Für den Bau eines einzelnen F-22 Raptor-Flugzeugs sind Hunderte von Zulieferern mit Tausenden von Mitarbeitern erforderlich. Während das tatsächliche Verhältnis unbekannt ist, könnte jede dieser Personen Ziel eines identitätsbasierten Angriffs sein, was die Notwendigkeit eines proaktiven Umgangs mit Störungen verdeutlicht.
Vorschriften verpflichten das US-Verteidigungsministerium (DoD), seine Supply-Chain-Sicherheit auf vertragliche Dienstleister auszudehnen, denen sensible, nicht klassifizierte Informationen anvertraut werden, einschliesslich des Reifenherstellers des Kampfjets. Der Schutz dieser Informationen – sei es vor unsachgemäßer interner Verwaltung oder böswilligen Datenschutzverletzungen – ist unerlässlich, um die Nation zu verteidigen.
Die Cybersecurity Maturity Model Certification (CMMC) ist eine Compliance-Vorschrift, die, sobald sie durch eine Regelsetzung festgelegt ist, sicherstellen wird, dass DoD-Auftragnehmer und -Subunternehmer die geltenden Sicherheitsvorkehrungen gemäß DFARS 252.204-7012 und anderen Bewertungen von Cybersicherheitsprogrammen implementiert haben. Sie ist auch eine Bedingung für den Erhalt eines DoD-Auftrags.
Wie Okta Sie unterstützen kann
Oktas Kernaufgabe ist die Identitätssicherung. Daher unterstützen wir unsere Kunden natürlich auch bei der Erfüllung der CMMC-Vorgaben für Zugriffskontrolle (AC) und Identifizierung und Authentifizierung (IA). Okta unterstützt auch die anderen CMMC-Domänen und -Praktiken mit unserem offenen API-Framework, Anwendungsökosystem und Vertrauensframeworks für eine einfache Integration mit anderen Anbietern, die andere CMMC-Praktikenanforderungen unterstützen.
Siehe die folgende Tabelle für Informationen zu AC- und IA-CMMC-kritischen Domänen und wie Okta Kunden hilft, diese Anforderungen zu erfüllen.
|
Domain |
Level 1 |
Level 2 |
Wie Okta Sie unterstützen kann |
|
Zugriffskontrolle (AC) |
AC.L1-3.1.1 Autorisierte Zugriffskontrolle
Beschränken Sie den Zugriff auf Informationssysteme auf autorisierte Benutzer, Prozesse, die im Auftrag autorisierter Benutzer agieren, oder Geräte (einschließlich anderer Informationssysteme). |
Es ist ein formeller Zugriffsregistrierungs- und Erstbereitstellungsprozess für Mitarbeiter und autorisierte Dritte vorhanden, damit Okta Zugriffsrechte für alle Benutzertypen zu allen Systemen und Diensten gemäß den Richtlinien und Standards zuweisen kann. | |
|
AC.L1-3.1.2 Transaktions- und Funktionskontrolle
Beschränken Sie den Zugriff auf Informationssysteme auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | |||
|
AC.L2-3.1.3 Control CUI Flow Kontrollieren Sie den Fluss von CUI in Übereinstimmung mit genehmigten Autorisierungen. |
Die organisatorische Kommunikation und die Datenflüsse werden abgebildet und durchgesetzt. Methoden zur Datenermittlung können verwendet werden, um sensible Daten zu identifizieren, zu klassifizieren und zu verfolgen. Sensible Datenflüsse werden durch unternehmensdefinierte Richtlinien zur Informationskontrolle gesteuert. | ||
|
AC.L2-3.1.4 Aufgabentrennung Trennen Sie die Aufgaben der Einzelnen, um das Risiko böswilliger Aktivitäten ohne geheime Absprache zu verringern. |
Okta wendet das Prinzip der minimalen Rechtevergabe (Principle of Least Privilege) und die Funktionstrennung (Separation of Duties) an. Autorisierter Zugriff ist für Benutzer (oder Prozesse, die im Namen von Benutzern agieren) zulässig, die Aufgaben gemäß den Organisationszielen und Geschäftsfunktionen zugewiesen sind. | ||
|
AC.L2-3.1.5 Least Privilege Wenden Sie das Prinzip der geringsten Privilegien an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | |||
|
AC.L2-3.1.6 Verwendung von Konten ohne Berechtigungen Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | |||
|
AC.L2-3.1.7 Privilegierte Funktionen Verhindern Sie, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Auditprotokollen. |
Protokolle werden so konfiguriert, dass sie Aktionen erfassen, die speziell von Personen mit administrativen Benutzerrechten durchgeführt werden. Protokolle werden gesichert und überprüft, um missbräuchliche Konten zu identifizieren und zu erkennen. Diskrepanzen werden untersucht und behoben.
