Cybersecurity Maturity Model Certification (CMMC)

Visão geral

O programa Cybersecurity Maturity Model Certification (CMMC) aprimora os padrões de proteção cibernética para empresas no DIB. Ele é projetado para proteger informações confidenciais não classificadas que são compartilhadas pelo DoD com seus contratados e subcontratados. O programa incorpora um conjunto de requisitos de segurança cibernética em programas de aquisição e fornece ao DoD maior garantia de que os contratados e subcontratados estão atendendo a esses requisitos.
 
O framework tem três recursos principais:
  • Modelo em camadas: o CMMC exige que as empresas encarregadas das informações de segurança nacional implementem padrões de segurança cibernética em níveis progressivamente avançados, dependendo do tipo e da sensibilidade das informações. O programa também define o encaminhamento do processo de fluxo de informações aos subcontratados.
  • Requisito de avaliação: as avaliações CMMC permitem que o DoD verifique a implementação de padrões claros de segurança cibernética.
  • Implementação por meio de contratos: Uma vez que o CMMC esteja totalmente implementado, certos contratados do DoD que lidam com informações confidenciais não classificadas do DoD serão obrigados a atingir um determinado nível de CMMC como condição para a concessão do contrato.
  • CMMC 2.0 é a próxima iteração do modelo de segurança cibernética CMMC do DoD. Ele simplifica os requisitos para três níveis de segurança cibernética - Básico, Avançado e Especialista - e alinha os requisitos em cada nível com os padrões de segurança cibernética NIST bem conhecidos e amplamente aceitos.

  • Em 3 de dezembro de 2021, o DoD lançou a Visão geral do modelo CMMC 2.0. O modelo CMMC 2.0 abrange os requisitos básicos de proteção para FCI especificados no Federal Acquisition Regulation (FAR) 52.204-21 e os requisitos de segurança para CUI no NIST SP 800-171r2 de acordo com a cláusula 252.204-7012 do Defense Federal Acquisition Regulation Supplement (DFARS).

    CMMC Level 1 (Foundational) apenas para empresas com FCI; as informações requerem proteção, mas não são essenciais para a segurança nacional; requer 17 práticas básicas de proteção; CMMC Level 1 Scoping Guidance

    CMMC Level 2 (Advanced) para empresas com CUI; exigirá as 110 práticas do NIST SP 800-171r2; pode exigir avaliações de terceiros ou autoavaliações, dependendo do tipo de informação; CMMC Level 2 Scoping Guidance

    CMMC Level 3 (Expert) para os programas de maior prioridade com CUI; usará um subconjunto do NIST SP 800-172; será avaliado por funcionários do governo.

  • A segurança cibernética é uma das principais prioridades do Departamento de Defesa.

    A Base Industrial de Defesa (DIB) é alvo de ataques cibernéticos cada vez mais frequentes e complexos. Para proteger a engenhosidade americana e as informações de segurança nacional, o DoD desenvolveu o CMMC 2.0 para aprimorar dinamicamente a segurança cibernética do DIB para enfrentar as ameaças em evolução e proteger as informações.
  • Depois que o CMMC estiver totalmente implementado, certos contratados do DoD que lidam com informações confidenciais não classificadas do DoD serão obrigados a atingir um determinado nível do CMMC como condição para a concessão do contrato.

  • O DoD expressou que não tem a intenção de aprovar a inclusão de um requisito CMMC em qualquer contrato antes da conclusão do processo de regulamentação do CMMC 2.0.  A estimativa do DoD para a conclusão desse processo é de 9 a 24 meses a partir de novembro de 2021.      

    Assim que o CMMC 2.0 for implementado, o DoD especificará o nível CMMC necessário na solicitação e em quaisquer Solicitações de Informações (RFIs), se utilizado.

  • Uma grande variedade de organizações, programas e contratados em toda a cadeia de suprimentos do DoD usam a AWS para transformar suas atividades e operações. Eles utilizam a AWS para criar ambientes de nuvem seguros para processar, manter e armazenar dados do governo federal dos EUA de acordo com o Defense Federal Acquisition Regulation Supplement (DFARS), o Guia de Requisitos de Segurança (SRG) da Computação em Nuvem do DoD, o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) e outros programas federais de conformidade.

    Você pode analisar estudos de caso para saber como a AWS está ajudando o DoD, incluindo os EUA. Agência de Logística de Defesa, EUA. Força Aérea, EUA. Marinha e EUA. Comando de operações especiais, assim como contratados do DoD, como Lockheed Martin, Raytheon e GDIT. Para obter mais informações sobre como a AWS atende aos requisitos de alta segurança do DoD, consulte a página da Web Computação em nuvem para defesa.

  • A regra provisória DFARS estabeleceu um período de introdução progressiva de cinco anos, durante o qual a conformidade CMMC é exigida apenas em contratos de piloto selecionados, conforme aprovado pelo Gabinete do Subsecretário de Defesa para Aquisição e Sustentação (OUSD (A&S)). O DoD expressou que não tem a intenção de aprovar a inclusão de um requisito CMMC em qualquer contrato antes da conclusão do processo de regulamentação do CMMC 2.0.

    Depois que o CMMC 2.0 for codificado por meio de regulamentação, o DoD exigirá que as empresas sigam o framework CMMC 2.0 revisada.
  • Não. O CMMC mensura os recursos e processos de segurança cibernética do contratante DIB em comparação com os requisitos de um nível específico de CMMC.  

    Como um provedor de serviços em nuvem (CSP), a AWS é autorizada pelo FedRAMP em FedRAMP High e pela Defense Information Systems Agency (DISA) nos níveis de impacto SRG 2, 4 e 5.
  • Não. O DoD ainda não definiu como outros programas de conformidade, como o FedRAMP ou a ISO 27001 Information Security Management, serão mapeados para os níveis de CMMC 2.0.

  • O pacote do cliente do CMMC da AWS fornece um detalhamento dos controles de segurança do CMMC Nível 2 / NIST SP 800-171 que os clientes podem herdar da AWS usando o AWS Landing Zone Accelerator na AWS GovCloud (EUA).

    O pacote do cliente do CMMC da AWS está disponível para download por parte do cliente no AWS Artifact nas regiões AWS GovCloud (EUA) e padrões da AWS. 

  • Sim. Os consultores do AWS Professional Services são treinados no AWS Landing Zone Accelerator pela AWS GovCloud (EUA) e podem oferecer suporte a implementações de clientes que enfrentam os desafios de conformidade do CMMC. 

  • A AWS pretende oferecer aos clientes a flexibilidade de implantar e certificar soluções CMMC 2.0 da AWS em regiões padrões e restritas (Leste/Oeste dos EUA, AWS GovCloud (EUA) etc.) com base nos requisitos de seus programas e contratos entre suas empresas e o DoD.

Se você tiver dúvidas a respeito da conformidade com o CMMC ou o DoD, entre em contato com o gerente de contas da AWS ou envie o formulário de contato da conformidade da AWS para entrar em contato com a sua equipe de contas.

Recursos do CMMC

Para obter mais informações sobre as soluções e produtos da AWS que oferecem suporte aos requisitos DFARS, NIST SP 800-171 ou CMMC de nossos clientes, entre em contato conosco em cmmconaws@amazon.com 

Landing Zone Accelerator on AWS
DFARS com a AWS
Blogs do AWS Public Sector sobre CMMC
AWS GovCloud (EUA)
Conformidade com o FedRAMP
Dúvidas? Entre em contacto com um representante comercial da AWS
Entre em contato conosco
Você está buscando funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »