CMMC Framework: ডিফেন্স কন্ট্রাক্টরদের জন্য সাইবার নিরাপত্তার নতুন কমপ্লায়েন্স!

CMMC হলো একটি unified standard যা DoD সাপ্লাই চেইনে অংশগ্রহণকারী সব contractor-এর সাইবার নিরাপত্তা পরিপক্কতা যাচাই করে। NIST SP 800-171 ও NIST SP 800-172-এর উপর ভিত্তি করে তৈরি এই framework নিশ্চিত করে যে DoD-এর Federal Contract Information (FCI) ও Controlled Unclassified Information (CUI) যথাযথভাবে সুরক্ষিত।

DoD-এর Defense Federal Acquisition Regulation Supplement (DFARS) clause 252.204-7012 অনেক আগে থেকেই contractor-দের NIST 800-171 মানতে বলেছে, কিন্তু সেটা ছিল self-attestation—অর্থাৎ contractor নিজেই বলত "হ্যাঁ, আমরা মানি"। বাস্তবে অনেকেই মানত না। CMMC এই self-attestation-এর পরিবর্তে third-party verification চালু করেছে।

CMMC-এর ইতিহাস: CMMC 1.0 প্রকাশিত হয় ২০২০ সালে, যেখানে পাঁচটি level ছিল। ২০২১ সালে DoD এটি simplify করে CMMC 2.0 প্রকাশ করে, যা তিনটি level-এ পুনর্গঠিত। ২০২৪ সালের শেষে CMMC 2.0-এর final rule প্রকাশিত হয় এবং ২০২৫ থেকে DoD contract-এ এটি যুক্ত হতে শুরু করেছে।

CMMC 2.0-এ তিনটি maturity level আছে, যা contractor-এর handle করা তথ্যের sensitivity অনুসারে নির্ধারিত।

Level 1 - Foundational: যেসব contractor শুধু FCI handle করেন তাদের জন্য। এতে NIST 800-171-এর ১৭টি basic safeguarding requirement আছে—যেমন access control, identification & authentication, media protection, physical protection, এবং system & information integrity। এই level annual self-assessment-এ যথেষ্ট।

Level 2 - Advanced: যেসব contractor CUI handle করেন তাদের জন্য। এতে NIST SP 800-171-এর সম্পূর্ণ ১১০টি control আছে, যা ১৪টি family-তে বিভক্ত। বেশিরভাগ contractor-কে এই level-এ third-party assessment (C3PAO) করতে হবে, তবে কিছু কম sensitive ক্ষেত্রে self-assessment-ও allowed।

Level 3 - Expert: সবচেয়ে sensitive CUI বা DoD-এর highest priority programs-এ কাজ করা contractor-দের জন্য। এতে NIST SP 800-172-এর ২৪+ enhanced security requirement যুক্ত হয়। এই level-এ DoD নিজে government-led assessment করে।

প্রতিটি level-এর জন্য আলাদা মূল্যায়ন প্রক্রিয়া ও খরচ আছে। Level 1 অর্জনে যেখানে কয়েক হাজার ডলার লাগতে পারে, Level 2 বা 3 অর্জনে কয়েক লক্ষ ডলার পর্যন্ত ব্যয় হতে পারে।

CMMC-এর কেন্দ্রবিন্দু হলো CUI ও FCI সুরক্ষা। এদের পার্থক্য বোঝা গুরুত্বপূর্ণ।

Federal Contract Information (FCI): এটি এমন তথ্য যা সরকারি contract execute করতে প্রয়োজন কিন্তু public domain-এ release-এর জন্য নয়। যেমন: contract terms, pricing details, performance information।

Controlled Unclassified Information (CUI): এটি classified নয়, কিন্তু federal law/regulation অনুসারে সুরক্ষিত রাখতে হয়। CUI-এর ২০টিরও বেশি category আছে—Critical Infrastructure, Defense, Export Control, Privacy, Procurement, Tax ইত্যাদি।

NARA (National Archives and Records Administration) CUI Registry maintain করে। প্রতিটি CUI category-র নিজস্ব marking ও handling requirement আছে।

CMMC Level 2-এর ভিত্তি হলো NIST SP 800-171-এর ১৪টি control family। প্রতিটি family সংক্ষেপে দেখা যাক।

1. Access Control (AC): কে কোন তথ্যে অ্যাক্সেস পাবে তা নিয়ন্ত্রণ।

2. Awareness and Training (AT): কর্মচারীদের সাইবার নিরাপত্তা প্রশিক্ষণ।

3. Audit and Accountability (AU): সিস্টেম activity log করা ও বিশ্লেষণ।

4. Configuration Management (CM): Baseline configuration বজায় রাখা।

5. Identification and Authentication (IA): User identity verification।

6. Incident Response (IR): Security incident handle করার প্রক্রিয়া।

7. Maintenance (MA): System maintenance এর সময় নিরাপত্তা।

8. Media Protection (MP): Removable media ও documents সুরক্ষা।

9. Personnel Security (PS): কর্মচারীদের background check।

10. Physical Protection (PE): Facility-র physical security।

11. Risk Assessment (RA): নিয়মিত risk assessment।

12. Security Assessment (CA): Control-এর effectiveness যাচাই।

13. System and Communications Protection (SC): Network ও communication সুরক্ষা।

14. System and Information Integrity (SI): System integrity ও flaw remediation।

এই প্রতিটি family-তে একাধিক security requirement আছে যা contractor-কে satisfy করতে হবে।

CMMC certification পাওয়া একটি দীর্ঘমেয়াদী যাত্রা। সাধারণত এই ধাপগুলো অনুসরণ করতে হয়।

