Siber G\u00fcvenlik Olgunluk Modeli Sertifikas\u0131 (\"CMMC\"), t\u00fcm savunma sanayi y\u00fcklenicilerinin birden be\u015fe kadar bir siber g\u00fcvenlik seviyesi almas\u0131n\u0131 gerektiren ve belirlenecek asgari seviyenin Ekim 2025'e kadar t\u00fcm savunma s\u00f6zle\u015fmelerinin uygulanmas\u0131 planlanan bir program olarak ABD Savunma Bakanl\u0131\u011f\u0131 (\"Bakanl\u0131k\") taraf\u0131ndan ilk olarak May\u0131s 2019'da duyurulmu\u015ftu. Bakanl\u0131k CMMC'nin amac\u0131n\u0131 federal s\u00f6zle\u015fme bilgileri ve kontroll\u00fc s\u0131n\u0131fland\u0131r\u0131lmam\u0131\u015f bilgiler gibi hassas niteli\u011fe sahip ve s\u0131n\u0131fland\u0131r\u0131lmam\u0131\u015f bilgiler olarak belirlemi\u015ftir, tedarik zincirindeki alt y\u00fcklenicilere ula\u015facak bilgi ak\u0131\u015f\u0131n\u0131 da g\u00f6z \u00f6n\u00fcne alarak, ta\u015f\u0131d\u0131klar\u0131 risklerle orant\u0131l\u0131 bir d\u00fczeyde koruyarak daha fazla g\u00fcvence sa\u011flamak olarak a\u00e7\u0131klam\u0131\u015ft\u0131. Buna g\u00f6re seviyenin y\u00fckselmesiyle birlikte yerine getirilmesi beklenen ek siber g\u00fcvenlik uygulamalar\u0131n\u0131n artmas\u0131 sebebiyle, uygulamadan en fazla CMMC program\u0131ndaki d\u00f6rt ve be\u015finci seviyelerde belgelendirilecek olan departman\u0131n en b\u00fcy\u00fck ve en sofistike y\u00fcklenicilerinin etkilenmesi beklenmektedir.<\/p>\n
Duyurunun ard\u0131ndan uzun s\u00fcre beklenen ve 29 Eyl\u00fcl 2020 tarihinde yay\u0131nlanan Siber G\u00fcvenlik Olgunluk Modeli Sertifikasyon program\u0131n\u0131n uygulanmas\u0131na ili\u015fkin ara kural (\"Ara Kural\"), Y\u00fckleniciler bak\u0131m\u0131ndan \u00fc\u00e7 seviyeden olu\u015fan bir siber g\u00fcvenlik de\u011ferlendirmesi ve biri halihaz\u0131rda y\u00fcr\u00fcrl\u00fckte olan NIST 800-171 di\u011feri CMMC olmak \u00fczere iki de\u011ferlendirme takibi ortaya koymaktad\u0131r. Bu \u00e7er\u00e7evede, y\u00fcklenicilerin Savunma Bakanl\u0131\u011f\u0131 s\u00f6zle\u015fmelerine taraf olabilmeleri i\u00e7in \u00f6ncelikle bu a\u015famalardaki uyumlar\u0131n\u0131n \u00f6z de\u011ferlendirmesini tamamlamalar\u0131 gerekmektedir. Ara kural\u0131n yay\u0131nlanmas\u0131n\u0131n ard\u0131ndan idareyi ve y\u00fcklenicileri temsil eden ticaret gruplar\u0131 taraf\u0131ndan CMMC sistemi \u00f6v\u00fcl\u00fcrken, uygulama ve kural koyma s\u00fcreci ele\u015ftirilmi\u015ftir.<\/p>\n
Yak\u0131n zamanda CMMC program\u0131n\u0131n uygulanmas\u0131na ili\u015fkin olarak savunma end\u00fcstrisinde faaliyet g\u00f6steren y\u00fcklenicilerce, Bakanl\u0131\u011f\u0131n \"herkese uyan tek beden\/ one-size-fits-all\" anlay\u0131\u015f\u0131n\u0131n \u00f6tesine ge\u00e7ilmesi gerekti\u011fi konusunda bir g\u00f6r\u00fc\u015f birli\u011fi olu\u015fmaya ba\u015flam\u0131\u015ft\u0131r. Ara kurala cevaben Savunma ve Uzay End\u00fcstrisi Birlikleri Konseyi (\"CADSIA\"), program kapsam\u0131ndaki en y\u00fcksek sertifikasyon seviyelerinin, y\u00fcklenicilere CMMC'yi nas\u0131l uygulayacaklar\u0131na dair daha fazla se\u00e7enek sunan risk temelli bir esnek yakla\u015f\u0131ma izin vermesi gerekti\u011fini ileri s\u00fcrm\u00fc\u015ft\u00fcr. Savunma y\u00fcklenicilerini temsil eden en b\u00fcy\u00fck sekiz end\u00fcstri birli\u011finden olu\u015fan bu koalisyon taraf\u0131ndan, y\u00fcklenicilere mimari \u00e7evre ve dinamik tehlike modelleri baz\u0131ndaki geli\u015fmi\u015f kal\u0131c\u0131 tehditleri tespit etmek ve bunlara kar\u015f\u0131 savunma yapmak i\u00e7in kullan\u0131lacak ara\u00e7, teknik ve s\u00fcre\u00e7lere ili\u015fkin uygulamalar\u0131 se\u00e7me esnekli\u011finin verilmesi gerekti\u011fi ifade edilmi\u015ftir.<\/p>\n
CODSIA'ya g\u00f6re \u00f6nceki siber g\u00fcvenlik standartlar\u0131n\u0131n CMMC'nin temelini olu\u015fturdu\u011fu g\u00f6z \u00f6n\u00fcne al\u0131nd\u0131\u011f\u0131nda, Savunma Bakanl\u0131\u011f\u0131 \"herkese uyan tek beden kavram\u0131\" ile en \u00fcst iki CMMC seviyesine uyumun sa\u011flanmas\u0131 i\u00e7in risk temelli bir yakla\u015f\u0131ma izin vererek, Bu program geli\u015fmi\u015f siber g\u00fcvenlik standartlar\u0131n\u0131 ortaya koyan Ulusal Standartlar ve Teknoloji Enstit\u00fcs\u00fc (\"NIST\") yay\u0131m\u0131yla benzer bir hale getirebilecektir. Ayr\u0131ca alt y\u00fckleniciyle s\u00f6zle\u015fmenin genellikle ilk ana s\u00f6zle\u015fmeden \u00e7ok daha sonra ger\u00e7ekle\u015fti\u011finin alt\u0131 \u00e7izilerek, Bakanl\u0131\u011f\u0131n CMMC ile tedarik zinciri uyumlulu\u011fu konusunda daha esnek olmas\u0131 da tavsiye edilmektedir. <\/p>\n
Son olarak, Bakanl\u0131\u011f\u0131n CMMC seviyelerini Federal Risk ve Yetkilendirme Y\u00f6netimi Program\u0131 gibi mevcut siber g\u00fcvenlik \u00e7er\u00e7eveleriyle daha yak\u0131ndan e\u015fle\u015ftirerek farkl\u0131 siber g\u00fcvenlik programlar\u0131 aras\u0131nda kar\u015f\u0131l\u0131kl\u0131l\u0131k sa\u011flanmas\u0131n\u0131 \u00f6nerilmi\u015ftir.<\/p>\n
\u015eafak Herdem, Nihan \u00dcnal<\/p>","protected":false},"excerpt":{"rendered":"