6 Bí quyết vàng để bảo vệ an ninh vật lý theo chuẩn CMMC

Chữ C đầu tiên trong CMMC là viết tắt của Cybersecurity (an ninh mạng), vì vậy dễ hiểu khi phần lớn nội dung và thông tin về nó (ở đây và trên mạng) tập trung vào khía cạnh an ninh mạng. An ninh kỹ thuật số chiếm phần lớn trong chứng nhận và nó là vectơ đe dọa lớn nhất trong không gian kinh doanh hiện đại.

Tuy nhiên, có một chi tiết mà sớm hay muộn cũng phải quan tâm: mọi thứ kỹ thuật số đều phải có một nơi để tồn tại trong không gian vật lý. Như câu ngạn ngữ cổ nhắc nhở chúng ta, “đám mây” chỉ là máy tính của người khác.

Vì vậy, dù ứng dụng kinh doanh của bạn được lưu trữ trên các máy chủ trong một phòng riêng tại trụ sở chính của công ty, hay tất cả đều chạy trong một vùng chứa dữ liệu của Amazon ở đâu đó trong một khu văn phòng ở Ohio, thì an ninh vật lý vẫn rất quan trọng.

Làm thế nào để bạn đáp ứng các yếu tố kiểm soát an ninh vật lý của CMMC? Chúng tôi đã tập hợp sáu bí quyết vàng và một vài mẹo để giúp bạn vượt qua nó.

1: Hiểu rõ các biện pháp kiểm soát an ninh vật lý

Điều đầu tiên bạn cần làm là hiểu các biện pháp kiểm soát an ninh vật lý, lý do chúng tồn tại và chúng có ý nghĩa gì. Thật dễ dàng để nghĩ về một thứ như CMMC như một danh sách lớn các mục độc lập mà bạn cần đánh dấu, nhưng sự thật là mọi thứ đều liên kết với nhau và được thiết lập trong khuôn khổ vì một lý do. Biết được lý do đó có thể giúp bạn xem xét an ninh của mình một cách toàn diện và nắm bắt những gì bạn cần làm để bảo vệ nó, ngay cả trong các tình huống không chuẩn.

CMMC chia mô hình bảo mật thành một loạt các lĩnh vực kiểm soát khác nhau, bao gồm những thứ như quản lý cấu hình, ứng phó sự cố và bảo vệ phương tiện. Một trong những lĩnh vực đó là Bảo vệ Vật lý, nơi chứa an ninh “meatspace”.

Hiện tại, có sáu biện pháp kiểm soát an ninh trong phân khúc Bảo vệ Vật lý. CMMC Cấp 1 yêu cầu bốn trong số đó, Cấp 2 thêm hai biện pháp nữa và Cấp 3 vẫn chưa thêm bất kỳ yêu cầu bổ sung nào.

3.10.1: Hạn chế quyền truy cập vật lý vào dữ liệu CUI

Đối với biện pháp kiểm soát này, các tổ chức phải giới hạn quyền truy cập vào các khu vực nơi CUI được lưu trữ vật lý. Điều đó bao gồm lưu trữ kỹ thuật số, chẳng hạn như máy chủ công ty và lưu trữ vật lý, chẳng hạn như tủ đựng hồ sơ.

Hãy nhớ rằng mọi khu vực nơi có thể truy cập CUI cần được kiểm soát. Nếu nhân viên của bạn xử lý CUI có thể truy cập nó từ tầng chung, điều đó có nghĩa là toàn bộ cơ sở của bạn sẽ cần được bảo mật.

3.10.2: Giám sát cơ sở để tránh truy cập trái phép

Đối với biện pháp kiểm soát này, các tổ chức được yêu cầu giám sát các cơ sở vật chất và phát hiện (và ngăn chặn) việc xâm nhập trái phép. Đây không thể chỉ là giám sát thụ động, bởi vì một phần của biện pháp kiểm soát là yêu cầu phải hành động trong thời gian thực nếu xác định được vi phạm.

Có nhiều giải pháp công nghệ khả thi cho việc này, từ camera và báo động đến hệ thống phù hiệu đến cảm biến chuyển động. Bất kỳ giải pháp nào bạn sử dụng đều cần được xác thực và kiểm tra thường xuyên để đảm bảo chúng hiệu quả.

3.10.3: Hộ tống khách truy cập vào dữ liệu CUI

Đôi khi, một doanh nghiệp có thể cần mời một người ngoài vào. Nếu và khi điều này xảy ra, khách phải được hộ tống mọi lúc, với chuyến thăm của họ được ủy quyền, ghi lại và theo dõi, để ngăn chặn việc xem, sao chép, trộm cắp hoặc giả mạo CUI trái phép.

Không quan trọng việc khách truy cập có được phép truy cập CUI trong môi trường của riêng họ hay không. Chỉ những người có mặt rõ ràng với sự cho phép để truy cập CUI của bạn mới có thể được phép truy cập nó, có sự giám sát.

3.10.4: Duy trì nhật ký truy cập vật lý cho dữ liệu CUI

Đây là một yêu cầu khá đơn giản: mọi thứ phải được ghi lại. Nếu bạn sử dụng hệ thống phù hiệu điện tử, hãy ghi lại thời điểm sử dụng phù hiệu và ở đâu. Nếu bạn chạy camera an ninh, hãy ghi lại thời điểm chúng được kích hoạt. Nếu bạn sử dụng hệ thống báo động, hãy ghi lại thời điểm chúng được kích hoạt và tắt kích hoạt.

Nhật ký phải được duy trì trong khoảng thời gian tối thiểu, tùy thuộc vào các quy tắc tuân thủ cụ thể cho ngành và hợp đồng của bạn.

3.10.5: Quản lý quyền truy cập vật lý vào các khu vực an toàn

Biện pháp kiểm soát đầu tiên trong số hai biện pháp kiểm soát Cấp 2+, đây là yêu cầu rằng bất kỳ địa điểm nào được đánh dấu là địa điểm an toàn nơi giữ CUI phải được quản lý trực tiếp quyền truy cập vào chúng.

Chỉ những người có nhu cầu chính đáng về kinh doanh mới được phép truy cập, quyền truy cập này nên được hạn chế càng nhiều càng tốt. Quyền truy cập nên được ghi lại và xem xét định kỳ.

3.10.6: Địa điểm làm việc thay thế: Duy trì an ninh bên ngoài các cơ sở chính

Nếu tổ chức của bạn cho phép nhân viên làm việc từ xa, những người cần truy cập CUI để thực hiện công việc của họ, thì các địa điểm làm việc thay thế của họ cũng phải được bảo mật thích hợp. Nếu họ sử dụng tài liệu vật lý, họ cần bộ nhớ an toàn cho chúng. Nếu họ sử dụng các thiết bị kỹ thuật số có CUI trên đó, thì những thiết bị đó phải được bảo vệ thích hợp. VPN là bắt buộc để truy cập mạng nội bộ của công ty và hệ thống CUI. Chỉ các thiết bị được phê duyệt và không có mạng công cộng. Có rất nhiều thứ ở đây.

Bạn có thể thấy tất cả sáu yêu cầu này đang xoay quanh khái niệm an ninh vật lý, đồng thời phác thảo các khía cạnh cụ thể của an ninh vật lý đó cần được triển khai đúng cách. Tất cả đều phục vụ cùng một an ninh mà bạn đang triển khai ở những nơi khác: bảo vệ CUI khỏi truy cập hoặc giả mạo trái phép.

2: Cố gắng hết sức để giới hạn phạm vi

Chúng tôi đã nói rất nhiều trước đây về phạm vi cho CMMC, bởi vì nó cực kỳ quan trọng.

Phạm vi là xác định các hệ thống cần thiết tối thiểu cho các phần kinh doanh của bạn xử lý CUI và vẽ các ranh giới vững chắc xung quanh chúng.

