Cybersecurity Maturity Model Certification (CMMC)

Übersicht

140940_AWS_Multi-Logo Graphic_600x400_DoD

Das Büro des Verteidigungsministeriums Department of Defense (DoD) Office of the Under Secretary of Defense (OUSD) for Acquisition and Sustainment (OUSD) implementiert die CMMC als einen Mechanismus, der dazu beitragen soll, das geistige Eigentum und sensible Informationen des DoD vor Cybersicherheitsereignissen vor Haupt- und Unterauftragnehmern zu schützen. Die CMMC konzentriert sich auf die Sicherheit und Belastbarkeit der externen Lieferkette des Verteidigungsministeriums, einschließlich der Mitglieder der Defense Industrial Base (DIB), und führt Stufenanforderungen für die Bereiche, Praktiken und Verfahren ein, die Unternehmen von einem externen Gutachter zertifizieren lassen müssen, um sich um die meisten Aufträge des Verteidigungsministeriums bewerben zu können. Mit AWS können Auftragnehmer des Verteidigungsministeriums CMMC-konforme Umgebungen zur Verarbeitung, Pflege und Speicherung von DoD-Daten erstellen.

  • Was ist CMMC?

    CMMC seht für „Cybersecurity Maturity Model Certification“. Das CMMC umfasst mehrere Reifestufen, die von „Basic Cybersecurity Hygiene“ bis „Advanced/Progressive“ reichen. Jede Reifestufe beinhaltet zunehmend anspruchsvollere Prozess- und Praxisanforderungen, um die Zertifizierung zu erreichen. In den DoD-Verträgen werden die erforderlichen CMMC-Stufen definiert; Stufe 1 - Schutz von Federal Contract Information (FCI), Stufe 2 - Übergang zum Schutz von Controlled Unclassified Information (CUI), Stufe 3 - Schutz von CUI und Stufen 4 und 5 - Schutz von CUI und Reduzierung des Risikos von Advanced Persistent Threats (APTs).

    Das Verteidigungsministerium beabsichtigt, die CMMC-Anforderungen in das Defense Federal Acquisition Regulation Supplement (DFARS) aufzunehmen, und wird die Zertifizierung zur Voraussetzung für die meisten Verträge des Verteidigungsministeriums machen. Weitere Informationen erhalten Sie unter https://www.acq.osd.mil/cmmc/index.html.

  • Warum wird die CMMC umgesetzt?

    Das Verteidigungsministerium geht zum neuen CMMC-Rahmenwerk über, um sich gegen den Diebstahl von sensiblen Informationen und geistigem Eigentum des Ministeriums zu schützen. Die CMMC wird die Cybersicherheit der Lieferkette der Defense Industrial Base (DIB) bewerten und verbessern und sicherstellen, dass geeignete Cybersicherheitspraktiken und -prozesse vorhanden sind.

  • Wer muss CMMC-zertifiziert sein?

    Das DoD schätzt, dass mehr als 300.000 Unternehmen eine Bewertung und Zertifizierung auf einer der fünf CMMC-Stufen benötigen werden. Dazu gehören Hauptauftragnehmer, Unterauftragnehmer und generell alle Unternehmen, die Produkte an das DoD verkaufen oder Dienstleistungen für das DoD erbringen.

  • Wann geht das DoD zur CMMC-Anforderung über?

    Das DoD wird die CMMC-Anforderungen ab 2020 bei neuen Verträge einführen. Für das Jahr 2020 plant das DoD 10 Informationsanfragen (RFI) und 10 Angebotsanfragen (RFP), die die Anforderungen des CMMC enthalten sollen. In den nächsten fünf Jahren werden die CMMC-Anforderungen in zunehmendem Maße in neue DoD-Verträge aufgenommen, und bis zum GJ 2026 werden fast alle neuen DoD-Verträge CMMC-Anforderungen enthalten.

  • Gibt es jetzt Glieder der Lieferkette des Verteidigungsministeriums, die AWS verwenden?

    Ein breites Spektrum von Unternehmen, Programmen und Auftragnehmern in der gesamten Lieferkette des Verteidigungsministeriums nutzt AWS, um ihre Geschäfte und Abläufe umzugestalten. Sie setzen AWS ein, um sichere Umgebungen für die Verarbeitung, Pflege und Speicherung von Daten der US- Bundesregierung gemäß DFARS, dem DoD Cloud Computing Security Requirements Guide (SRG), dem Federal Risk and Authorization Management Program (FedRAMP) und anderen Bundesprogrammen zur Einhaltung von Vorschriften zu schaffen.

    Sie können Fallstudien lesen, um zu erfahren, wie AWS das DoD unterstützt, einschließlich die der U.S. Defense Logistics Agency, U.S. Air Force, U.S. Navy und des U.S. Special Operations Command sowie von DoD-Auftragnehmern wie Lockheed Martin, Raytheon und GDIT. Weitere Informationen darüber, wie AWS die hohen Sicherheitsanforderungen des DoD erfüllt, finden Sie auf der Webseite Cloud Computing for Defense.

  • Wie wird mein Unternehmen zertifiziert?

    Eine unabhängige, gemeinnützige Akkreditierungsstelle (AS) wurde von der CMMC eingerichtet, um einzelne Gutachter von Certified Third-Party Assessment Organizations (C3PAOs) auszubilden und zu akkreditieren. Die CMMC-AS plant die Einrichtung eines CMMC-Marktplatzes für DoD-Auftragnehmer, auf dem sie zugelassene C3PAOs für Bewertungen und Zertifizierungen einsehen, auswählen und mit ihnen zusammenarbeiten können.

    DoD-Auftragnehmer werden alle drei Jahre einer unabhängigen Sicherheitsbewertung durch ein C3PAO unterzogen und für eine bestimmte CMMC-Reifestufe zertifiziert. Die CMMC-AS wird die erforderlichen Informationen und Aktualisierungen auf seiner Website zur Verfügung stellen: https://www.cmmcab.org.

  • Ist AWS CMMC-zertifiziert?

    Die CMMC-AS muss noch Gutachter und C3PAOs identifizieren und zertifizieren und hat den CMMC-AB-Marktplatz noch nicht erstellt, der die Liste der C3PAOs bereitstellen wird, die für die Durchführung von Bewertungen zertifiziert wurden. AWS arbeitet mit dem DoD und der CMMC-AS bei den Anforderungen und dem Zertifizierungsprozess zusammen.

  • Bietet AWS Lösungen an, um bei der CMMC-Zertifizierung zu helfen?

    AWS arbeitet mit dem Verteidigungsministerium und der CMMC-AS bei den CMMC-Anforderungen zusammen, um die Einführung und Zertifizierung in der gesamten Verteidigungslieferkette (DSC) zu beschleunigen. Die CMMC-AS ist dabei, die zertifizierten CMMC-Gutachter und C3PAOs zu identifizieren und auszubilden, den Zertifizierungsprozess zu definieren, die FedRAMP-Reziprozität im Detail zu beschreiben und den CMMC-Marktplatz zu erstellen. AWS beabsichtigt, den Kunden CMMC-Lösungen anzubieten, die ihre CMMC-Zertifizierung beschleunigen und ihren Aufwand und ihr Risiko reduzieren. AWS plant, CMMC-Lösungen anzubieten, die automatisierte Bereitstellungsfunktionen, Referenzarchitekturen, eine CMMC-Praxis-Verantwortlichkeitsmatrix, eine potenzielle FedRAMP-Berechtigungsvererbung (nach der Definition durch das DoD) und unterstützende Zertifizierungsdokumentation umfassen, die Kunden bei der Verfolgung ihrer CMMC-Zertifizierung nutzen können. AWS beabsichtigt, den Kunden die Flexibilität zu bieten, AWS CMMC-Lösungen in unseren Regionen (N. Virginia, AWS GovCloud (USA) usw.) auf der Grundlage der Anforderungen ihres Unternehmens und ihrer DoD-Programme einzusetzen und zu zertifizieren.

Wenn Sie Fragen zur CMMC- oder DoD-Konformität haben, wenden Sie sich bitte an den für Sie zuständigen AWS Account Manager, oder übermitteln Sie die Fragen über das AWS Compliance-Kontaktformular, um Kontakt mit dem für Sie zuständigen Kontoteam aufzunehmen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »