কিভাবে আপনার CMMC প্রক্রিয়া ত্বরান্বিত করবেন
সাইবারসিকিউরিটি ম্যাচিউরিটি মডেল সার্টিফিকেশন নিয়ম এখন চূড়ান্ত, তবুও আমরা এখনও সার্টিফিকেশন চাওয়া সংস্থাগুলিকে প্রয়োজনীয়তা বাস্তবায়নের জন্য অপেক্ষা করতে দেখি।
রবার্ট টিগ
সাইবারসিকিউরিটি ম্যাচিউরিটি মডেল সার্টিফিকেশন (CMMC) নিয়ম এখন চূড়ান্ত, তবুও আমরা এখনও সার্টিফিকেশন (OSCs) চাওয়া সংস্থাগুলিকে প্রয়োজনীয়তা বাস্তবায়নের জন্য অপেক্ষা করতে দেখি।
গড়ে, CMMC প্রয়োজনীয়তা সম্পূর্ণরূপে বাস্তবায়ন করতে OSC-এর 12 থেকে 24 মাস সময় লাগে। তাহলে কোথা থেকে সংগঠনগুলো তাদের প্রস্তুতি শুরু করবে? নিম্নলিখিত পদক্ষেপগুলি এবং সুপারিশগুলি সংস্থাগুলিকে “ধরে নিতে” এবং তাদের CMMC প্রক্রিয়াটিকে সবচেয়ে দক্ষতার সাথে ত্বরান্বিত করতে সহায়তা করার জন্য কার্যকরী সর্বোত্তম অনুশীলন হিসাবে কাজ করবে। একটি CMMC প্রোগ্রাম ডেভেলপ করার অনেক উপায় আছে, কিন্তু এটি সাংগঠনিক ক্রয়-ইন দিয়ে শুরু করা উচিত। সিইও থেকে শুরু করে প্রতিষ্ঠানের প্রত্যেকেরই বুঝতে হবে CMMC এর পিছনে কেন এবং এটি ঘটতে কী লাগবে। কেন এই সবচেয়ে সমালোচনামূলক পদক্ষেপ? কারণ প্রত্যেকেই প্রোগ্রাম উন্নয়ন প্রক্রিয়ায় কিছু ভূমিকা পালন করবে:
- সিইও একটি অপরিহার্য ভূমিকা পালন করে। যদি সিএমএমসি সিইওর কাছে গুরুত্বপূর্ণ না হয় তবে কর্মীদের কাছে এটি গুরুত্বপূর্ণ হবে না।
- প্রধান আর্থিক কর্মকর্তা বাজেট পরিচালনা করেন এবং প্রোগ্রাম প্রতিষ্ঠার জন্য প্রয়োজনীয় তহবিল সরবরাহ করেন।
- নিয়ন্ত্রিত অশ্রেণীবদ্ধ তথ্য (CUI) প্রক্রিয়া, সঞ্চয় বা প্রেরণকারী ব্যক্তিদের অবশ্যই তথ্য প্রযুক্তি টিমের কাছে বর্ণনা করতে হবে যেখানে ডেটা থাকে, তারা কীভাবে এটি গ্রহণ করে এবং কীভাবে তারা এটি প্রেরণ করে।
- ডকুমেন্টেশন তৈরিতে কোম্পানির মূল স্টেকহোল্ডাররা গুরুত্বপূর্ণ হবে। উদাহরণগুলির মধ্যে রয়েছে অনবোর্ডিং প্রক্রিয়াগুলির জন্য মানবসম্পদ, ফেডারেল চুক্তির তথ্য (FCI) কীভাবে পোস্ট বা সংশোধন করা হয় তার জন্য বিপণন ব্যবস্থাপক, এবং চুক্তি পরিচালক এবং একটি নতুন চুক্তিতে আনার জন্য তাদের প্রক্রিয়াগুলি।
সাংগঠনিক বাই-ইন সুরক্ষিত হওয়ার পরে, আপনার পরিবেশের মধ্যে ডেটা কোথায় থাকে, কার এটিতে অ্যাক্সেস রয়েছে এবং এটি কোথায় সংরক্ষণ করা হয়েছে তা নির্ধারণ করুন। একবার ডেটা শনাক্ত হয়ে গেলে, এটিকে আলাদা করা যায় কিনা এবং এর অবস্থান নির্ধারণ করা যায় কিনা তা নির্ধারণ করুন। উদাহরণস্বরূপ, একটি সুরক্ষিত ডেটা সেন্টারের মধ্যে বা একটি ক্লাউড এনক্লেভের মধ্যে মনোনীত সার্ভারগুলির একটি উপসেটে উক্ত ডেটা স্থানান্তর করা। CUI ডেটাকে একটি ছোট পদচিহ্নে বিচ্ছিন্ন করে, সংস্থার এটি পরিচালনা করা সহজতর হবে। এর পরে, আপনার CMMC পরিবেশের সীমানা নির্ধারণ করুন। সীমারেখায় কী আছে, আর কী নেই? শংসাপত্রের সময় হলে সীমানা নির্ধারণ করা প্রকল্পটিকে সুযোগ দিতে সহায়তা করবে। একবার এই পরিকল্পনাটি তৈরি হয়ে গেলে, পরবর্তী ধাপটি নির্ধারণ করা হচ্ছে কিভাবে পরিবেশের মধ্যে এবং বাইরে CUI ডেটা প্রবাহিত হয়। উদাহরণগুলির মধ্যে রয়েছে ইমেল, নিরাপদ ফাইল ভাগ করে নেওয়া ইত্যাদি। শেষ ধাপ হল নেটওয়ার্ক ডায়াগ্রাম এবং ডকুমেন্টেশনে এই সমস্ত কিছু ক্যাপচার করা।
উপযুক্ত নথি তৈরি করা যুক্তিযুক্তভাবে সবচেয়ে সময়সাপেক্ষ কাজ যা অবশ্যই করা উচিত। সংস্থাগুলি সাধারণত একজন ব্যক্তিকে বেছে নেয়, তাদের একটি কোণে রাখে এবং তাদের নিজেরাই এটিকে ছিটকে দিতে বলে – যা সম্ভবত সেরা ধারণা নয়। পরিবর্তে, অংশগ্রহণকারী মূল স্টেকহোল্ডারদের সাথে ওয়ার্কিং গ্রুপ স্থাপন করুন। তারা নথির খসড়া তৈরিতে যত বেশি অংশগ্রহণ করবে, তত বেশি মালিকানা নেবে এবং মূল্যায়ন সাক্ষাত্কারে তারা তত বেশি সফল হবে। নীচের চিত্রিত গ্রাফটি এই নথিগুলি তৈরি করতে কতটা সময় ব্যয় করেছে তার একটি ধারণা প্রদান করবে।
এখন যেহেতু ভারী উত্তোলন করা হয়েছে, OSC-এর উচিত যাচাই করা উচিত যে পরিবেশের মধ্যে বিভিন্ন ডিভাইসের কনফিগারেশনগুলি ডকুমেন্টেশনে যা ক্যাপচার করা হয়েছে তার সাথে মেলে। একটি উদাহরণ ফায়ারওয়াল কনফিগারেশন হতে পারে যা “সমস্ত অস্বীকার” ইনবাউন্ড নিয়ম এবং “ব্যতিক্রম দ্বারা অনুমতি” আউটবাউন্ড নিয়ম দেখাচ্ছে। অন্যান্য উদাহরণগুলির মধ্যে রয়েছে স্ক্রীন টাইমআউট সেটিংস, স্বয়ংক্রিয় সেশন সমাপ্তির সময়কাল, লগ ধরে রাখার সময়কাল, এবং ব্যর্থ লগইন প্রচেষ্টা, শুধুমাত্র কয়েকটি নাম। সবকিছু মিলে যাচ্ছে তা নিশ্চিত করতে প্রতিটি ডিভাইস কনফিগারেশন চেক করুন। এখন আমরা আমাদের স্ব-মূল্যায়ন পরিচালনা করতে প্রস্তুত, যেটিকে কেউ কেউ অনুশীলন মূল্যায়ন হিসাবে দেখতে পারেন। যতটা সম্ভব সৎ হোন এবং মূল স্টেকহোল্ডারদের অংশগ্রহণের জন্য আমন্ত্রণ জানান। একটি মূল্যায়নে অংশগ্রহণ করার তাদের যত বেশি অভিজ্ঞতা থাকবে, শংসাপত্রের সময় তারা তত বেশি আরামদায়ক হবে। একবার সম্পূর্ণ হলে, সরবরাহকারী পারফরম্যান্স রিস্ক সিস্টেম (SPRS) ফলাফল সংগ্রহ করুন ইন্টিগ্রেটেড এন্টারপ্রাইজ এনভায়রনমেন্ট (PIEE) পোর্টালে। অবশেষে, আপনার প্রত্যয়িত তৃতীয় পক্ষের মূল্যায়ন সংস্থা (C3PAO) নির্বাচন করুন। মনে রাখবেন, উপরে উল্লিখিত পদক্ষেপগুলি সম্পাদন করা যদি সংস্থার জন্য খুব কঠিন হয়, তাহলে একটি নিবন্ধিত অনুশীলনকারী সংস্থা (RPO) বা একটি C3PAO থেকে সহায়তা নিন৷ সাইবার এবি-তে অনুমোদিত মূল্যায়ন এবং পরামর্শকারী সংস্থাগুলি বাজারে পাওয়া যেতে পারে ওয়েবসাইট. শংসাপত্রের জন্য অপেক্ষার তালিকা ইতিমধ্যেই বাড়ছে, তাই দেরি করবেন না।
আজ অবধি, অসংখ্য OSC ইতিমধ্যেই প্রাথমিক গ্রহণকারী প্রোগ্রামের সুবিধা গ্রহণ করেছে, যা যৌথ নজরদারি স্বেচ্ছাসেবী মূল্যায়ন কর্মসূচি নামে পরিচিত। যে সংস্থাগুলি একটি মূল্যায়ন সম্পন্ন করেছে এবং 110 SPRS স্কোর অর্জন করেছে, তাদের মূল্যায়ন একটি CMMC শংসাপত্রে রূপান্তরিত হবে।
তাহলে প্রতিরক্ষা বিভাগের সাথে তারা ভবিষ্যতের ব্যবসায় যাতে ক্ষতি না হয় তা নিশ্চিত করতে OSC এখন কী করতে পারে? অপেক্ষা করা বন্ধ করুন এবং করা শুরু করুন।
যারা ইতিমধ্যে সম্পন্ন, তাদের জন্য কাজ সম্পন্ন করা হয় না. আপনার সার্টিফিকেশন তিন বছরের জন্য ভাল, কিন্তু এখনও বার্ষিক স্ব-প্রত্যয়িত করার প্রয়োজন আছে। সুতরাং, প্রয়োজনীয়তাগুলির সাথে সম্মতি বজায় রাখা গুরুত্বপূর্ণ। অতিরিক্তভাবে, DoD NIST SP 800-171 রিভিশন 2 এর সাথে CMMC নিয়ম সারিবদ্ধ করছে, এবং আমরা ইতিমধ্যেই জানি যে NIST SP 800-171 রিভিশন 3 পরবর্তী কোণে রয়েছে। কিছু সময়ে, নতুন সংশোধন CMMC-তে গৃহীত হবে। আমরা ইতিমধ্যেই জানি যে অপেক্ষা করা উপকারী নয়, তাই এখনই পুনর্বিবেচনা 3 পর্যালোচনা করা শুরু করুন এবং কীভাবে নতুন প্রয়োজনীয়তাগুলি বাস্তবায়ন করা যায় তার জন্য আপনার কৌশল তৈরি করুন।
রবার্ট টিগ রেডস্পিনে CMMC পরিষেবার পরিচালক।
কপিরাইট © 2025 ফেডারেল নিউজ নেটওয়ার্ক। সর্বস্বত্ব সংরক্ষিত এই ওয়েবসাইটটি ইউরোপীয় অর্থনৈতিক এলাকার মধ্যে অবস্থিত ব্যবহারকারীদের উদ্দেশ্যে নয়।