信息來源:E安全
近日據(jù)外媒報(bào)道����,上周美國BSA互聯(lián)網(wǎng)協(xié)會(huì)在致五角大樓高級官員的一封信中表示�����,國防部的網(wǎng)絡(luò)安全成熟度模型認(rèn)證計(jì)劃(CMMC)可能會(huì)與預(yù)期效果相反��,并可能會(huì)帶來安全風(fēng)險(xiǎn)��,他們要求國防部對計(jì)劃中的一些問題進(jìn)行澄清���。
該協(xié)會(huì)在信函中代表了100多家公司,其中包括美國軟件聯(lián)盟�����,網(wǎng)絡(luò)安全聯(lián)盟���,信息技術(shù)行業(yè)委員會(huì)���,CompTIA和數(shù)字創(chuàng)新聯(lián)盟。
據(jù)悉��,該互聯(lián)網(wǎng)協(xié)會(huì)在致國防部采購和維持事務(wù)部國防部長艾倫·洛德的信中表示���,“我們擔(dān)心�,目前實(shí)施的CMMC計(jì)劃在關(guān)鍵領(lǐng)域缺乏足夠的清晰度和可預(yù)測性經(jīng)驗(yàn),可能會(huì)造成不必要的制度混亂和額外開銷�, 如果不對該問題加以解決,這些問題可能導(dǎo)致網(wǎng)絡(luò)安全性降低”���。
美國部分公司在信中表達(dá)了他們的擔(dān)憂�,由于國防部表示將開始實(shí)施CMMC計(jì)劃�����,因此私營部門需要關(guān)注國防部是如何解決在認(rèn)證過程中存在的嚴(yán)重問題和不確定性因素的��。其中��,兩家公司寫道:“考慮到DIB的風(fēng)險(xiǎn)��,我們意識(shí)到在計(jì)劃實(shí)施之前解決這些問題是存在困難的���,以目前的實(shí)施速度,除非在關(guān)鍵領(lǐng)域繼續(xù)致力于改善CMMC��,否則該計(jì)劃可能會(huì)限制行業(yè)科技競爭并減少政府使用新技術(shù)的機(jī)會(huì)”��。
BSA互聯(lián)網(wǎng)協(xié)會(huì)最后還表示,CMMC中的某些控件其實(shí)比較適用于傳統(tǒng)模型���,但不一定適用于現(xiàn)代大規(guī)模的基礎(chǔ)架構(gòu)����,嚴(yán)格遵守這些控制措施實(shí)際上可能會(huì)為高安全性和高可用性的控制措施帶來新的風(fēng)險(xiǎn)�����。國防部應(yīng)該考慮并結(jié)合IT行業(yè)的反饋意見�,這將有助于確保DoD優(yōu)化實(shí)施結(jié)構(gòu)的合理性,我們隨時(shí)準(zhǔn)備著協(xié)助國防部優(yōu)化CMMC的有效性。
目前��,五角大樓官員正在全面啟動(dòng)CMMC計(jì)劃���,以確保對國防工業(yè)基地的承包商能夠?qū)嵤┻m當(dāng)?shù)木W(wǎng)絡(luò)安全控制���。與此同時(shí),國防承包商也在證明自身對CMMC計(jì)劃條例的遵守��,例如美國國家標(biāo)準(zhǔn)技術(shù)研究院出版的800-171特別刊物中就提及了計(jì)劃的相關(guān)條例��,CMMC將要求獨(dú)立第三方審核員在供應(yīng)商與DOD開展業(yè)務(wù)之前驗(yàn)證該公司的合規(guī)性。
國防部官員也表示�����,CMMC計(jì)劃將作為252.204.7012規(guī)則內(nèi)容添加到《國防聯(lián)邦采購條例》補(bǔ)編中��,并將于春季開放供公眾征詢�����。他們還表示����,對于CMMC計(jì)劃國防部正在緩慢地推進(jìn),并強(qiáng)調(diào)CMMC要到2026年才能全面實(shí)施��。
