Certificazione sul modello di maturità per la sicurezza informatica (Cybersecurity Maturity Model Certification, CMMC)
Panoramica
- Modello a livelli: la CMMC richiede che le aziende a cui sono affidate informazioni sulla sicurezza nazionale implementino standard di sicurezza informatica a livelli progressivamente avanzati, a seconda del tipo e della sensibilità delle informazioni. Il programma stabilisce anche il processo per il flusso di informazioni verso i subappaltatori.
- Requisito di valutazione: le valutazioni CMMC permettono al Dipartimento della Difesa di verificare l'implementazione di chiari standard di sicurezza informatica.
- Implementazione attraverso i contratti: una volta che la CMMC è completamente implementata, alcuni appaltatori del Dipartimento della Difesa che gestiscono informazioni sensibili non classificate dello stesso saranno tenuti a raggiungere un particolare livello di CMMC come condizione di aggiudicazione del contratto.
Domande frequenti
-
Cos'è la CMMC 2.0?
CMMC 2.0 è la prossima iterazione del modello di sicurezza informatica CMMC del Dipartimento della Difesa. Esso razionalizza i requisiti a tre livelli di sicurezza informatica (Base, Avanzato ed Esperto) e allinea i requisiti a ogni livello con gli standard di sicurezza informatica NIST ben noti e ampiamente accettati. -
Quali sono i nuovi livelli in CMMC 2.0?
Il 3 dicembre 2021 il Dipartimento della Difesa statunitense ha rilasciato la Panoramica del modello CMMC 2.0. Il modello CMMC 2.0 comprende i requisiti di base per la salvaguardia delle FCI specificate nel Federal Acquisition Regulation (FAR) 52.204-21 e i requisiti di sicurezza per le CUI nel NIST SP 800-171r2 per la clausola 252.204-7012 del Defense Federal Acquisition Regulation Supplement (DFARS).
CMMC Livello 1 (Base) solo per aziende con FCI; le informazioni richiedono protezione, ma non sono critiche per la sicurezza nazionale; richiede 17 pratiche di salvaguardia di base; Guida per la definizione degli ambiti della CMMC Livello 1
CMMC Livello 2 (Avanzato) per le aziende con CUI; richiederà le 110 pratiche dal NIST SP 800-171r2; può richiedere valutazioni di terze parti o autovalutazioni, a seconda del tipo di informazioni; Guida per la definizione degli ambiti della CMMC Livello 2
CMMC Livello 3 (Esperto) per i programmi a più alta priorità con CUI; userà un sottoinsieme di NIST SP 800-172; sarà valutato da funzionari governativi.
-
Perché viene implementata la CMMC 2.0?
La sicurezza informatica è una priorità assoluta per il Dipartimento della Difesa.
La base industriale della difesa (DIB) è l'obiettivo di attacchi informatici sempre più frequenti e complessi. Per proteggere l'ingegno americano e le informazioni di sicurezza nazionale, il Dipartimento della Difesa ha sviluppato la CMMC 2.0 per migliorare dinamicamente la sicurezza informatica della DIB per proteggersi dalle minacce in evoluzione e salvaguardare le informazioni.
-
Chi necessita della certificazione CMMC?
Una volta che la CMMC è completamente implementata, alcuni appaltatori del Dipartimento della Difesa che gestiscono informazioni sensibili non classificate dello stesso saranno tenuti a raggiungere un particolare livello di CMMC come condizione di aggiudicazione del contratto. -
Da quando il Dipartimento della Difesa implementerà il requisito della CMMC 2.0?
Il Dipartimento della Difesa ha espresso la volontà di non approvare l'inclusione di un requisito CMMC in qualsiasi contratto prima del completamento del processo di regolamentazione CMMC 2.0. La stima del Dipartimento della Difesa per il completamento di questo processo è di 9-24 mesi da novembre 2021.
Una volta che la CMMC 2.0 sarà implementata, il Dipartimento della Difesa specificherà il livello di CMMC richiesto nelle istanze e in qualsiasi richiesta di informazioni (RFI), se utilizzata. -
Esistono membri della catena di approvvigionamento del Dipartimento della Difesa che attualmente usano AWS?
