Oracle Government Cloud udržuje autorizaci FedRAMP High, která ověřuje mnoho ovládacích prvků, které vyžaduje certifikace kybernetického zabezpečení Maturity Model Certification (CMMC). Posouzené a autorizované kontroly OCI můžete použít k prokázání svého vlastního bezpečnostního postoje, čímž snížíte úsilí o akreditaci vašeho celkového řešení. Oracle Cloud Infrastructure (OCI) s potěšením oznamuje novou sadu nástrojů, které vám pomohou splnit požadavky na sebehodnocení CMMC 2.0 úrovně 1.
Co je CMMC 2.0?
CMMC 2.0 je nový akreditační standard, který se vztahuje na komerční subjekty nabízející zboží nebo služby americkému ministerstvu obrany (DoD). Současný model CMMC je navržen tak, aby chránil federální smluvní informace (FCI) a kontrolované neutajované informace (CUI) sdílené s dodavateli a subdodavateli ministerstva obrany. Sjednocuje několik bezpečnostních standardů a je odstupňován na základě citlivosti informací, se kterými se zachází, s následujícími úrovněmi:
- Základní
- Pokročilý
- Expert
Pokyny společnosti Oracle CMMC 2.0 jsou založeny na informacích DoD (naleznete je na https://dodcio.defense.gov/CMMC/) a jsou aktuální k prosinci 2021. Dokud změny CMMC 2.0 nevstoupí v platnost prostřednictvím titulu 32 CFR a titulu 48 CFR procesy tvorby pravidel, ministerstvo obrany USA pozastaví pilotní úsilí CMMC a neschválí zahrnutí požadavku CMMC do žádostí ministerstva obrany. Požadavky programu CMMC 2.0 nebudou povinné, dokud nebude dokončena tvorba pravidel CFR hlavy 32 a dokud nebudou požadavky programu CMMC implementovány podle potřeby do regulace akvizice prostřednictvím tvorby pravidel hlavy 48.
CMMC 2.0 úrovně 1 je dosaženo prostřednictvím sebehodnocení, zatímco úrovně 2 a 3 vyžadují přezkoumání schválenou třetí stranou hodnotící organizací (3PAO). Úroveň 1 se vztahuje na společnosti, které jsou povinny chránit pouze informační systémy, ve kterých se FCI zpracovává, ukládá nebo přenáší, a na podmnožinu společností, které jsou povinny chránit CUI.
Nástroje Oracle, které mohou pomoci
Ke snížení nákladů na splnění požadavků CMMC 2.0 vyvinula společnost OCI sadu nástrojů, které pomáhají DIB. Tyto nástroje jsou navrženy tak, aby zákazníkům pomáhaly s ovládacími prvky, které vlastní nebo sdílejí s OCI. Staví na kontrolách auditovaných organizacemi pro hodnocení třetích stran (3PAO), které vlastní OCI, pro naše nabídky infrastruktury jako služby (IaaS) a platformy jako služby (PaaS), které mají autorizaci FedRAMP High JAB.
Následující nástroje mohou zjednodušit cestu k CMMC Level 1:
- OCI nabízí vrstvené bezpečnostní nástroje, které nahrazují mnoho vládních požadavků a splňují směrnice FedRAMP. Tyto nástroje poskytují vylepšená autorizační řešení, která pomáhají DIB při dosahování jejich vlastní certifikace CMMC.
- Společnost OCI vydala přistávací zónu Coud Native Secure Cloud Computing Architecture (SCCA), která předkonfiguruje nájem tak, aby splňoval požadavek DoD pro SCCA. I když byl tento nástroj SCCA vytvořen pro americké ministerstvo obrany, je nyní k dispozici všem zákazníkům OCI. SCCA využívá nativní služby OCI, které zmírňují potřebu pořizovat nebo instalovat aplikace třetích stran pro zahájení vládního certifikačního procesu. Cloudová nativní přistávací zóna SCCA vám může pomoci splnit mnoho požadavků CMMC 2.0, jak je uvedeno v Secure Cloud Computing Architecture (SCCA) až NIST 800 Controls Mapping Guide.
- Průvodce CMMC úrovně 1 začíná autorizací OCI FedRAMP a vrstvami nad tím SCCA, abyste vytvořili průvodce krok za krokem, který můžete použít k identifikaci, které kontroly OCI dosáhl a jak stavět na kontrolách, které s vámi OCI sdílí. ve vašem nájmu. Průvodce popisuje každý ovládací prvek, vysvětluje, co to je, a poté vám nabízí metody, jak vyhovět každému ovládacímu prvku, protože se vztahuje na váš jedinečný nájem a služby v něm zabudované. Tento nástroj také doporučuje další technologie Oracle, které mohou pomoci splnit každý požadavek.
- Kontrolní seznam CMMC můžete použít k dokumentaci svého přístupu k úrovni 1 CMMC. Kontrolní seznam 17 kontrol CMMC identifikuje, kterých OCI dosáhl. Pro všechny sdílené ovládací prvky máme sadu otázek, které vám pomohou určit, jak jednotlivé ovládací prvky splňují. Poté, co byla řešení identifikována a implementována, můžete dokument použít jako důkaz k dokončení sebehodnocení CMMC úrovně 1.
Co bude dál?
CMMC 2.0 není akreditací, kterou může poskytovatel cloudových služeb (CSP) PaaS nebo IaaS dosáhnout sám, protože CSP není odpovědný za všechny kontroly, které CMMC 2.0 vyhodnocuje. Oracle vám však může pomoci dosáhnout akreditace CMMC 2.0 tím, že nabídne cloudové služby s určitými prokázanými a ověřenými ovládacími prvky.
Oracle Cloud for Government je vynikající platforma pro hostování služby nebo organizace, která požaduje shodu s CMMC 2.0. Oracle má vyhrazený tým a zavedené zdroje připravené na podporu vaší migrace a pomoci vám dosáhnout vašich akreditačních cílů.
Zdroj: Oracle