Cybersecurity Maturity Model Certification (CMMC)

Was ist neu bei AWS CMMC Compliance?

AWS hat den Landing Zone Accelerator (LZ Accelerator) auf AWS eingeführt, um Kunden den Regionen AWS Commercial und AWS GovCloud (USA) bei der schnellen Bereitstellung einer sicheren, belastbaren, skalierbaren und vollständig automatisierten Cloud-Grundlage zu unterstützen. Diese beschleunigt Ihre Bereitschaft für Ihr Cloud-Compliance-Programm. Der LZ Accelerator wurde entworfen, um die bewährten Methoden von AWS und mehrere globale Compliance-Frameworks wie Cybersecurity Maturity Model Certification (CMMC) and The Department of Defense (DoD) Cloud Computing Security Requirements Guide (SRG) einzuhalten. Gleichzeitig sollen die technischen Anstrengungen, Kosten und Risiken gesenkt werden.

In Kombination mit anderen AWS-Services bietet der LZ Accelerator eine umfassende No-Code-Lösung für mehr als 35 AWS-Services. Mit dieser Lösung können Kunden mit stark regulierten Workloads und komplexen Compliance-Anforderungen ihre Multi-Konto-Umgebung besser verwalten und steuern. Die Landing-Zone-Accelerator-Lösung hilft Ihnen dabei, die Plattform mit Sicherheits-, Compliance- und Betriebsfunktionen auszustatten.

Weitere Informationen über den Landing Zone Accelerator auf AWS finden Sie unter: https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/

Übersicht

Das Programm Cybersecurity Maturity Model Certification (CMMC) verbessert die Cyber-Schutzstandards für Unternehmen der DIB. Es wurde entwickelt, um sensible, nicht klassifizierte Informationen zu schützen, die vom DoD mit seinen Auftragnehmern und Subunternehmern geteilt werden. Das Programm integriert eine Reihe von Cybersicherheitsanforderungen in Erwerbssprogramme und bietet dem DoD eine erhöhte Sicherheit, dass Auftragnehmer und Unterauftragnehmer diese Anforderungen erfüllen.
 
Das Framework hat drei Hauptfunktionen:
  • Stufenmodell: CMMC verlangt, dass Unternehmen, die mit nationalen Sicherheitsinformationen betraut sind, je nach Art und Vertraulichkeit der Informationen Cybersicherheitsstandards auf fortschreitendem Niveau implementieren. Das Programm legt auch den Prozess für den Informationsfluss bis hin zu den Subunternehmern fest.
  • Bewertungsanforderung: CMMC-Bewertungen ermöglichen es dem DoD, die Umsetzung klarer Cybersicherheitsstandards zu überprüfen.
  • Implementierung durch Verträge: Sobald CMMC vollständig implementiert ist, müssen bestimmte DoD-Auftragnehmer, die sensible, nicht klassifizierte DoD-Informationen verarbeiten, als Bedingung für die Auftragsvergabe eine bestimmte CMMC-Stufe erreichen.
  • Was ist CMMC 2.0?

    CMMC 2.0 ist die nächste Iteration des CMMC-Cybersicherheitsmodells des DoD. Es rationalisiert die Anforderungen auf drei Ebenen der Cybersicherheit – Foundational, Advanced und Expert – und stimmt die Anforderungen auf jeder Ebene mit bekannten und weithin akzeptierten NIST-Cybersicherheitsstandards ab.
  • Was sind die neuen Ebenen in CMMC 2.0?

    Am 3. Dezember 2021 veröffentlichte das DoD die Übersicht über das CMMC-2.0-Modell. Das CMMC-2.0-Modell umfasst die grundlegenden Schutzanforderungen für FCI gemäß der Federal Acquisition Regulation (FAR) 52.204-21 und die Sicherheitsanforderungen für CUI gemäß des NIST SP 800-171r2 und Defense Federal Acquisition Regulation Supplement (DFARS) 252.204-7012.

    CMMC Stufe 1 (Grundlagen) für Unternehmen mit nur FCI; Informationen müssen geschützt werden, sind aber nicht kritisch für die nationale Sicherheit; erfordert 17 grundlegende Schutzmaßnahmen; CMMC Stufe 1 Scoping Guidance

    CMMC Stufe 2 (Fortgeschritten) für Unternehmen mit CUI; erfordert die 110 Praktiken aus NIST SP 800-171r2; kann je nach Art der Informationen Dritt- oder Selbstbewertungen erfordern; CMMC Level 2 Scoping Guidance

    CMMC Stufe 3 (Experte) für die Programme mit höchster Priorität und CUI; benutzt eine Untergruppe von NIST SP 800-172; wird von Regierungsbeamten bewertet.

  • Warum wird die CMMC 2.0 implementiert?

    Cybersicherheit hat für das Verteidigungsministerium höchste Priorität.

    Die Defense Industrial Base (DIB) ist das Ziel immer häufigerer und komplexer Cyberangriffe. Um den amerikanischen Einfallsreichtum und die nationalen Sicherheitsinformationen zu schützen, hat das DoD CMMC 2.0 entwickelt, um die DIB-Cybersicherheit dynamisch zu verbessern, um sich entwickelnden Bedrohungen zu begegnen und Informationen zu schützen.
  • Wer muss CMMC-zertifiziert sein?

    Sobald CMMC vollständig implementiert ist, müssen bestimmte DoD-Auftragnehmer, die sensible, nicht klassifizierte DoD-Informationen verarbeiten, als Bedingung für die Auftragsvergabe eine bestimmte CMMC-Stufe erreichen.
  • Wann geht das DoD zur CMMC-Anforderung 2.0 über?