Để sử dụng một ví dụ đơn giản, nếu doanh nghiệp của bạn xử lý CUI ở dạng bản in vật lý, điều gì dễ dàng hơn: bảo mật “phòng tài liệu” nơi lưu giữ tất cả CUI, hay bảo mật toàn bộ tòa nhà của bạn để cho phép nhân viên mang nó đi khi cần?

Bạn càng cần bảo mật ít hơn, cả về kỹ thuật số và vật lý, thì càng ít công việc, tiền bạc và rủi ro liên quan.

Điều tốt nhất bạn có thể làm để làm trơn tru việc thực hiện các yêu cầu bảo mật vật lý là dành thời gian để phân tích kỹ lưỡng môi trường kinh doanh của bạn. Tiến hành đánh giá rủi ro an ninh vật lý, xác định phạm vi hệ thống của bạn và tìm ra nơi bạn có thể thắt chặt chúng và vẽ ranh giới để giảm bề mặt đe dọa.

Cũng có thể bạn đã có một số hệ thống an ninh vật lý tại chỗ vì những lý do khác. Nếu đó là trường hợp, bạn có thể kết hợp chúng vào việc tuân thủ CMMC của mình, mặc dù bạn sẽ cần đảm bảo rằng chúng thực hiện mọi thứ cần thiết để được coi là khả thi cho CMMC. Một trong những trở ngại lớn nhất là ghi nhật ký và xem xét, trong nhiều trường hợp.

3: Nghiêm ngặt với kiểm soát truy cập

Một trong những yếu tố quan trọng nhất của phần an ninh vật lý của CMMC là kiểm soát truy cập vật lý.

CUI cần phải, về cơ bản, ở sau những cánh cửa bị khóa, cho dù đó là vật lý hay kỹ thuật số. Những cánh cửa đó cần phải đóng đối với tất cả những người không có nhu cầu tiếp cận nó và danh sách đó cần được giữ càng ngắn càng tốt và xem xét thường xuyên để loại bỏ bất kỳ ai không còn cần quyền truy cập.

Bất kỳ ai cần quyền truy cập cần phải được ghi lại và theo dõi. Hệ thống kiểm soát truy cập phổ biến nhất là phù hiệu vật lý, mặc dù lính canh, ủy quyền sinh trắc học và các hệ thống khác cũng có thể được sử dụng.

Tất cả các hệ thống này cần được duy trì và xem xét định kỳ để đảm bảo rằng chúng vẫn hoạt động và hiệu quả.

Tương tự, mọi thứ cần được ghi lại. Mỗi khi một phù hiệu được sử dụng, nó sẽ được ghi lại. Mỗi khi mọi người vào và rời khỏi các khu vực an toàn hoặc truy cập các hệ thống an toàn, nó sẽ được ghi lại. Nếu có thể, việc liên kết nhật ký sử dụng phù hiệu với bản ghi video có thể là một cách khác để xác thực ai đang sử dụng quyền truy cập và khi nào.

Giám sát là một phần cần thiết của tất cả những điều này. Cho dù đó là camera bên ngoài giám sát thụ động khu vực, hay camera hoạt động tích cực hơn gần các khu vực an toàn hoạt động trên cảm biến chuyển động hoặc kích hoạt khi sử dụng phù hiệu, thì việc có bản ghi video sẽ giúp ích rất nhiều.

4: Hạn chế làm việc từ xa hoặc chuẩn bị cho khối lượng công việc khổng lồ

Yếu tố thứ sáu của các biện pháp kiểm soát bảo vệ vật lý trong CMMC tập trung vào làm việc từ xa. Đây là một tình huống rất phức tạp.

Một mặt, một số doanh nghiệp làm việc hoàn toàn trong văn phòng, vì vậy việc không cho phép nhân viên, vai trò hoặc nhiệm vụ liên quan đến CUI làm việc từ xa là dễ dàng.

Mặt khác, một số doanh nghiệp gần như hoàn toàn từ xa, vì vậy làm việc từ xa là phần lớn của tất cả các công việc, bao gồm cả công việc liên quan đến CUI.

