CMMC分包商与服务提供商
国防承包商正在为其系统迎接即将到来的网络安全成熟度模型认证(CMMC)推行做准备,但他们可能没有考虑到,他们与分包商和外部服务提供商(ESPs)(包括云服务提供商)的关系可能会导致他们不符合CMMC要求。
同样,各种各样的IT和信息安全采购、支持、托管服务、人员扩充和云服务提供商可能没有意识到,基于他们代表客户处理的信息,CMMC适用于他们的服务,如果他们无法证明符合CMMC,则可能会失去客户。
本文将帮助承包商(在CMMC中称为寻求评估的组织)理解CMMC如何适用于他们的分包商和外部服务提供商。它也将帮助服务提供商理解CMMC如何适用于他们以及他们客户的期望是什么。
TrustedSec是一家CMMC注册从业者组织(RPO),可以帮助承包商、分包商和服务提供商理解他们是否在CMMC下有义务,并实施适当的解决方案以证明合规性。如果您需要任何帮助来理解您的合规计划并与客户或服务提供商互动,请与我们联系。
关注点
这篇文章的灵感来自于我在帮助承包商和服务提供商实现CMMC合规时反复遇到的五个基于误解的担忧:
- 承包商可能不理解分包商和外部服务提供商之间的区别。
- 承包商和外部服务提供商可能没有意识到,由于处理SPD,有多少不同类型的IT和信息安全服务将属于CMMC的范围。
- 承包商和外部服务提供商可能没有意识到,如果外部服务提供商没有自愿进行CMMC认证评估,每个承包商必须将其外部服务提供商纳入承包商CMMC评估的范围。
- 承包商和云服务提供商可能没有意识到,处理SPD但不处理CUI的云服务提供商需要实施CMMC要求,而不是FedRAMP要求,并且这些要求彼此不同。
- 承包商和云服务提供商可能没有意识到,如果云服务提供商没有FedRAMP授权,为了证明FedRAMP合规性,云服务提供商需要向其客户提供大量敏感的安全信息。
每一个都提出了一个挑战,承包商和外部服务提供商应该在审计前充分理解和解决,以避免破坏承包商和服务提供商的关系。
概述
承担任何CMMC级别的CMMC义务的承包商负责在适用时将CMMC要求传递给分包商,并在执行分包合同之前验证分包商的CMMC合规性。
CMMC 2级和3级的承包商在验证支持承包商IT和/或网络安全运营的第三方(在CMMC中称为外部服务提供商)满足适用的CMMC或FedRAMP要求之前,也不能被视为CMMC合规。
应注意区分分包商和外部服务提供商。虽然分包商和外部服务提供商都有CMMC合规义务,但施加这些义务的方式不同。
还应注意区分外部服务提供商处理的信息类型(CUI与SPD)和提供的服务类型(云与非云),因为这两者都会影响施加给外部服务提供商的合规义务的类型和范围。
以下流程图显示了所有分包商和外部服务提供商的CMMC适用性和要求。本流程图中的概念将在本文中详细分解。
[下载流程图 PDF]
分包商 vs 外部服务提供商
理解CMMC中分包商和外部服务提供商之间的区别对于确定第三方是否受DFARS 252.204-7021(f)中的CMMC分包条款约束,或受32 CFR 170.19(c)(2)(i)(针对2级)和32 CFR 170.19(d)(2)(i)(针对3级)中的CMMC外部服务提供商要求约束是必要的。
分包商在48 CFR 3.502-1中正式定义,而外部服务提供商在32 CFR 170.4(b)中定义。冒着过度简化这些定义的风险:
- 分包商 通过提供物资、材料、设备或服务,直接支持政府主合同交付物的创建。
- 外部服务提供商 通过外部人员、技术或设施支持承包商的IT和/或网络安全运营。
如果第三方直接贡献于合同交付物,则应被视为分包商。只有提供IT和/或网络安全服务(包括云服务)的第三方才应被视为外部服务提供商。不符合这两个定义中任何一个的第三方既不是分包商也不是外部服务提供商,CMMC不适用。
[下载流程图 PDF]
分包商要求
在分包时,承包商必须根据DFARS 252.204-7021(f)(1)的规定,将完整的DFARS 252.204-7021 CMMC条款插入分包合同中。
