BTYÖN’ün alanında uzman bilgi güvenliği danışmanları, CMMC sürecinizde ihtiyaç duyduğunuz ön analiz, danışmanlık ve sertifikasyona hazırlık süreçlerinizde destek vermektedir.
Küreselleşen dünya, gelişen teknoloji, artan internet kullanımı, siber tehditlerin boyutunun artması, siber saldırıların kişisel ve kurumsal düzeyde etkilerinin olması nedeniyle günümüzde kurumların bilgi güvenliğini sağlamak için yaygın olarak kullandığı standartların başında ISO 27001 Standardı gelir.
Bilgi güvenliğine yönelik tehditlerinin artması bazı sektörler için sektöre özel farklı bilgi güvenliği yönetimi modellerini ortaya çıkarmıştır.
Bunlardan biri de ABD Savunma Bakanlığı (DoD) tarafından savunma sanayi sektörüne özel olarak geliştirilen “Cybersecurity Maturity Model Certification-CMMC” olarak belirtilen süreçte yer alan siber güvenlik olgunluk modelidir. CMMC, savunma sanayi tedarik zincirinde yer alan şirketlerin, hassas bilgilerini korumak için siber güvenlik uygulamalarını yerine getirip getirmediğini değerlendirir. Bilgi güvenliğini artırarak, ulusal güvenliği tehdit eden siber saldırı risklerini azaltmayı hedefler.
CMMC olgunluk modeline, Savunma Bakanlığı'nın yüklenicileri, alt yüklenicileri ve sağlayıcılarının uyması gerekmektedir. Uygulama takvimine göre 1.10.2025 tarihinden itibaren ABD Savunma Bakanlığı’na bağlı projelerde ana veya alt tedarikçi statüsünde olan tüm kuruluşların CMMC modelini uygulamaları zorunluluk arz etmektedir. CMMC 2.0, 2025 yılı itibarıyla tam uygulamaya geçmeyi hedeflemektedir. Özellikle ABD Savunma Bakanlığı ile çalışan şirketlerin bu modele uyum sağlaması zorunludur.
Amerika Birleşik Devletleri Savunma Bakanlığı (DoD) ile çalışan veya tedarik zincirinde yer alan şirketleri CMMC'ye uyum sağlamak zorundadır.
·DoD ile doğrudan veya dolaylı olarak çalışan şirketler, taşeronlar, veya hizmet sağlayıcılar.
· Silah sistemleri üreten şirketler.
· Savunma teknolojisi geliştiren yazılım firmaları.
· DoD için malzeme, ekipman, veya hizmet sağlayan lojistik firmaları.
· Alt yükleniciler, küçük işletmeler, üretim şirketleri, veri işleme hizmetleri gibi doğrudan DoD ile çalışmasa bile tedarik zincirine katkı sağlayan tüm firmalar.
CMMC, önceki versiyonda 5 seviyeden oluşuyordu. CMMC 2.0, eski versiyona kıyasla daha basitleştirilmiş ve üç olgunluk seviyesine indirgenmiştir.
CMMC, önceki versiyonda 5 seviyeden oluşuyordu. CMMC 2.0, eski versiyona kıyasla daha basitleştirilmiş ve üç olgunluk seviyesine indirgenmiştir.
Seviye 1: Foundational (Temel)
Temel siber hijyen uygulamalarıdır. NIST SP 800-171 standardına dayalı 17 güvenlik kontrolünü içerir. Federal Contract Information (FCI) ile çalışan şirketler için geçerlidir. Bu seviyede, kuruluşlar genellikle kendi kendilerini değerlendirme yapabilir.
Seviye 2: Advanced (İleri)
Daha sıkı güvenlik uygulamaları ve organizasyonel süreçlerdir. NIST SP 800-171 standardına dayalı 110 güvenlik kontrolünü içerir. Controlled Unclassified Information (CUI) ile çalışan şirketler için uygundur. Bu seviye için üçüncü taraf bir denetçi tarafından doğrulama gerekir. Dış denetimlere (üçüncü taraf sertifikasyon) veya belirli durumlarda kendi kendine değerlendirmelere tabi tutulur.
Seviye 3: Expert (Uzman)
En gelişmiş güvenlik kontrollerini içerir. Savunma Bakanlığı tarafından özel sistemler için gereklidir. NIST SP 800-172 standardına dayalı 134 güvenlik kontrolünü içerir. DoD tarafından yapılan bir değerlendirme gerektirir.
CMMC seviyeleri birbirinin üzerine inşa edilerek uygulanmaktadır. Bu nedenle, Seviye 3 için, Seviye 1, Seviye 2 ve Seviye 3 gereklilikleri yerine getirilmelidir.
