Wie man einen SSP (System-Sicherheitsplan) für die Cyber-Kontinuität eines Unternehmens vorbereitet und schreibt
Der CMMC 2.0-Zertifizierungsprozess erfordert, dass Sie einen SSP (System Security Plan) erstellen und befolgen.
Aber damit sollten Sie nicht anfangen!
Sehen Sie sich das nachstehende Diagramm an.

Ihr erster Schritt ist die Identifizierung aller Risiken gemäß NIST 171 und NIST 172 und Ihrer CMMC 2.0-Stufe (Stufe 1, 2 oder 3).
Wenn Sie nur die Stufe 1 des CMMC 2.0 einhalten müssen, werden Sie weniger Risiken identifizieren, weil Sie weniger der Anforderungen von NIST 171 und NIST 172 erfüllen müssen (nur 15).
Im Gegensatz zu den 15 Anforderungen auf Stufe 1 müssen Sie auf Stufe 2 110 und auf Stufe 3 134 Anforderungen erfüllen!

Um Ihren Systemsicherheitsplan zu erstellen, benötigen Sie zunächst die Ergebnisse Ihrer Risikobewertung.
Kloudwerk kann Ihnen bei der Durchführung eines solchen Risikobewertungsprozesses behilflich sein – nehmen Sie einfach Kontakt mit uns auf, um Ihre Bedürfnisse zu besprechen.
Der nächste Schritt nach der Risikobewertung ist der Prozess der Lückenanalyse. Sie zeigt die nicht erfüllten Anforderungen derjenigen auf, die Sie einhalten müssen.
Der SSP (System Security Plan), den Sie benötigen, ist zusammen mit dem Plan of Actions and Milestones (POA&Ms) alles, was Sie brauchen, um mit der Arbeit an Ihrem Implementierungsplan zu beginnen.
Der Implementierungsplan muss Ihre Geschäftsziele und die Dringlichkeit der Zertifizierung Ihrer Organisation für die Einhaltung von CMMC 2.0 berücksichtigen.
Wenn Sie innerhalb von 3 Monaten zertifizieren müssen, müssten Sie in den nächsten 2 Monaten täglich mehr arbeiten, als wenn Sie in einem Jahr zertifizieren müssten. Dies kann zu höheren Einstellungs- und Einkaufskosten führen, da einige Dienstleistungen und Produkte mehr kosten, wenn Sie sie in Eile kaufen müssen. Das Gleiche gilt für die Einstellung von Experten für Cybersicherheit.
Wenn Sie nur die Anforderungen der Stufe 1 erfüllen müssen, können Sie Ihren SSP selbst erstellen.
Sie können Ihren Umsetzungsplan auch selbst verfassen, wenn Ihr CMMC-Level 1 ist.
Wie Sie Ihren eigenen SSP (System-Sicherheitsplan) schreiben
Der erste Schritt zur Erstellung Ihres eigenen SSP ist die Auflistung aller CMMC-2.0-Anforderungen, die Sie noch nicht erfüllen.
Sie müssen diesen Prozess jedes Jahr wiederholen, auch wenn Sie alle Vorschriften einhalten.
Nachdem Sie die Liste erstellt haben, müssen Sie im nächsten Schritt die genauen Schritte angeben, die Sie und Ihr Team unternehmen müssen, um die einzelnen Anforderungen zu erfüllen.
Die Zugangskontrolle, der am stärksten betroffene Bereich von NIST 800-171 und CMMC 2.0 Level 1, umfasst beispielsweise die folgenden Kontrollen:
AC.1.001:AC.L1-3.1.1
Autorisierte Zugangskontrolle
Beschränkung des Zugriffs auf Informationssysteme auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder Geräte (einschließlich anderer Informationssysteme).
– FAR-Klausel 52.204-21 b.1.i
– NIST SP 800-171 Rev. 2 3.1.1
Wenn diese Anforderung in Ihrer Organisation nicht erfüllt ist, müssen Sie sie mit ihrer Kennung (AC.1.001:AC.L1-3.1.1) gemäß NIST 800-171 auflisten.
Dann müssen Sie verstehen, dass es sich bei dieser Kontrolle nicht um einen einfachen Punkt auf der Checkliste handelt, sondern um eine Praxis, die mehrere Elemente und Ereignisse für ihre Durchführung erfordert.
Tipp: Betrachten Sie jede Anforderung, die Ihr Unternehmen nicht erfüllt, als ein Projekt, nicht als einen Punkt.
Hier sind sie:
- Ihre Zugangskontrollmethoden und -praktiken sowie die Konsequenzen bei Nichteinhaltung müssen in Ihren Informationssicherheitsrichtlinien und -verfahren beschrieben werden. Die haben Sie doch, oder?
- Sie müssen nachweisen können, dass Sie Ihre Vermögenswerte – sowohl physische als auch digitale – verfolgen können.
- Sie müssen über Nachweise für die Gewährung und den Entzug des Zugangs auf der Grundlage Ihrer Richtlinien und Verfahren verfügen.
- Sie müssen eine Liste von Benutzern haben.
- Sie müssen eine Liste der autorisierten Benutzer pro Asset und deren Zugriffsebene (Benutzer, Administrator, Hauptbenutzer usw.) haben.
Je nach der Art der Informationen, die Sie für das US-Verteidigungsministerium verarbeiten, und der Art der Projekte, die Sie durchführen, müssen Sie möglicherweise mit weit mehr als den fünf oben aufgeführten Punkten rechnen.
Ihr SSP muss alle Anforderungen enthalten, die Sie erfüllen müssen, sowie alle Schritte, die Sie planen, um etwaige Unstimmigkeiten zu beheben.
Sie müssen genau angeben, welche Fristen und Prioritäten Sie einhalten werden – zum Beispiel, welche Anforderung höhere Priorität hat und wer daran arbeiten wird.
Sie sollten auch die verfügbaren Ressourcen und Ihre Pläne zur Beschaffung zusätzlicher Ressourcen angeben, falls die vorhandenen Ressourcen nicht ausreichen, um das gesamte Projekt innerhalb des Zeit- und Kostenrahmens abzuschließen.