将合规条款下传给分包商对于将受CMMC约束的承包商来说不应是一个新概念。国防承包商应该已经根据FAR 52.204-21(c)和DFARS 252.204-7012(m)的规定,在其分包合同中接收并包含FAR 52.204-21 FCI保护条款和DFARS 252.204-7012 CUI保护条款。CMMC补充但不取代这些条款,因此这些义务在未来合同中也将保留。
CMMC条款的不同之处在于,要求承包商根据下传给分包商的信息,对分包商施加适当的CMMC级别和评估类型,如下表所示(基于32 CFR 170.23),即使这与施加给承包商的要求不同。
| 下传给分包商的最高级别信息 | 传递给分包商的CMMC要求 |
|---|---|
| 根据具有3级(DIBCAC)要求的合同收到的CUI | 2级(C3PAO) |
| 根据具有2级(C3PAO)要求的合同收到的CUI | 2级(C3PAO) |
| 所有其他CUI,例如,根据具有2级(自我)要求的合同收到的CUI | 2级(自我) |
| FCI | 1级(自我) |
虽然分包商将负责实施他们自己的CMMC计划,但承包商仍必须根据DFARS 252.204-7021(f)(2)的规定,在授予分包合同之前确保其分包商在适当的级别拥有CMMC自我评估或证书。
外部服务提供商要求
外部服务提供商的适用性
当外部服务提供商的资产代表受CMMC 2级和/或3级要求约束的国防承包商处理、存储或传输CUI和/或SPD时,CMMC适用于该外部服务提供商。
仅受CMMC 1级要求约束的国防承包商不需要将外部服务提供商视为其CMMC合规范围的一部分(根据国防部估计,这代表了大约63%的国防承包商)。不确定可能适用于他们的CMMC级别的承包商可以查看我们之前关于国防承包商CMMC级别和评估要求的帖子。
即使在CMMC 2级和3级,CMMC外部服务提供商要求也仅在外部服务提供商处理、存储或传输CUI和/或SPD时适用。本文包含了对不熟悉CUI和SPD的组织的解释。
[下载流程图 PDF]
CMMC适用的外部服务提供商示例包括:
- 承包商用于处理、存储或传输CUI的云服务
- 承包商用于处理、存储或传输SPD的云服务
- 从CMMC 2级或3级环境摄取日志(SPD)的托管SIEM和/或SOC服务
- 收集CMMC 2级或3级环境漏洞状态信息(SPD)的漏洞扫描和渗透测试服务
- 访问CMMC 2级或3级环境的日志、配置和漏洞信息(均为SPD)的事件响应和/或取证团队
- 拥有访问CMMC 2级或3级环境密码(SPD)的报告支持、服务台和/或vCISO服务
- 处理配置信息(SPD)以在CMMC 2级或3级环境中配置和安装工作站、服务器、网络设备和/或软件的采购服务
- 处理支持CMMC 2级或3级环境的基础设施的配置信息(SPD)的基础设施即服务产品
国防部《CMMC要求的技术应用》幻灯片包含了关于范围内服务提供商类型的更多有用信息。
外部服务提供商义务
外部服务提供商需要根据处理的信息类型和提供的服务类型(如下所述)实施适用的CMMC和/或FedRAMP要求。外部服务提供商还需要通过出示FedRAMP授权或等效物、CMMC证书,或作为承包商CMMC评估的一部分,向承包商证明其符合适当的CMMC和/或FedRAMP要求。
CMMC要求所有外部服务提供商向其客户提供服务描述和客户责任矩阵。建立承包商和外部服务提供商关系的第一步是分享并商定这些文件。
服务描述应该是对服务功能的直接描述。客户责任矩阵应描述外部服务提供商及其客户就所提供服务各自承担的责任。
客户责任矩阵的典型格式是列出每个CMMC控制项,显示每一方对每个控制项的责任,并描述这些责任如何适用。有些要求可能完全由外部服务提供商处理,有些可能仍然是承包商的专属责任,有些可能是双方共同的责任。对于共享的控制项,通常需要额外的澄清描述来说明每一方责任的范围。请记住,每一方必须对每一个适用的CMMC要求负责。不能仅仅因为双方都不想承担责任而认为某个要求不适用。
下表是一个假设服务的客户责任矩阵中可能包含的几行示例:
| CMMC 要求名称 | CMMC 要求 | 责任方 | 说明 |
|---|---|---|---|
| RA.L2-3.11.1 | 定期评估组织运营(包括任务、职能、形象或声誉)、组织资产和个人因组织系统的运行以及相关的CUI处理、存储或传输而产生的风险。 | 共享 | 服务提供商每年使用NIST SP 800-30方法,对服务提供商运营、资产和个人因处理、存储和传输CUI而产生的风险进行评估。客户负责定义连接到该服务的客户系统的风险评估方法和频率,并根据定义执行该风险评估。 |
| RA.L2-3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现影响这些系统和应用程序的新漏洞时进行扫描。 | 服务提供商 | 服务提供商每月对CMMC范围内的所有系统和应用程序进行漏洞扫描。在收到新漏洞签名可用的警报后24小时内,对范围内的系统和应用程序进行额外扫描。扫描结果在扫描完成后1个工作日内提供给客户。 |
| RA.L2-3.11.3 | 根据风险评估修复漏洞。 | 客户 | 客户负责对扫描和其他来源识别的漏洞进行风险评估,并根据风险优先处理和修复系统内的漏洞。 |
承包商义务
承包商需要确保其外部服务提供商符合下文解释的适用CMMC或FedRAMP要求。在外部服务提供商也满足其合规义务之前,承包商不被视为CMMC合规。
承包商还需要在其系统安全计划中记录其与外部服务提供商及其服务的关系。SSP应包含足够的细节,以明确承包商和外部服务提供商(如外部服务提供商的客户责任矩阵所支持)如何满足每个CMMC要求。这个TrustedSec网络研讨会可以帮助组织理解如何创建SSP。
重要的是要注意,根据CMMC评估程序,连接到外部服务提供商产品或服务的承包商资产仍属于CMMC范围,例如,如果外部云服务代表承包商处理CUI,则连接到该云服务的承包商工作站属于CMMC范围。连接到外部服务提供商的承包商资产必须在SSP中记录并使之合规。
确定外部服务提供商要求
承包商必须根据CMMC施加给外部服务提供商的具体合规义务取决于两件事:
- 外部服务提供商是处理CUI还是仅处理SPD?
- 外部服务提供商是云服务提供商吗?
这些问题的答案导致了以下合规场景,每个场景在下面都有更详细的解释:
| 信息和服务类型 | 适用要求 | 证明合规性 |
|---|---|---|
| 处理CUI(可能也处理SPD)的云服务提供商 | FedRAMP Moderate(或更高)基线 | 向承包商提供FedRAMP授权或等效物 |
| 处理CUI(可能也处理SPD)的非云服务提供商 | 对所有CUI资产、承包商风险管理资产、专用资产和安全保护资产适用适当CMMC级别的CMMC要求 | 向承包商提供CMMC证书或纳入承包商的CMMC评估 |
| 处理SPD(但不处理CUI)的非云服务提供商 | 对所有安全保护资产适用适当CMMC级别的CMMC要求 | 向承包商提供CMMC证书或纳入承包商的CMMC评估 |
| 处理SPD(但不处理CUI)的云服务提供商 | 对所有安全保护资产适用适当CMMC级别的CMMC要求 | 向承包商提供CMMC证书或纳入承包商的CMMC评估 |
| 任何不处理CUI或SPD的提供商 | 无 | 无 |
[下载流程图 PDF]
云与非云服务提供商
承包商和外部服务提供商需要理解什么被视为云服务,什么不是,以便应用正确的要求。不幸的是,这很大程度上是“我看到就知道了”的情况,但我们有一些信息可以帮助理解国防部认为什么是云服务。
CMMC在32 CFR 170.4(b)定义了云服务提供商。定义中识别云服务的一些关键点包括:
- 无处不在、便捷、按需访问
- 可配置计算资源的共享池
- 快速配置和释放,管理投入或服务提供商互动极少
这个定义留下了很多灰色地带,但国防部《CMMC要求的技术应用》幻灯片的第13页提供了一些更有用的云服务指标:
- 作为云产品(_aaS)营销的服务
- 作为订阅采购的服务
幻灯片还告诉我们什么不被视为云服务:
- 在托管设施或数据中心托管承包商的租赁或自有硬件
- 在外部服务提供商自己的系统上托管承包商的数据,类似于本地网络上的共享驱动器
- 配置承包商订阅的云服务的托管服务提供商
第14页还提供了关于管理云环境的托管服务提供商的一些有用信息:
- 当云租户是承包商订阅或许可时,即使托管服务提供商转售云服务,也不被视为云服务提供商。
- 如果托管服务提供商与另一个云服务提供商签约并进一步修改基本云服务(不仅仅是配置和维护服务),则被视为云服务提供商。