Có một sự giằng co ở đây; bạn có hạn chế làm việc từ xa hay cấm hoàn toàn để giới hạn phạm vi và giảm gánh nặng công nghệ, đào tạo và tài chính của an ninh không? Hoặc bạn có cho phép làm việc từ xa để cung cấp nó như một lợi ích cho nhân viên của bạn, điều này có thể mang lại lợi ích cho tinh thần và năng suất, nhưng tốn kém hơn và phức tạp hơn nhiều để quản lý?

Về cơ bản, bạn có ba lựa chọn.

1. Bạn có thể đầu tư vào an ninh và đào tạo cho làm việc từ xa liên quan đến CUI và cho phép mọi người làm việc từ xa.
2. Bạn có thể cho phép những người không chạm vào CUI làm việc từ xa, nhưng yêu cầu làm việc tại văn phòng đối với các nhiệm vụ hoặc cá nhân tham gia vào các hệ thống được kiểm soát.
3. Bạn có thể cấm hoàn toàn làm việc từ xa để đơn giản hóa mọi thứ.

Không có câu trả lời đúng duy nhất ở đây; các doanh nghiệp khác nhau sẽ tìm thấy các quan điểm khác nhau. Một số sẽ coi trọng tùy chọn làm việc từ xa hơn nhiều, trong khi những người khác muốn gắn bó với các nhóm tinh gọn và sẽ không có đủ khả năng để phân khúc lực lượng lao động.

Nếu bạn sẽ cho phép làm việc từ xa cho những cá nhân có công việc liên quan đến CUI và các hệ thống được kiểm soát, hãy chuẩn bị cho rất nhiều gánh nặng bổ sung xung quanh việc bảo vệ môi trường của họ.

5: Đừng bỏ bê đào tạo nhân viên

Với an ninh công nghệ và kỹ thuật số, rất nhiều việc cần làm có thể được xử lý bằng các giải pháp công nghệ và đào tạo nhân viên không nhất thiết phải ở tuyến đầu. Rõ ràng là nó vẫn quan trọng, nhưng bạn không sử dụng đào tạo nhân viên để ủy quyền thay đổi mật khẩu khi bạn có thể thực thi hết hạn mật khẩu, để sử dụng một ví dụ cơ bản.

Với an ninh vật lý, đào tạo nhân viên quan trọng hơn nhiều. Điều này là do xâm nhập vật lý thường là vấn đề kỹ thuật xã hội và lừa đảo tự tin, và mọi người vốn có điều kiện lịch sự và dễ dãi.

Một ví dụ rất phổ biến được gọi là tailgating. Nếu hai nhân viên đang vào tòa nhà cùng một lúc và một người đeo phù hiệu để mở khóa cửa, thì khuynh hướng tự nhiên là giữ cửa cho người kia. Điều đó có thể ổn trong những trường hợp bình thường, nhưng trong những trường hợp CUI đang bị đe dọa, việc người thứ hai không đeo phù hiệu trở thành một trách nhiệm pháp lý không được ghi lại. Nó thậm chí còn là một vấn đề lớn hơn trong các tổ chức nơi không phải ai cũng biết tất cả mọi người; giữ cửa cho một người lạ có thể là lịch sự, nhưng nó cũng là một rủi ro an ninh lớn.

Đào tạo nhân viên nên bao gồm ít nhất:

• Cách xác định CUI, nơi CUI được lưu trữ và xử lý và cách đảm bảo nó được bảo vệ.
• Cách nhận biết các mối đe dọa an ninh tiềm ẩn, hoạt động đáng ngờ hoặc người ngoài và cách báo cáo chúng.
• Cách sử dụng đúng cách các hệ thống kiểm soát truy cập, cho dù đó là phù hiệu và thẻ, sinh trắc học hay mã.
• Cách xử lý khách truy cập và đảm bảo họ được hộ tống mọi lúc.
• Các quy tắc và thủ tục để làm việc từ xa, nếu bạn cho phép.

Tất cả những điều này cũng cần phải dựa trên các chính sách an ninh vật lý đã nêu và được công bố.

6: Thiết lập kiểm toán và giám sát liên tục

Không có an ninh nào là an toàn nếu nó không được xác thực.