Un’ampia gamma di organizzazioni, programmi e appaltatori nella catena di approvvigionamento del Dipartimento della Difesa utilizzano AWS per trasformare le proprie attività e operazioni. creando ambienti sicuri per l'elaborazione, la gestione e lo storage dei dati del governo federale in ottemperanza al Defense Federal Acquisition Regulation Supplement (DFARS), al DoD Cloud Computing Security Requirements Guide (SRG), al Federal Risk and Authorization Management Program (FedRAMP) e ad altri programmi federali di conformità.
Dai casi di studio emerge come AWS stia aiutando il DoD, compresi l'U.S. Defense Logistics Agency, l'U.S. Air Force, l’U.S. Navy e l’U.S. Special Operations Command, così come appaltatori del DoD quali Lockheed Martin, Raytheon e GDIT. Per ulteriori informazioni sulla capacità di AWS di soddisfare i severi requisiti di sicurezza del Dipartimento della Difesa, consulta la pagina Web di Cloud Computing for Defense.
-
Qual è l'impatto della nuova "Interim Rule" (Regolamento ad interim) del Dipartimento della Difesa sulla mia organizzazione?
Il regolamento ad interim DFARS ha stabilito un periodo di introduzione graduale di cinque anni, durante il quale la conformità CMMC è richiesta solo in contratti pilota selezionati, come approvato dall'Ufficio del Sottosegretario del Dipartimento della Difesa responsabile per l'approvvigionamento e il supporto (OUSD(A&S)). Il Dipartimento della Difesa ha espresso la volontà di non approvare l'inclusione di un requisito CMMC in qualsiasi contratto prima del completamento del processo di regolamentazione CMMC 2.0.
Una volta che la CMMC 2.0 è codificata in tutta la regolamentazione, il Dipartimento della Difesa richiederà alle aziende di aderire al framework CMMC 2.0 rivisto. -
È necessario che i servizi cloud dispongano della certificazione CMMC?
No. La CMMC misura le funzionalità e i processi in materia di sicurezza informatica dell'appaltatore della DIB rispetto ai requisiti per un particolare livello della CMMC.
Come fornitore di servizi cloud (CSP), AWS è autorizzato da FedRAMP al livello FedRAMP High e dalla Defense Information Systems Agency (DISA) ai livelli di impatto SRG 2, 4 e 5. -
AWS offre la reciprocità CMMC 2.0 con altri programmi di conformità?
No. Il Dipartimento della Difesa non ha ancora definito come altri programmi di conformità come FedRAMP o ISO 27001 Information Security Management si rapporteranno ai livelli CMMC 2.0. -
AWS offre soluzioni e documentazione di conformità che agevolano la conformità alla certificazione CMMC 2.0?
Il pacchetto clienti CMMC di AWS fornisce una descrizione dei controlli di sicurezza CMMC di livello 2 / NIST SP 800-171 che i clienti possono ereditare da AWS utilizzando l’acceleratore zona di destinazione AWS nell’AWS GovCloud (Stati Uniti).
Il pacchetto clienti CMMC di AWS è disponibile per il download da parte del cliente nella sezione AWS Artifact in entrambe le regioni AWS Standard e AWS GovCloud (Stati Uniti).
-
I servizi professionali AWS supportano i clienti nell'adempiere ai requisiti di conformità CMMC?
Sì. I consulenti di AWS Professional Services hanno ricevuto una formazione sull’acceleratore zona di destinazione AWS nell’AWS GovCloud (Stati Uniti) e sono in grado di supportare le implementazioni dei clienti dedicate alle sfide per ottenere la conformità alla CMMC.
-
Quali regioni AWS dovrei usare per implementare il nostro ambiente cloud CMMC 2.0?
AWS intende offrire ai clienti la flessibilità necessaria per implementare e certificare le soluzioni AWS CMMC 2.0 nelle regioni standard e limitate (Stati Uniti Orientali/Occidentali, AWS GovCloud (Stati Uniti), eccetera) in base ai requisiti della rispettiva attività e dei programmi e contratti del DoD.
Risorse CMMC
Per maggiori informazioni sulle soluzioni e sui servizi AWS che supportano i requisiti DFARS, NIST SP 800-171 e CMMC dei nostri clienti, contattaci all’indirizzocmmconaws@amazon.com
Per domande relative alla conformità CMMC o al Dipartimento della Difesa, contatta l’Account Manager AWS o invia il modulo di contatto per la conformità AWS per collegarti al team del tuo account.