    Das DoD hat zum Ausdruck gebracht, dass es nicht beabsichtigt, die Aufnahme einer CMMC-Anforderung in einen Vertrag vor Abschluss des CMMC-2.0-Regelungsprozesses zu genehmigen.  Die Schätzung des DoD für den Abschluss dieses Prozesses beträgt 9 bis 24 Monate ab November 2021.      

    Sobald CMMC 2.0 implementiert ist, wird das DoD die erforderliche CMMC-Stufe in der Aufforderung und in allen Informationsanfragen (RFIs) angeben, falls diese verwendet werden.

  • Gibt es jetzt Glieder der Lieferkette des Verteidigungsministeriums, die AWS verwenden?

    Ein breites Spektrum von Unternehmen, Programmen und Auftragnehmern in der gesamten Lieferkette des Verteidigungsministeriums nutzt AWS, um ihre Geschäfte und Abläufe umzugestalten. Sie setzen AWS ein, um sichere Cloud-Umgebungen für die Verarbeitung, Pflege und Speicherung von Daten der US- Bundesregierung gemäß Defense Federal Acquisition Regulation Supplement (DFARS), dem DoD Cloud Computing Security Requirements Guide (SRG), dem Federal Risk and Authorization Management Program (FedRAMP) und anderen Bundesprogrammen zur Einhaltung von Vorschriften zu schaffen.

    Sie können Fallstudien lesen, um zu erfahren, wie AWS das DoD unterstützt, einschließlich die der U.S. Defense Logistics Agency, U.S. Air Force, U.S. Navy und des U.S. Special Operations Command sowie von DoD-Auftragnehmern wie Lockheed Martin, Raytheon und GDIT. Weitere Informationen darüber, wie AWS die hohen Sicherheitsanforderungen des DoD erfüllt, finden Sie auf der Webseite Cloud Computing for Defense.

  • Wie wirkt sich die neue „DoD-Übergangsregel“ auf meine Organisation aus?

    Die vorläufige DFARS-Regel sieht eine fünfjährige Phase-in-Phase vor, während der die CMMC-Konformität nur in ausgewählten Pilotverträgen erforderlich ist, wie vom Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)) genehmigt. Das DoD hat zum Ausdruck gebracht, dass es nicht beabsichtigt, die Aufnahme einer CMMC-Anforderung in einen Vertrag vor Abschluss des CMMC-2.0-Regelungsprozesses zu genehmigen.

    Sobald CMMC 2.0 durch Regelsetzung kodifiziert ist, verlangt das DoD von den Unternehmen, sich an das überarbeitete CMMC-2.0-Framework zu halten.
  • Müssen Cloud-Services CMMC-zertifiziert sein?

    Nein. CMMC misst die Cybersicherheitskapazitäten und -prozesse eines DIB-Auftragnehmers im Vergleich zu den Anforderungen für eine bestimmte CMMC-Stufe.  

    Als Cloud Service Provider (CSP) ist AWS von FedRAMP auf FedRAMP High und von der Defense Information Systems Agency (DISA) auf SRG Impact Levels 2, 4 und 5 autorisiert.
  • Bietet AWS-CMMC-Reziprozität 2.0 mit anderen Compliance-Programmen?

    Nein. Das DoD hat noch nicht definiert, wie andere Compliance-Programme wie FedRAMP oder ISO 27001 Information Security Management den CMMC-2.0-Stufen zugeordnet werden.
  • Bietet AWS Lösungen und Compliance-Dokumentation zur Unterstützung der CMMC-2.0-Compliance?

    Ja.  Unter CMMC 2.0 entspricht das Level „Advanced“ (Level 2) dem NIST SP 800-171. Das Level „Expert“ (Level 3), das sich derzeit in der Entwicklung befindet, wird auf einer Teilmenge der NIST SP 800-172-Anforderungen basieren.

    AWS hat die NIST SP 2 Customer Responsibility Matrix (CRM) veröffentlicht, die auf CMMC 800-171 Ebene 2 Fortschrittlich ausgerichtet ist und eine Aufschlüsselung der Sicherheit von NIST SP 800 171 bietet Kontrollen, die Kunden von AWS erben können, indem sie konforme Rahmenbedingungen für Bundesbehörden- und DoD-Workloads in AWS GovCloud (USA) verwenden.
     
    Das CRM-Paket AWS NIST SP 800-171 steht in AWS Artifact sowohl in der AWS-Standard- als auch in der AWS-GovCloud (USA)-Region den Kunden zum Download zur Verfügung.

  • Unterstützt AWS Professional Services Kunden bei der Erfüllung ihrer CMMC-Compliance-Anforderungen?

    Ja. Die Berater von AWS Professional Services werden in den konformen Rahmenbedingungen für Bundesbehörden- und DoD-Workloads in AWS GovCloud (USA) von AWS geschult und können Kundenimplementierungen unterstützen, die sich mit CMMC-Compliance-Herausforderungen befassen.

  • Welche AWS-Region(en) sollte ich zum Bereitstellen unserer CMMC-Cloud-Umgebung 2.0 verwenden?

    AWS beabsichtigt, Kunden die Flexibilität zu bieten, AWS-CMMC-Lösungen 2.0 in Standard- und eingeschränkten Regionen (USA Ost/West, AWS GovCloud (USA) usw.) basierend auf den Anforderungen ihrer Geschäfts- und DoD-Programme und -Verträge bereitzustellen und zu zertifizieren.

Wenn Sie Fragen zur CMMC- oder DoD-Konformität haben, wenden Sie sich bitte an den für Sie zuständigen AWS Account Manager, oder übermitteln Sie die Fragen über das AWS Compliance-Kontaktformular, um Kontakt mit dem für Sie zuständigen Kontoteam aufzunehmen.

compliance-contactus-icon
Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »