Siber Güvenlik Olgunluk Modeli Sertifikas\u0131 ("CMMC"), tüm savunma sanayi yüklenicilerinin birden be\u015fe kadar bir siber güvenlik seviyesi almas\u0131n\u0131 gerektiren ve belirlenecek asgari seviyenin Ekim 2025’e kadar tüm savunma sözle\u015fmelerine uygulanmas\u0131 planlanan bir program olarak ABD Savunma Bakanl\u0131\u011f\u0131 (“Bakanl\u0131k”) taraf\u0131ndan ilk olarak May\u0131s 2019'da duyurulmu\u015ftu. Bakanl\u0131k CMMC’nin amac\u0131n\u0131 federal sözle\u015fme bilgileri ve kontrollü s\u0131n\u0131fland\u0131r\u0131lmam\u0131\u015f bilgiler gibi hassas niteli\u011fe sahip ve s\u0131n\u0131fland\u0131r\u0131lmam\u0131\u015f bilgileri, tedarik zincirindeki alt yüklenicilere ula\u015facak bilgi ak\u0131\u015f\u0131n\u0131 da göz önüne alarak, ta\u015f\u0131d\u0131klar\u0131 risklerle orant\u0131l\u0131 bir düzeyde koruyarak daha fazla güvence sa\u011flamak olarak aç\u0131klam\u0131\u015ft\u0131. Buna göre seviyenin yükselmesiyle birlikte yerine getirilmesi beklenen ek siber güvenlik uygulamalar\u0131n\u0131n artmas\u0131 sebebiyle, uygulamadan en fazla CMMC program\u0131ndaki dört ve be\u015finci seviyelerde belgelendirilecek olan departman\u0131n en büyük ve en sofistike yüklenicilerinin etkilenmesi beklenmektedir.<\/p>\n
Duyurunun ard\u0131ndan uzun süre beklenen ve 29 Eylül 2020 tarihinde yay\u0131nlanan Siber Güvenlik Olgunluk Modeli Sertifikasyon program\u0131n\u0131n uygulanmas\u0131na ili\u015fkin ara kural (“Ara Kural”), yükleniciler bak\u0131m\u0131ndan üç seviyeden olu\u015fan bir siber güvenlik de\u011ferlendirmesi ve biri halihaz\u0131rda yürürlükte olan NIST 800-171 di\u011feri CMMC için olmak üzere iki de\u011ferlendirme takibi ortaya koymaktad\u0131r. Bu çerçevede, yüklenicilerin Savunma Bakanl\u0131\u011f\u0131 sözle\u015fmelerine taraf olabilmeleri için öncelikle bu a\u015famalardaki uyumlar\u0131n\u0131n öz de\u011ferlendirmesini tamamlamalar\u0131 gerekmektedir. Ara kural\u0131n yay\u0131nlanmas\u0131n\u0131n ard\u0131ndan idareyi ve yüklenicileri temsil eden ticaret gruplar\u0131 taraf\u0131ndan CMMC sistemi övülürken, uygulama ve kural koyma süreci ele\u015ftirilmi\u015ftir.<\/p>\n
Yak\u0131n zamanda CMMC program\u0131n\u0131n uygulanmas\u0131na ili\u015fkin olarak savunma endüstrisinde faaliyet gösteren yüklenicilerce, Bakanl\u0131\u011f\u0131n “herkese uyan tek beden\/ one-size-fits-all” anlay\u0131\u015f\u0131n\u0131n ötesine geçilmesi gerekti\u011fi konusunda bir görü\u015f birli\u011fi olu\u015fmaya ba\u015flam\u0131\u015ft\u0131r. Ara kurala cevaben Savunma ve Uzay Endüstrisi Birlikleri Konseyi (“CADSIA”), program kapsam\u0131ndaki en yüksek sertifikasyon seviyelerinin, yüklenicilere CMMC'yi nas\u0131l uygulayacaklar\u0131na dair daha fazla seçenek sunan risk temelli bir esnek yakla\u015f\u0131ma izin vermesi gerekti\u011fini ileri sürmü\u015ftür. Savunma yüklenicilerini temsil eden en büyük sekiz endüstri birli\u011finden olu\u015fan bu koalisyon taraf\u0131ndan, yüklenicilere mimari çevre ve dinamik tehlike modelleri baz\u0131ndaki geli\u015fmi\u015f kal\u0131c\u0131 tehditleri tespit etmek ve bunlara kar\u015f\u0131 savunma yapmak için kullan\u0131lacak araç, teknik ve süreçlere ili\u015fkin uygulamalar\u0131 seçme esnekli\u011finin verilmesi gerekti\u011fi ifade edilmi\u015ftir.<\/p>\n
CODSIA'ya göre önceki siber güvenlik standartlar\u0131n\u0131n CMMC'nin temelini olu\u015fturdu\u011fu göz önüne al\u0131nd\u0131\u011f\u0131nda, Savunma Bakanl\u0131\u011f\u0131 "herkese uyan tek beden kavram\u0131" ile en üst iki CMMC seviyesine uyumun sa\u011flanmas\u0131 için risk temelli bir yakla\u015f\u0131ma izin vererek, bu program\u0131 geli\u015fmi\u015f siber güvenlik standartlar\u0131n\u0131 ortaya koyan Ulusal Standartlar ve Teknoloji Enstitüsü ("NIST") yay\u0131m\u0131yla benzer bir hale getirebilecektir. Ayr\u0131ca alt yükleniciyle sözle\u015fmenin genellikle ilk ana sözle\u015fmeden çok daha sonra gerçekle\u015fti\u011finin alt\u0131 çizilerek, Bakanl\u0131\u011f\u0131n CMMC ile tedarik zinciri uyumlulu\u011fu konusunda daha esnek olmas\u0131 da tavsiye edilmektedir. <\/p>\n
Son olarak, Bakanl\u0131\u011f\u0131n CMMC seviyelerini Federal Risk ve Yetkilendirme Yönetimi Program\u0131 gibi mevcut siber güvenlik çerçeveleriyle daha yak\u0131ndan e\u015fle\u015ftirerek farkl\u0131 siber güvenlik programlar\u0131 aras\u0131nda kar\u015f\u0131l\u0131kl\u0131l\u0131k sa\u011flanmas\u0131n\u0131 önerilmi\u015ftir.<\/p>\n
\u015eafak Herdem, Nihan Ünal<\/p>\n","protected":false},"excerpt":{"rendered":"