Cybersecurity Maturity Model Certification (CMMC)

Übersicht

Das Büro des Verteidigungsministeriums Department of Defense (DoD) Office of the Under Secretary of Defense (OUSD) for Acquisition and Sustainment (OUSD) implementiert die CMMC als einen Mechanismus, der dazu beitragen soll, das geistige Eigentum und sensible Informationen des DoD vor Cybersicherheitsereignissen vor Haupt- und Unterauftragnehmern zu schützen. Die CMMC konzentriert sich auf die Sicherheit und Belastbarkeit der externen Lieferkette des Verteidigungsministeriums, einschließlich der Mitglieder der Defense Industrial Base (DIB), und führt Stufenanforderungen für die Bereiche, Praktiken und Verfahren ein, die Unternehmen von einem externen Gutachter zertifizieren lassen müssen, um sich um die meisten Aufträge des Verteidigungsministeriums bewerben zu können. Mit AWS können Auftragnehmer des Verteidigungsministeriums CMMC-konforme Umgebungen zur Verarbeitung, Pflege und Speicherung von DoD-Daten erstellen.

  • Was ist CMMC?

    CMMC seht für „Cybersecurity Maturity Model Certification“. Das CMMC umfasst mehrere Reifestufen, die von „Basic Cybersecurity Hygiene“ bis „Advanced/Progressive“ reichen. Jede Reifestufe beinhaltet zunehmend anspruchsvollere Prozess- und Praxisanforderungen, um die Zertifizierung zu erreichen. In den DoD-Verträgen werden die erforderlichen CMMC-Stufen definiert; Stufe 1 – Schutz von Federal Contract Information (FCI), Stufe 2 - Übergang zum Schutz von Controlled Unclassified Information (CUI), Stufe 3 - Schutz von CUI und Stufen 4 und 5 - Schutz von CUI und Reduzierung des Risikos von Advanced Persistent Threats (APTs). Für weitere Informationen besuchen Sie die CMMC-Website.

  • Warum wird die CMMC implementiert?

    Das Verteidigungsministerium geht zum neuen CMMC-Rahmenwerk über, um sich gegen den Diebstahl von sensiblen Informationen und geistigem Eigentum des Ministeriums zu schützen. Die CMMC-Rahmenbedingungen werden die Cybersicherheit der Lieferkette der Defense Industrial Base (DIB) bewerten und verbessern und überprüfen, dass geeignete Cybersicherheitspraktiken und -prozesse vorhanden sind.

  • Wer muss CMMC-zertifiziert sein?

    Das DoD schätzt, dass mehr als 300 000 DIB-Unternehmen eine Bewertung und Zertifizierung auf einer der fünf CMMC-Stufen benötigen werden. Dazu gehören Hauptauftragnehmer, Unterauftragnehmer und generell alle Unternehmen, die Produkte an das DoD verkaufen oder Dienstleistungen für das DoD erbringen. Anforderungen auf CMMC-Ebene werden individuell per DoD-Vertrag ausgestellt.

  • Wann geht das DoD zur CMMC-Anforderung über?

    Das DoD wird die CMMC-Anforderungen für DoD-Aufforderungen zur Einreichung von Vorschlägen (RFPs) und Verträge ab April 2021 schrittweise einführen, wobei die vollständige Umsetzung für 2026 angestrebt wird. DoD hat 15 erste Akquisitionen identifiziert, die als Piloten bezeichnet werden, um am ersten CMMC-Rollout teilzunehmen. In den nächsten fünf Jahren werden die CMMC-Anforderungen in zunehmendem Maße in neue DoD-Verträge aufgenommen, mit fast allen neuen DoD-Verträgen einschließlich CMMC-Anforderungen bis 2026.

  • Gibt es jetzt Glieder der Lieferkette des Verteidigungsministeriums, die AWS verwenden?

    Ein breites Spektrum von Unternehmen, Programmen und Auftragnehmern in der gesamten Lieferkette des Verteidigungsministeriums nutzt AWS, um ihre Geschäfte und Abläufe umzugestalten. Sie setzen AWS ein, um sichere Cloud-Umgebungen für die Verarbeitung, Pflege und Speicherung von Daten der US- Bundesregierung gemäß Defense Federal Acquisition Regulation Supplement (DFARS), dem DoD Cloud Computing Security Requirements Guide (SRG), dem Federal Risk and Authorization Management Program (FedRAMP) und anderen Bundesprogrammen zur Einhaltung von Vorschriften zu schaffen.

    Sie können Fallstudien lesen, um zu erfahren, wie AWS das DoD unterstützt, einschließlich die der U.S. Defense Logistics Agency, U.S. Air Force, U.S. Navy und des U.S. Special Operations Command sowie von DoD-Auftragnehmern wie Lockheed Martin, Raytheon und GDIT. Weitere Informationen darüber, wie AWS die hohen Sicherheitsanforderungen des DoD erfüllt, finden Sie auf der Webseite Cloud Computing for Defense.

  • Wie wirkt sich die neue „DoD-Übergangsregel“ auf meine Organisation aus?