Step 1 - Scope Identification: আপনার সংস্থায় CUI/FCI কোথায় আছে তা চিহ্নিত করুন। সব সিস্টেম যেখানে CUI আছে সেটি "CUI environment" বা "enclave" হিসেবে scope করুন। Scope ছোট রাখলে compliance সহজ ও কম ব্যয়বহুল হয়।

Step 2 - Gap Assessment: বর্তমান সাইবার নিরাপত্তা posture-কে NIST 800-171 control-এর সাথে তুলনা করুন। কী আছে, কী নেই—তার একটি detailed gap analysis তৈরি করুন।

Step 3 - System Security Plan (SSP) তৈরি: SSP হলো CMMC-এর সবচেয়ে গুরুত্বপূর্ণ document। এতে আপনার system, control implementation, এবং responsibilities বিস্তারিতভাবে লিপিবদ্ধ থাকে।

Step 4 - Plan of Action & Milestones (POA&M): যেসব control এখনো implement হয়নি, সেগুলোর জন্য timeline-সহ remediation plan তৈরি করুন। তবে CMMC Level 2-এ scored POA&M সীমিত।

Step 5 - Remediation: Gap গুলো পূরণ করুন—policy লিখুন, technical control implement করুন, প্রশিক্ষণ দিন।

Step 6 - Pre-Assessment: Internal বা consultant-এর সাহায্যে mock assessment করুন।

Step 7 - SPRS Score Submit: Supplier Performance Risk System (SPRS)-এ আপনার current score submit করুন। সর্বোচ্চ score ১১০ (প্রতিটি control-এর জন্য ১, ৩, বা ৫ point কাটা যায়)।

Step 8 - Third-Party Assessment: CMMC-AB (Accreditation Body) certified C3PAO (Certified Third Party Assessment Organization) দিয়ে formal assessment করান।

Step 9 - Certification Maintenance: Certification তিন বছরের জন্য valid। Annual affirmation এবং continuous monitoring প্রয়োজন।

কয়েকটি critical control কীভাবে implement করতে হয় তার উদাহরণ।

Multi-Factor Authentication (3.5.3): সব privileged account এবং network access-এ MFA enable করতে হবে। FIPS-validated cryptography ব্যবহার বাধ্যতামূলক।

Encryption (3.13.11): CUI যখনই transmit বা store করা হবে, তখন FIPS 140-2/3 validated encryption ব্যবহার করতে হবে। অনেক প্রতিষ্ঠান এই কারণে Microsoft 365 GCC High-তে migrate করছে।

Audit Logging (3.3.1): সব security-relevant event log করতে হবে। SIEM সলিউশন যেমন Splunk, Microsoft Sentinel অপরিহার্য।

Boundary Protection (3.13.1): Firewall, IDS/IPS, এবং network segmentation দিয়ে CUI environment-কে অন্য network থেকে আলাদা রাখতে হবে।

Incident Response (3.6.1-3.6.3): Documented IR plan, trained team, এবং tested procedures থাকতে হবে। Incident DoD-কে ৭২ ঘন্টার মধ্যে report করতে হবে।

অনেক contractor cloud-এ CUI store করতে চান। কিন্তু সব cloud CMMC-উপযোগী নয়।

FedRAMP Moderate বা High Equivalent: CUI handle করতে হলে cloud service-কে FedRAMP Moderate (বা higher) authorized হতে হবে। Microsoft 365 GCC High, Azure Government, AWS GovCloud এই category-তে পড়ে।

DFARS 252.204-7012 Compliance: Cloud provider-কে DFARS clause-এর সাথে compliant হতে হবে এবং cyber incident reporting capability থাকতে হবে।

Shared Responsibility: CSP দায়ী থাকে infrastructure-এর জন্য, কিন্তু contractor দায়ী থাকেন data, configuration, এবং user-level control-এর জন্য।

CMMC compliance অর্জনে বাস্তবে অনেক challenge আছে।

Cost: Small business-এর জন্য CMMC Level 2 compliance খুবই ব্যয়বহুল। গড়ে $৫০,০০০ থেকে $৩,০০,০০০ পর্যন্ত খরচ হতে পারে।

Time: প্রস্তুতি থেকে certification পেতে সাধারণত ১২-১৮ মাস লাগে।

Skill Gap: CMMC assessment ও remediation-এর জন্য বিশেষজ্ঞ পাওয়া কঠিন।

Documentation Burden: SSP, POA&M, policies—প্রচুর documentation প্রয়োজন।

Continuous Compliance: Certification পাওয়াই শেষ নয়, প্রতিনিয়ত compliance বজায় রাখতে হয়।

সমাধান হিসেবে অনেকে Managed Service Provider (MSP) বা vCISO service ব্যবহার করছেন। কিছু GRC platform যেমন Hyperproof, ProArch, এবং Apptega CMMC compliance অর্জনে সাহায্য করে।

CMMC শুধু একটি compliance অর্জন নয়, এটি সাইবার নিরাপত্তা পরিপক্কতার একটি যাত্রা।

Enclave Approach: পুরো organization-কে CMMC scope-এ আনার পরিবর্তে একটি dedicated CUI enclave তৈরি করুন। এতে cost ও complexity কমে।

Zero Trust Architecture: NIST 800-207-এর Zero Trust principle অনুসরণ করুন। এটি অনেক CMMC control automatically satisfy করে।

Automation: Manual compliance বজায় রাখা কঠিন। SIEM, EDR, এবং CSPM tool-এর মাধ্যমে continuous monitoring automate করুন।

Training Culture: Annual training নয়, ongoing security awareness তৈরি করুন। Phishing simulation নিয়মিত চালান।

Vendor Management: আপনার subcontractor-দেরও CMMC requirements satisfy করতে হবে। তাদের সাথে clear contract ও flow-down clause রাখুন।

Insurance: Cyber liability insurance নিন যা CMMC compliance failure cover করে।