Der Zugriff privilegierter Benutzer wird auf kontrollierter Basis eingerichtet und verwaltet und ist auf das beschränkt, was für Benutzer und Dienste zur Erfüllung ihrer Aufgaben erforderlich ist. Privilegierten Benutzern wird ein dediziertes privilegiertes Konto zugewiesen, das ausschließlich für Aufgaben verwendet wird, die privilegierten Zugriff erfordern. | ||
|
AC.L2-3.1.8 Fehlgeschlagene Anmeldeversuche Beschränken Sie die Anzahl erfolgloser Anmeldeversuche. |
Sperrfunktionen sind aktiviert, um den Zugriff nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche oder Inaktivität des Benutzers einzuschränken. Das Konto wird für eine bestimmte Dauer gesperrt oder bis ein Administrator das Benutzerkonto freischaltet. Der Benutzer wird bei erfolgreicher/nicht erfolgreicher Anmeldung benachrichtigt. | ||
|
AC.L2-3.1.9 Datenschutz- und Sicherheitshinweise Stellen Sie Datenschutz- und Sicherheitshinweise bereit, die mit den geltenden CUI-Regeln übereinstimmen. |
Verarbeitungstätigkeiten personenbezogener Daten, die eine Einwilligung erfordern oder auf diese angewiesen sind, werden identifiziert, und es sind Prozesse vorhanden, um die Erhebung solcher Daten ohne Einwilligung zu verhindern. Es werden Mechanismen zur Einholung, Dokumentation, Verfolgung und Verwaltung der Einwilligung definiert und in Übereinstimmung mit den geltenden Vorschriften implementiert, einschließlich des Widerrufs der Einwilligung. | ||
|
AC.L2-3.1.10 Session Lock Verwenden Sie die Sitzungssperre mit Musterverdeckungsanzeigen, um den Zugriff und die Anzeige von Daten nach einer Inaktivitätsperiode zu verhindern. |
Sperrfunktionen sind aktiviert, um den Zugriff nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche oder Inaktivität des Benutzers einzuschränken. Das Konto wird für eine bestimmte Dauer gesperrt oder bis ein Administrator das Benutzerkonto freischaltet. Der Benutzer wird über die erfolgreiche/nicht erfolgreiche Anmeldung benachrichtigt. | ||
|
AC.L2-3.1.11 Beendigung von Sessions (Automatisches) Beenden einer Benutzersitzung nach einer definierten Bedingung. | |||
|
AC.L2-3.1.12 Remote-Zugriff steuern Überwachen und kontrollieren Sie Remote-Access-Sitzungen. |
Der Fernzugriff wird über einen von Okta genehmigten VPN-Client gesteuert, überwacht und ermöglicht. | ||
|
AC.L2-3.1.13 Vertraulichkeit des Fernzugriffs Nutzen Sie kryptografische Mechanismen, um die Vertraulichkeit von Remote-Access-Sitzungen zu schützen. | |||
|
AC.L2-3.1.14 Remote Access Routing Leiten Sie den Remote-Zugriff über verwaltete Zugriffskontrollpunkte. | |||
|
AC.L2-3.1.15 Privilegierter Fernzugriff Autorisieren Sie die Remote-Ausführung privilegierter Befehle und den Remote-Zugriff auf sicherheitsrelevante Informationen. | |||
|
AC.L2-3.1.16 Autorisierung für drahtlosen Zugriff Autorisieren Sie den drahtlosen Zugriff, bevor Sie solche Verbindungen zulassen. |
N/A | ||
|
AC.L2-3.1.17 Schutz des drahtlosen Zugangs Schützen Sie den drahtlosen Zugriff mithilfe von Authentifizierung und Verschlüsselung. |
N/A | ||
|
AC.L2-3.1.18 Verbindung mit Mobilgerät Steuerungsverbindung von Mobilgeräten. |
N/A | ||
|
AC.L2-3.1.19 Verschlüsseln Sie CUI auf Mobilgeräten Verschlüsseln Sie CUI auf mobilen Geräten und mobilen Computing-Plattformen. |
Okta schützt organisationsklassifizierte Datentypen im Ruhezustand durch Sicherheitskontrollen, einschliesslich Verschlüsselung und kryptografische Kontrollen, um die Sicherheitsstandards einzuhalten. | ||
|
AC.L1-3.1.20 Externe Verbindungen Überprüfen und steuern/beschränken Sie Verbindungen zu und die Nutzung von externen Informationssystemen. |
N/A | ||
|
AC.L2-3.1.21 Verwendung von tragbaren Speichermedien Beschränken Sie die Verwendung tragbarer Speichermedien auf externen Systemen. |
N/A | ||
|
AC.L1-3.1.22 Öffentliche Informationen kontrollieren Kontrollieren Sie Informationen, die in öffentlich zugänglichen Informationssystemen veröffentlicht oder verarbeitet werden. |
N/A | ||
|
Identifizierung und Authentifizierung (IA) |
IA.L1-3.5.1 Identifikation Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern agieren, oder Geräte. |
Sichere Authentifizierungsmethoden werden für den Zugriff auf Systeme und Anwendungen verwendet. | |
|
IA.L1-3.5.2 Authentifizierung Die Identität dieser Benutzer, Prozesse oder Geräte muss als Voraussetzung für den Zugriff auf die Informationssysteme der Organisation authentifiziert (oder verifiziert) werden. | |||
|
IA.L2-3.5.3 Multi-Faktor-Authentifizierung Verwenden Sie Multi-Faktor-Authentifizierung (MFA) für den lokalen und Netzwerkzugriff auf privilegierte Konten und für den Netzwerkzugriff auf nicht privilegierte Konten. |
Multifaktor-Authentifizierungsmethoden werden implementiert, sodass Mitarbeiter, Administratoren und autorisierte Dritte auf das Netzwerk und die Informationssysteme zugreifen können. | ||
|
IA.L2-3.5.4 Replay-Resistant Authentication Setzen Sie Replay-resistente Authentifizierungsmechanismen für den Netzwerkzugriff auf privilegierte und nicht privilegierte Konten ein. |
Sichere Authentifizierungsmethoden werden für den Zugriff auf Systeme und Anwendungen verwendet. | ||
|
IA.L2-3.5.5 Wiederverwendung von Kennungen Verhindern Sie die Wiederverwendung von Kennungen für einen definierten Zeitraum. |
N/A | ||
|
IA.L2-3.5.6 Identifier-Verarbeitung Deaktivieren Sie Kennungen nach einem bestimmten Zeitraum der Inaktivität. |
N/A | ||
|
IA.L2-3.5.7 Passwortkomplexität Erzwingen Sie eine Mindestkomplexität des Passworts und eine Änderung der Zeichen, wenn neue Passwörter erstellt werden. |
Passwortkonfigurationen werden in Übereinstimmung mit Branchen-, Regierungs- und anderen Compliance-Anforderungen erstellt, implementiert und durchgesetzt. Passwortverwaltungssysteme sind interaktiv und gewährleisten hochwertige Passwörter. | ||
|
IA.L2-3.5.8 Kennwortwiederverwendung Verhindern Sie die Wiederverwendung von Passwörtern für eine bestimmte Anzahl von Generationen. | |||
|
IA.L2-3.5.9 Temporäre Passwörter Erlauben Sie die Verwendung temporärer Passwörter für Systemanmeldungen mit einer sofortigen Änderung in ein permanentes Passwort. | |||
|
IA.L2-3.5.10 Kryptografisch geschützte Passwörter Passwörter nur kryptografisch geschützt speichern und übertragen. | |||
|
IA.L2-3.5.11 Unklares Feedback Verschleiern Sie das Feedback von Authentifizierungsinformationen. |
Sichere Authentifizierungsmethoden werden für den Zugriff auf Systeme und Anwendungen verwendet. |
Um mehr darüber zu erfahren, wie Okta Ihrem Unternehmen helfen kann, die CMMC-Anforderungen zu erfüllen, laden Sie unseren CMMC Discovery Guide unter https://www.okta.com/resources/datasheet-okta-cmmc-discovery-guide/ herunter oder kontaktieren Sie uns unter okta.com/contact-sales/.
Dieser Artikel behandelt zwar bestimmte Rechtskonzepte, stellt jedoch keine Rechtsberatung dar und ist nicht als solche auszulegen. Er wird nur zu Informationszwecken bereitgestellt. Für eine Rechtsberatung bezüglich der Compliance-Anforderungen Ihres Unternehmens wenden Sie sich bitte an die Rechtsabteilung Ihres Unternehmens. Okta übernimmt keine Zusicherungen, Gewährleistungen oder sonstigen Zusagen in Bezug auf den Inhalt dieses Artikels. Informationen zu den vertraglichen Zusicherungen von Okta gegenüber seinen Kunden finden Sie unter okta.com/agreements.