    Am 29. September 2020 veröffentlichte das Verteidigungsministerium mit Wirkung zum 30. November 2020 eine „Übergangsregel“, in der drei neue DFAR-Anforderungen festgelegt und die DFARS-Anforderung 252.204-7012, Schutz verdeckter Verteidigungsinformationen und Berichterstattung über Cyber-Vorfälle,erweitert wurden. Die „ Übergangsregel„ erweiterte die ursprüngliche Regel und legte drei neue Anforderungen fest, indem (1) alle drei Jahre eine Selbstbewertung (DFARS 252.204-7019) vorgeschrieben wurde und (2) die Ergebnisse der Selbstbewertung dem DoD Supplier Performance Risk System (SPRS) (DFARS 252.204-7020) gemeldet wurden und (3) wonach DoD-Akquisitionsbeauftragte die DFARS-Regel 252.204-7021, CMMC-Anforderungen in zukünftige DoD-Akquisitionen einbeziehen müssen.

  • Wie wird mein Unternehmen zertifiziert?

    DoD hat das CMMC Advisory Board (CMMC-AB) als unabhängige Organisation gegründet, die für die Verwaltung des CMMC-Zertifizierungsprozesses für C3PAO, Assessoren und DIB-Unternehmen verantwortlich ist. C3PAO-Prüfer bewerten Organisationen anhand der CMMC-Ebenen als Kriterien. Die Defense Contract Management Agency (DCMA) gab ihre Absicht bekannt, C3PAOs ab März 2021 als CMMC Level 3 zertifiziert zu zertifizieren. Die CMMC-AB unterhält einen CMMC-Marktplatz, der C3PAOs unter https://cmmcab.org/marketplace/ identifiziert.

  • Verfügt AWS über eine CMMC-Zertifizierung?

    AWS hat eine NIST SP 800-171-Bewertung durch eine unabhängige Drittanbieter-Bewertungsorganisation (3PAO) abgeschlossen und alle 110 Kontrollen von SP 800-171 implementiert. AWS hat ein C3PAO mit der Durchführung einer CMMC-Bewertung beauftragt und wartet darauf, dass sein C3PAO von DCMA "zertifiziert" wird.

  • Müssen Cloud-Services CMMC-zertifiziert sein?

    Nein. CMMC ist eine Zertifizierung, die die Cybersicherheitsfähigkeiten und -prozesse des DIB-Auftragnehmers im Vergleich zu den Anforderungen für eine bestimmte CMMC-Ebene misst.

  • Bietet AWS CMMC-Reziprozität mit anderen Compliance-Programmen?

    Nein. Die OUSD (A&S) hat nicht definiert, wie andere Compliance-Programme wie FedRAMP, ISO 27001 Information Security Management oder DIBCAC-Bewertungen (Defense Industrial Base Cybersecurity Assessment Center) den CMMC-Ebenen in der DoD-Übergangsregel oder CMMC-Version 1.02 zugeordnet werden. OUSD (A&S) gab seine Absicht bekannt, anderen Compliance-Programmen in Version 2.0 der CMMC Reziprozität zu gewähren.

  • Bietet AWS Lösungen und Compliance-Dokumentation zur Unterstützung bei der CMMC-Zertifizierung?

    AWS arbeitet bei den CMMC-Anforderungen mit dem DoD und dem CMMC-AB zusammen und entwickelt Lösungen, mit denen Kunden ihre Bereitstellung und Zertifizierung beschleunigen können. Am 22. Dezember 2020 veröffentlichte AWS die Konformen Rahmenbedingungen für Bundesbehörden- und DoD-Workloads in AWS GovCloud (USA), um Kunden bei der Bereitstellung einer grundlegenden AWS-Infrastruktur zu unterstützen und eine automatisierte, sichere, skalierbare Umgebung mit mehreren Konten zu unterstützen, die auf bewährten Methoden von AWS in der Region AWS GovCloud (USA) basiert. Die Lösung erfüllt die Anforderungen des DoD für CMMC sowie die Workloads der Impact Levels (IL) 4 und IL 5 des DoD Cloud Computing Security Requirements Guide (CC SRG) in der Cloud. 

    Für weitere Informationen über die AWS-CMMC-Compliance-Dokumentation und wie Sie darauf zugreifen können, wenden Sie sich bitte an Ihren Kontakt.

  • Unterstützt AWS Professional Services Kunden bei der Erfüllung ihrer CMMC-Compliance-Anforderungen?

    Ja. Die Berater von AWS Professional Services werden in den konformen Rahmenbedingungen für Bundesbehörden- und DoD-Workloads in AWS GovCloud (USA) von AWS geschult und können Kundenimplementierungen unterstützen, die sich mit CMMC-Compliance-Herausforderungen befassen.

  • Welche AWS-Region(en) sollte ich zum Bereitstellen unserer CMMC-Cloud-Umgebung verwenden?

    AWS beabsichtigt, Kunden die Flexibilität zu bieten, AWS CMMC-Lösungen in Standard- und eingeschränkten Regionen (USA Ost/West, AWS GovCloud (USA) usw.) basierend auf den Anforderungen ihrer Geschäfts- und DoD-Programme und -Verträge bereitzustellen und zu zertifizieren.

Wenn Sie Fragen zur CMMC- oder DoD-Konformität haben, wenden Sie sich bitte an den für Sie zuständigen AWS Account Manager, oder übermitteln Sie die Fragen über das AWS Compliance-Kontaktformular, um Kontakt mit dem für Sie zuständigen Kontoteam aufzunehmen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »