Cybersecurity Maturity Model Certification (CMMC)

Übersicht

Das Programm Cybersecurity Maturity Model Certification (CMMC) verbessert die Cyber-Schutzstandards für Unternehmen der DIB. Es wurde entwickelt, um sensible, nicht klassifizierte Informationen zu schützen, die vom DoD mit seinen Auftragnehmern und Subunternehmern geteilt werden. Das Programm integriert eine Reihe von Cybersicherheitsanforderungen in Erwerbssprogramme und bietet dem DoD eine erhöhte Sicherheit, dass Auftragnehmer und Unterauftragnehmer diese Anforderungen erfüllen.
 
Das Framework hat drei Hauptfunktionen:
  • Stufenmodell: CMMC verlangt, dass Unternehmen, die mit nationalen Sicherheitsinformationen betraut sind, je nach Art und Vertraulichkeit der Informationen Cybersicherheitsstandards auf fortschreitendem Niveau implementieren. Das Programm legt auch den Prozess für den Informationsfluss bis hin zu den Subunternehmern fest.
  • Bewertungsanforderung: CMMC-Bewertungen ermöglichen es dem DoD, die Umsetzung klarer Cybersicherheitsstandards zu überprüfen.
  • Implementierung durch Verträge: Sobald CMMC vollständig implementiert ist, müssen bestimmte DoD-Auftragnehmer, die sensible, nicht klassifizierte DoD-Informationen verarbeiten, als Bedingung für die Auftragsvergabe eine bestimmte CMMC-Stufe erreichen.
  • CMMC 2.0 ist die nächste Iteration des CMMC-Cybersicherheitsmodells des DoD. Es rationalisiert die Anforderungen auf drei Ebenen der Cybersicherheit – Foundational, Advanced und Expert – und stimmt die Anforderungen auf jeder Ebene mit bekannten und weithin akzeptierten NIST-Cybersicherheitsstandards ab.

  • Am 3. Dezember 2021 veröffentlichte das DoD die Übersicht über das CMMC-2.0-Modell. Das CMMC-2.0-Modell umfasst die grundlegenden Schutzanforderungen für FCI gemäß der Federal Acquisition Regulation (FAR) 52.204-21 und die Sicherheitsanforderungen für CUI gemäß des NIST SP 800-171r2 und Defense Federal Acquisition Regulation Supplement (DFARS) 252.204-7012.

    CMMC Stufe 1 (Grundlagen) für Unternehmen mit nur FCI; Informationen müssen geschützt werden, sind aber nicht kritisch für die nationale Sicherheit; erfordert 17 grundlegende Schutzmaßnahmen; CMMC Stufe 1 Scoping Guidance

    CMMC Stufe 2 (Fortgeschritten) für Unternehmen mit CUI; erfordert die 110 Praktiken aus NIST SP 800-171r2; kann je nach Art der Informationen Dritt- oder Selbstbewertungen erfordern; CMMC Level 2 Scoping Guidance

    CMMC Stufe 3 (Experte) für die Programme mit höchster Priorität und CUI; benutzt eine Untergruppe von NIST SP 800-172; wird von Regierungsbeamten bewertet.

  • Cybersicherheit hat für das Verteidigungsministerium höchste Priorität.

    Die Defense Industrial Base (DIB) ist das Ziel immer häufigerer und komplexer Cyberangriffe. Um den amerikanischen Einfallsreichtum und die nationalen Sicherheitsinformationen zu schützen, hat das DoD CMMC 2.0 entwickelt, um die DIB-Cybersicherheit dynamisch zu verbessern, um sich entwickelnden Bedrohungen zu begegnen und Informationen zu schützen.
  • Sobald CMMC vollständig implementiert ist, müssen bestimmte DoD-Auftragnehmer, die sensible, nicht klassifizierte DoD-Informationen verarbeiten, als Bedingung für die Auftragsvergabe eine bestimmte CMMC-Stufe erreichen.

  • Das DoD hat zum Ausdruck gebracht, dass es nicht beabsichtigt, die Aufnahme einer CMMC-Anforderung in einen Vertrag vor Abschluss des CMMC-2.0-Regelungsprozesses zu genehmigen.  Die Schätzung des DoD für den Abschluss dieses Prozesses beträgt 9 bis 24 Monate ab November 2021.      

    Sobald CMMC 2.0 implementiert ist, wird das DoD die erforderliche CMMC-Stufe in der Aufforderung und in allen Informationsanfragen (RFIs) angeben, falls diese verwendet werden.

  • Ein breites Spektrum von Unternehmen, Programmen und Auftragnehmern in der gesamten Lieferkette des Verteidigungsministeriums nutzt AWS, um ihre Geschäfte und Abläufe umzugestalten. Sie setzen AWS ein, um sichere Cloud-Umgebungen für die Verarbeitung, Pflege und Speicherung von Daten der US- Bundesregierung gemäß Defense Federal Acquisition Regulation Supplement (DFARS), dem DoD Cloud Computing Security Requirements Guide (SRG), dem Federal Risk and Authorization Management Program (FedRAMP) und anderen Bundesprogrammen zur Einhaltung von Vorschriften zu schaffen.

    Sie können Fallstudien lesen, um zu erfahren, wie AWS das DoD unterstützt, einschließlich die der U.S. Defense Logistics Agency, U.S. Air Force, U.S. Navy und des U.S. Special Operations Command sowie von DoD-Auftragnehmern wie Lockheed Martin, Raytheon und GDIT. Weitere Informationen darüber, wie AWS die hohen Sicherheitsanforderungen des DoD erfüllt, finden Sie auf der Webseite Cloud Computing for Defense.

  • Die vorläufige DFARS-Regel sieht eine fünfjährige Phase-in-Phase vor, während der die CMMC-Konformität nur in ausgewählten Pilotverträgen erforderlich ist, wie vom Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)) genehmigt. Das DoD hat zum Ausdruck gebracht, dass es nicht beabsichtigt, die Aufnahme einer CMMC-Anforderung in einen Vertrag vor Abschluss des CMMC-2.0-Regelungsprozesses zu genehmigen.

    Sobald CMMC 2.0 durch Regelsetzung kodifiziert ist, verlangt das DoD von den Unternehmen, sich an das überarbeitete CMMC-2.0-Framework zu halten.
  • Nein. CMMC misst die Cybersicherheitskapazitäten und -prozesse eines DIB-Auftragnehmers im Vergleich zu den Anforderungen für eine bestimmte CMMC-Stufe.  

    Als Cloud Service Provider (CSP) ist AWS von FedRAMP auf FedRAMP High und von der Defense Information Systems Agency (DISA) auf SRG Impact Levels 2, 4 und 5 autorisiert.
  • Nein. Das DoD hat noch nicht definiert, wie andere Compliance-Programme wie FedRAMP oder ISO 27001 Information Security Management den CMMC-2.0-Stufen zugeordnet werden.

  • Das AWS-CMMC-Kundenpaket bietet eine Aufschlüsselung der Sicherheitskontrollen von CMMC Ebene 2/NIST SP 800-171, die Kunden von AWS übernehmen können, indem sie den AWS Landing Zone Accelerator in der AWS GovCloud (USA) verwenden.

    Das AWS-CMMC-Kundenpaket steht Kunden in den Regionen AWS Standard und AWS GovCloud (USA) in AWS Artifact zum Download zur Verfügung. 

  • Ja. Die Berater von AWS Professional Services sind im AWS Landing Zone Accelerator in der AWS GovCloud (USA) geschult und können Kundenimplementierungen unterstützen, die Herausforderungen der CMMC-Compliance angehen. 

  • AWS beabsichtigt, Kunden die Flexibilität zu bieten, AWS-CMMC-2.0-Lösungen in Standard- und eingeschränkten Regionen (USA Ost/West, AWS GovCloud (USA) usw.) basierend auf den Anforderungen ihrer Geschäfts- und DoD-Programme und -Verträge bereitzustellen und zu zertifizieren.

Wenn Sie Fragen zur CMMC- oder DoD-Konformität haben, wenden Sie sich bitte an den für Sie zuständigen AWS Account Manager, oder übermitteln Sie die Fragen über das AWS Compliance-Kontaktformular, um Kontakt mit dem für Sie zuständigen Kontoteam aufzunehmen.

CMMC-Ressourcen

Für weitere Informationen zu den AWS-Lösungen und -Services, die die DFARS-, NIST-SP-800-171- oder CMMC-Anforderungen unserer Kunden unterstützen, kontaktieren Sie uns bitte unter cmmconaws@amazon.com 

Landing Zone Accelerator in AWS
DFARS mit AWS
Blogs zu AWS Public Sector auf CMMC
AWS GovCloud (USA)
FedRAMP-Compliance
Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Kontakt
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »