken von Kabeln, Entfernen von Laufwerken oder Anpassen physikalischer Parameter des Systems. Bei der Planung eines Testsystems muss das Testteam über Möglichkeiten nachdenken, um das System physisch zu sichern. Dazu muss möglicherweise der Zugang zum Raum beschränkt oder bestimmte Komponenten des Systems gesichert werden.
Kein Sicherheitsplan ist perfekt, und Angreifer passen ihre Strategien kontinuierlich an. Um die Systemsicherheit aufrechtzuerhalten, müssen Testteams regelmäßig ihr Risikoprofil bewerten und bei Bedarf Anpassungen vornehmen. Sicherheitsteams nutzen Schwachstellenüberprüfungen, um Sicherheitslücken aufzudecken. Testteams müssen eine Sicherheitsteststrategie planen, die Schwachstellen im System aufdeckt. Größere Unternehmen haben möglicherweise ein Sicherheitsteam, das einen Test entwerfen kann. Alternativ können Testteams externe Berater damit beauftragen, einen Sicherheitstest zu entwerfen.
Sicherheitsbewertungen bieten Teams die Möglichkeit, die Wirksamkeit der vorhandenen Sicherheitskontrollen zu überprüfen und Verbesserungspotenzial zu identifizieren. Sicherheitsteams müssen sich regelmäßig treffen, um das Sicherheitssystem zu überprüfen und zu aktualisieren.
NIST 800-171 ist am effektivsten, wenn das System klar definiert ist und Kontrollen innerhalb dieser Systemdefinition angewendet werden. Neben den Systemkomponenten muss die Definition auch Verbindungen zu externen Systemen enthalten. Diese Anforderungen erfordern, dass diese Verbindungen gesichert und geschützt sind. Dabei muss sichergestellt werden, dass Daten nicht außerhalb des gesicherten Systems ausgetauscht werden. Wenn Daten absichtlich ausgetauscht werden, müssen sie verschlüsselt werden, um das „Abhören“ der Daten zu verhindern.
Diese Familie von NIST 800-171-Kontrollen enthält zusätzliche Anforderungen, um Systemfehler zu identifizieren und Abläufe entsprechend zu aktualisieren. Dazu gehört, den Schutz vor schädlichem Code auf dem neuesten Stand zu halten. Testteams müssen einen Plan zur Überprüfung und Aktualisierung von Systemen erstellen, wobei sichergestellt werden muss, dass der Testsystembetrieb möglichst nicht gestört wird.
Dieser Artikel gibt einen Überblick darüber, wie die NIST 800-171-Kontrollfamilien auf Testsysteme angewendet werden. Testteams sollten diese Anforderungen berücksichtigen, wenn sie einen Plan für die Bereitstellung von Testsystemen entwickeln.
Erfahren Sie, wie NI Ressourcen bereitstellt, um Ihr Team bei der Erfüllung dieser Anforderungen zu unterstützen.