- 拥有云租户并将其细分供客户使用的托管服务提供商可能是云服务提供商,但也可以将服务描述为自己的系统,在这种情况下,他们可能被视为非云服务提供商。
处理CUI的云服务提供商的要求
代表受CMMC约束的承包商处理CUI的云服务提供商必须实施FedRAMP Moderate基线。这与DFARS 252.204-7012条款第(b)(2)(ii)(D)段中已经存在的要求相同,因此承包商应该已经在使用符合FedRAMP的云服务提供商来处理CUI。
请注意,仅需要FedRAMP Moderate基线,并且大多数CUI并不禁止离开美国。这意味着满足FedRAMP Moderate基线并使用离岸资源的“政府”级云服务通常足以满足CMMC云服务要求。只有当额外的特定保护或传播控制(例如“NOFORN”或“REL TO”)附加到CUI时,才需要通常满足FedRAMP High基线并使用国内地点和人员的“政府高级”服务。
请注意,一些CUI可能受到与CUI计划无关的其他要求的约束,这些要求可能规定比CUI计划要求更高级别的保护,例如ITAR和/或EAR出口管制。
另请注意,CMMC或DFARS 252.204-7012不要求FedRAMP授权。云服务只需要FedRAMP等效(如下所述)。
当云提供商处理CUI时,CMMC或NIST SP 800-171合规性不能替代FedRAMP合规性。要求很明确:云服务提供商特别需要FedRAMP Moderate或更高。
FedRAMP授权 vs 等效性
只有当云服务产品直接提供给美国政府部门时,才能获得FedRAMP授权。这意味着提供给政府承包商而不是政府本身的云服务产品无法获得FedRAMP授权。FedRAMP等效性的概念被创建出来,允许承包商使用不提供给政府部门的云服务产品。
适当基线的FedRAMP授权足以证明云服务产品满足处理CUI的CMMC要求。除了CMMC要求所有外部服务提供商提供的服务描述和客户责任矩阵外,不需要额外的信息。
没有FedRAMP授权的云服务产品将需要FedRAMP等效性。一份国防部备忘录概述了FedRAMP等效性的含义。云服务产品必须:
- 100%符合最新的FedRAMP Moderate安全基线
- 由FedRAMP认可的第三方评估组织(3PAO)评估为合规
拥有FedRAMP等效云服务产品的云服务提供商需要与其客户共享以下文件,称为证据体,以证明合规性:
- FedRAMP系统安全计划(SSP)
- FedRAMP安全评估计划(SAP)
- 由FedRAMP认可的3PAO执行的FedRAMP安全评估报告(SAR)
- FedRAMP行动计划与里程碑(POA&M)
许多云服务提供商可能不愿意与客户共享这些详细的安全信息,但为了证明合规性是必要的。在聘请云服务提供商之前,承包商应确定提供商是否拥有FedRAMP授权和等效性,并确认提供商愿意共享证明合规性所需的信息。
处理CUI的非云服务提供商的要求
代表受CMMC约束的承包商处理CUI的非云服务提供商必须实施适用于其代表承包商处理的CUI的CMMC级别的CMMC要求。
CMMC如何适用于外部服务提供商将取决于客户责任矩阵。一些外部服务提供商可能希望尽量减少他们自己的CMMC合规负担,并让承包商承担尽可能多的责任。其他外部服务提供商可能专门为他们的客户简化CMMC,并可能旨在承担尽可能多的责任。承包商在选择外部服务提供商时应考虑客户责任矩阵对其合规工作量的影响。
无论每个客户责任矩阵的细节如何,所有CMMC要求都必须在它们可能适用的任何地方得到满足。不能仅仅因为承包商或外部服务提供商都不想承担责任而使CMMC要求被视为不适用。
承包商有两种场景来证明其外部服务提供商的CMMC合规性:
- 服务提供商已自愿接受了由CMMC合同要求规定的适当级别和类型的CMMC认证评估
- 服务提供商未接受过CMMC认证评估
外部服务提供商不需要进行CMMC评估;但是,他们可以自愿这样做,以便更容易地向客户证明合规性。在这种情况下,外部服务提供商会向客户提供他们的CMMC证书,该证书必须与客户责任矩阵中定义的责任保持一致。
未提供CMMC证书的外部服务提供商在其客户的CMMC评估范围内。这对承包商和外部服务提供商都有负面影响:
- 承包商需要支付其C3PAO来评估其外部服务提供商对CMMC的合规性,除非承包商能够进行自我评估,在这种情况下,承包商必须花时间自行评估外部服务提供商的合规性。
- 拥有许多国防承包商客户的外部服务提供商将面临由C3PAO和自我评估客户独立评估其环境的旋转门。
- 许多外部服务提供商可能不愿意与客户和/或其客户的C3PAO共享支持独立评估所需的大量信息。
- 不同的C3PAO和进行自我评估的客户可能对CMMC要求有不同的解释,导致外部服务提供商在一个在先前评估中被发现合规的环境中挣扎“修复”所谓的合规问题。
评估外部服务提供商并非易事。NIST SP 800-171A和NIST SP 800-172A分别包含用于CMMC 2级和3级评估的评估程序。评估包括检查各种政策和程序、访谈人员以及测试环境以确保每个要求的特定评估目标到位。
承包商应强烈考虑选择或转向已经自愿进行了自己的CMMC认证评估的外部服务提供商,以避免独立评估肯定会带来的成本和麻烦。同样,计划与许多国防承包商合作的外部服务提供商应强烈考虑自愿进行自己的CMMC认证评估,以避免重复评估的麻烦,并使其服务更容易向客户推销。
外部服务提供商需要意识到CMMC范围的广泛性。CMMC适用于处理、存储或传输CUI的资产,以及未与CUI资产物理或逻辑分离的任何其他资产(称为承包商风险管理资产),以及向CMMC范围内的资产提供安全功能或能力的资产(称为安全保护资产),详见32 CFR 170.19(c)(1)(针对CMMC 2级)和32 CFR 170.19(d)(1)(针对CMMC 3级)。
处理SPD(但不处理CUI)的非云服务提供商的要求
处理SPD但不处理CUI的外部服务提供商的要求与上述处理CUI的非云外部服务提供商的要求几乎相同,仅在CMMC范围和适用性上存在细微差别:只有外部服务提供商代表其CMMC客户处理SPD的系统需要符合与服务提供的能力相关的CMMC要求,并将作为安全保护资产进行评估。
由于环境中没有CUI,上述与CUI处理相关的范围蔓延问题和要求将不适用于外部服务提供商。
处理SPD(但不处理CUI)的云服务提供商的要求
处理SPD但不处理CUI的云服务提供商的要求与上述专门处理SPD的非云服务提供商的要求相同(通过自愿认证或客户的独立评估来证明安全保护资产符合CMMC)。
虽然这看起来很简单,但有一个问题:大多数与美国政府及其承包商打交道的云服务提供商都专注于FedRAMP合规性,而不是CMMC合规性。
我担心许多承包商和云服务提供商可能没有意识到处理CUI的云提供商(FedRAMP合规)与专门处理SPD的云提供商(CMMC合规)的要求之间存在差异。承包商需要意识到,接受仅处理SPD的云服务提供商的FedRAMP文档很可能导致在C3PAO评估中出现不受欢迎的意外,因为CMMC评估程序没有提到允许使用FedRAMP授权或等效物来代替CMMC本身的合规性。
计划代表国防承包商处理SPD的云服务提供商应确保他们已实施了CMMC 2级,以及必要时3级的要求。与其他外部服务提供商一样,云服务提供商可能会发现,自愿获得CMMC证书比接受多次独立的客户评估要省力。
为一些承包商处理CUI并专门为其他承包商处理SPD的云服务提供商需要确保他们同时符合FedRAMP和CMMC的细微差别,以满足所有客户的需求。尽管CMMC和FedRAMP都源自NIST SP 800-53标准,但CMMC要求并不直接映射到FedRAMP。
分包商和外部服务提供商尽职调查
没有处理过包含FAR 52.204-21(FCI保护)、DFARS 252.204-7012(CUI保护)或DFARS 252.204-7021(CMMC)合同条款(包括未实施FedRAMP和/或CMMC的云提供商)的合同的分包商和外部服务提供商可能没有准备好证明合规性,或者可能不愿意共享证明合规性所需的必要信息。
承包商应考虑他们将如何处理与分包商和外部服务提供商的CMMC合规性,并在与任何CMMC将适用的组织签订合同之前进行尽职调查。这可能包括审查现有关系,如果CMMC要求将适用于DFARS 252.204-7012要求以前未适用的分包商和外部服务提供商。一些问题包括:
- 服务描述和客户责任矩阵是否适合承包商的需求?
- 分包商或外部服务提供商是否有CMMC证书或FedRAMP授权或等效物?
- CMMC证书或FedRAMP授权/等效物是否适合所处理的服务和信息类型(处理CUI的云服务产品用FedRAMP,其他用CMMC)?
- CMMC证书或FedRAMP授权/等效物的范围是否涵盖所提供的系统或服务?
- CMMC证书或FedRAMP授权/等效物是否在有效期内?
- CMMC证书或FedRAMP授权/等效物是否处于适当的CMMC级别或基线?
- 分包商或外部服务提供商是否满足适用于CUI的其他适用的类别和/或有限传播控制(例如,数据驻留)的保护要求?
- 分包商或外部服务提供商是否满足适用于信息的CUI计划之外的其他要求,例如ITAR和/或EAR出口管制要求?
- 承包商是否愿意接受将没有CMMC证书的外部服务提供商纳入承包商自己的CMMC评估所带来的成本和风险?
- 承包商是否愿意支付评估外部服务提供商的费用,还是要求外部服务提供商承担自己的评估成本?
- 外部服务提供商是否愿意在评估期间共享必要的信息和访问权限以证明CMMC合规性?
- 外部服务提供商是否已经实施了所需的CMMC控制措施?
- 外部服务提供商之前是否代表其他客户通过了CMMC评估?
- 如果外部服务提供商未通过CMMC评估,承包商的计划是什么?
- 承包商是否愿意等待分包商或外部服务提供商变得合规?
- 分包商或外部服务提供商变得合规的时间表是什么?
- 如果分包商或外部服务提供商未能按时变得合规,承包商的计划是什么?
信息定义
CUI
CMMC 2级和3级的范围基于CUI的存在,因此具有2级或3级要求的承包商应该已经熟悉了这些信息如何流经他们的环境,包括是否由外部服务提供商处理。
对于不熟悉CUI的服务提供商:这是政府部门由于适用于特定定义信息类别的法律、法规或全政府政策而必须保护或控制其传播的信息。收到CUI的政府承包商有合同义务代表政府保护和控制CUI的传播。CMMC是一个审计计划,以确保承包商履行这些义务。
识别CUI应该很容易:在CUI离开政府控制之前,必须对其应用标准化的标记,并且创建CUI的承包商会收到政府指示应用标准化标记。不幸的是,一些承包商对什么是CUI以及何时应用标记感到困惑,因此标记错误或未标记的文件在供应链中流传。请参阅我们之前关于处理未标记和标记错误的CUI的帖子,了解更多关于如何识别合法CUI的信息。
SPD
SPD在32 CFR 170.4(b)中定义为(稍微简化)用于保护承包商CMMC范围内的环境的数据。这包括任何与安全相关的信息,定义中明确列出以下内容为SPD:
- 操作范围内的安全保护资产所需的配置数据
- 由范围内的安全保护资产生成或摄取的日志文件
- 范围内资产的配置状态
- 范围内资产的漏洞状态
- 授予对范围内环境的访问权限的密码