Khi nói đến an ninh vật lý, nhật ký truy cập và nhật ký sử dụng là điều bắt buộc. Video được quay bằng camera an ninh cũng phải là một phần của các nhật ký này. Có, nó có thể chiếm rất nhiều dung lượng lưu trữ. Nếu những camera đó có khả năng xem CUI, thì chúng cũng được coi là CUI và cũng cần được bảo mật. Tất cả những điều này đòi hỏi bảo trì, giám sát, đánh giá và kiểm toán.

Thiết lập các quy trình để xem xét tất cả các hệ thống an ninh vật lý của bạn theo các khoảng thời gian thích hợp và xác thực an ninh của chúng. Tiến hành các bài kiểm tra không báo trước để đảm bảo mọi người tuân thủ các quy tắc. Cân nhắc các đội đỏ và kiểm tra bút. Coi tất cả là một phần của giám sát liên tục và bạn đang đi đúng hướng.

Tại Ignyte, chúng tôi rất quen thuộc với CMMC và điều đó bao gồm các quy tắc an ninh vật lý. Mặc dù Nền tảng Đảm bảo Ignyte không được thiết kế như một trung tâm quản lý cho an ninh vật lý, nhưng nó có thể được sử dụng để lưu trữ những thứ như nhật ký kiểm toán và báo cáo, và bằng chứng cho thấy an ninh vật lý của bạn đang được tuân thủ. Chúng tôi cũng có thể giúp bạn theo những cách khác, vì vậy nếu bạn quan tâm đến việc xem những gì chúng tôi có thể làm cho bạn, hãy liên hệ với chúng tôi.

Giải thích thuật ngữ

• CMMC (Cybersecurity Maturity Model Certification): Là một tiêu chuẩn được Bộ Quốc phòng Hoa Kỳ (DoD) phát triển để đo lường và chứng nhận mức độ trưởng thành về an ninh mạng của các nhà thầu quốc phòng. Mục tiêu là bảo vệ thông tin liên quan đến quốc phòng khỏi các cuộc tấn công mạng.
• CUI (Controlled Unclassified Information): Là thông tin chưa được phân loại nhưng vẫn cần được bảo vệ theo luật pháp, quy định hoặc chính sách của chính phủ. CUI bao gồm nhiều loại thông tin khác nhau, từ thông tin tài chính đến thông tin cá nhân và thông tin kỹ thuật.
• VPN (Virtual Private Network): Một mạng riêng ảo giúp thiết lập một kết nối an toàn và mã hóa giữa thiết bị của bạn và một máy chủ từ xa. Điều này giúp bảo vệ dữ liệu của bạn khỏi bị đánh cắp hoặc theo dõi khi bạn truy cập internet, đặc biệt là trên các mạng công cộng.
• Meatspace: Một thuật ngữ dùng để chỉ thế giới thực, vật chất, trái ngược với không gian mạng hoặc thế giới ảo.
• Red Teaming: Một bài tập mô phỏng tấn công mạng được thực hiện bởi một nhóm các chuyên gia bảo mật (đội đỏ) để đánh giá khả năng phòng thủ của một tổ chức. Mục tiêu là tìm ra các lỗ hổng và điểm yếu trong hệ thống bảo mật để có thể khắc phục trước khi kẻ tấn công thực sự khai thác chúng.
• Pen Testing (Penetration Testing): Là một phương pháp kiểm tra bảo mật trong đó các chuyên gia bảo mật (pentester) cố gắng xâm nhập vào hệ thống máy tính, mạng hoặc ứng dụng web để tìm ra các lỗ hổng bảo mật. Mục tiêu là đánh giá khả năng phòng thủ của hệ thống và đưa ra các khuyến nghị để cải thiện bảo mật.
• Social Engineering: Kỹ thuật thao túng tâm lý con người để lấy cắp thông tin hoặc truy cập vào hệ thống bảo mật. Thay vì tấn công trực tiếp vào hệ thống, kẻ tấn công lợi dụng lòng tin, sự sơ hở hoặc sự thiếu hiểu biết của con người để đạt được mục đích.