CMMC’nin başlıca faydalar şunlardır:
Güvenlik Düzeyini Artırır: CMMC, şirketlerin siber güvenlik önlemlerini belirli bir standartta tutmasını sağlar. Bu da şirketlerin hem kendilerini hem de müşteri verilerini siber tehditlerden daha iyi korumasına yardımcı olur.
Savunma Sektörüyle İşbirliğini Sağlar: CMMC uyumu, özellikle ABD Savunma Bakanlığı ile çalışmak isteyen şirketler için bir zorunluluktur. Bu sertifika, şirketlerin savunma projelerinde yer alabilmesi yardımcı olur.
Tedarik Zincirini Güçlendirir: Tedarik zincirinde yer alan tüm tarafların aynı güvenlik standartlarına uymasını sağladığı için genel güvenlik seviyesi artar ve bilgi sızıntıları engellenir.
Rekabet Avantajı Sağlar: CMMC sertifikası, şirketlerin güvenlik standartlarına bağlılıklarını gösterir. Bu da rekabet avantajı kazandırarak müşterilerin ve iş ortaklarının güvenini artırır.Risk Yönetimini İyileştirir: CMMC’nin gerekliliklerini yerine getirmek, şirketlerin risklerini daha iyi anlamasına ve bu risklere karşı daha etkili önlemler almasına olanak tanır.
Mevzuatlara Uyum Sağlar: CMMC uyumu, diğer yasal ve düzenleyici gerekliliklere uyumu kolaylaştırır, bu sayede şirketlerin hukuki yükümlülüklerini yerine getirmesi daha sistematik bir hale gelir.
Uzun Vadeli Maliyetleri Azaltır: Güvenlik ihlalleri genellikle yüksek maliyetlere yol açar. CMMC uyumluluğu, proaktif önlemler alarak ihlallerin önüne geçer ve uzun vadede maliyet tasarrufu sağlar.
CMMC Danışmanlık Hizmeti
BTYÖN’ün alanında uzman bilgi güvenliği danışmanları, CMMC sürecinizde ihtiyaç duyduğunuz ön analiz, danışmanlık ve sertifikasyona hazırlık süreçlerinizde destek vermektedir.
CMMC (Cybersecurity Maturity Model Certification) danışmanlığı, özellikle ABD Savunma Bakanlığı (DoD) ile sözleşmeleri olan organizasyonların siber güvenlik gereksinimlerini karşılamasına yardımcı olan bir hizmettir. CMMC danışmanlığı, bu gereksinimlerin yerine getirilmesi için çeşitli adımları içerir ve aşağıdaki hizmetleri kapsar:
1. CMMC Düzey Analizi: İşletmenizin mevcut siber güvenlik uygulamalarını değerlendirerek hangi CMMC düzeyine ulaşması gerektiği belirleriz.
2. Hazırlık ve Uyum Planı Oluşturma: Mevcut güvenlik politikalarını gözden geçirir, iyileştirmeler önerir ve CMMC gereksinimlerini karşılamak için bir yol haritası oluştururuz.
3. Siber Güvenlik Değerlendirmesi: İşletmenizin mevcut siber güvenlik önlemleri, prosedürleri ve altyapısıı inceler, zayıf noktalarınızı belirler ve iyileştirme için önerilerde bulunuruz.
4. Eğitim ve Farkındalık Programları: Çalışanlar için CMMC gereksinimlerine uygun siber güvenlik eğitimleri düzenleriz. Bu, işletmenizin güvenlik kültürünü güçlendirmeye yardımcı olur.
5. Dokümantasyon ve Politikaların Hazırlanması: CMMC gereksinimlerini karşılamak için gerekli politikarı ve prosedürleri oluştururuz. İşletmenizin siber güvenlik süreçleri yazılı hale getiririz.
6. Uygulama ve Entegrasyon Desteği: Güvenlik önlemlerinin ve süreçlerinin uygulanması sürecinde teknik destek sağlarız. Bu, yazılım, altyapı iyileştirmeleri ve güvenlik çözümlerinin entegrasyonunu içermektedir.
7. Sürekli İzleme ve İyileştirme: CMMC gereksinimlerine uyum sağlandıktan sonra, bu uyumun sürdürülebilirliğini sağlamak için sürekli izleme ve raporlama yaparız.
8. Denetim ve Sertifikasyon Süreci Desteği: Organizasyonun CMMC sertifikası alabilmesi için gerekli denetim süreçlerinde rehberlik ve destek sağlarız.