Certificación del modelo de madurez de ciberseguridad (CMMC)
Información general
- Modelo por niveles: el CMMC exige que las empresas a las que se confía información de seguridad nacional apliquen normas de ciberseguridad en niveles con un avance progresivo, en función del tipo y la confidencialidad de la información. El programa también impulsa el proceso para que la información llegue a los subcontratistas.
- Requisitos de evaluación: las evaluaciones del programa CMMC permiten que el DoD verifique la implementación de estándares de ciberseguridad claros.
- Implementación a través de contratos: una vez que el programa CMMC esté completamente implementado, se exigirá a determinados contratistas del DoD que manejen información confidencial no clasificada que alcancen un determinado nivel de la CMMC como condición para la adjudicación del contrato.
-
¿Qué es el programa CMMC 2.0?
CMMC 2.0 es la siguiente versión del modelo de ciberseguridad CMMC del DoD. Simplifica los requisitos a tres niveles de ciberseguridad (Básico, Avanzado y Experto) y ajusta los requisitos de cada nivel con los estándares de ciberseguridad del NIST, ampliamente conocidos y aceptados. -
¿Cuáles son los nuevos niveles en CMMC 2.0?
El 3 de diciembre de 2021, el DoD publicó Información general del modelo CMMC 2.0. El modelo CMMC 2.0 comprende los requisitos de protección básicos para FCI especificados en la Normativa Federal sobre Adquisiciones (FAR) 52.204-21 y los requisitos de seguridad para CUI en NIST SP 800-171r2 según la cláusula 252.204-7012 del Anexo a la Normativa Federal sobre Adquisiciones para Defensa (DFARS).
CMMC de nivel 1 (fundamental) para las empresas únicamente con FCI. La información requiere protección, pero no es crítica para la seguridad nacional; requiere 17 prácticas de protección básica; Guía de análisis de CMMC de nivel 1
CMMC de nivel 2 (avanzado) para empresas con CUI. Requerirá las 110 prácticas de NIST SP 800-171r2; puede requerir evaluaciones de terceros o propias, en función del tipo de información; Guía de análisis de CMMC de nivel 2
CMMC de nivel 3 (experto) para los programas con CUI de más alta prioridad. Utilizará un subconjunto de NIST SP 800-172; será evaluado por funcionarios gubernamentales.
-
¿Por qué se implementa el programa CMMC 2.0?
La ciberseguridad es una de las principales prioridades para el Departamento de Defensa.
La Base Industrial de Defensa (DIB) es objetivo de ciberataques cada vez más frecuentes y complejos. Para proteger el ingenio estadounidense y la información de seguridad nacional, el DoD desarrolló el programa CMMC 2.0. Buscaba mejorar de forma dinámica la ciberseguridad de la DIB para hacer frente a las amenazas que surgen y proteger la información.
-
¿Quién debe obtener la certificación CMMC?
Una vez que el programa CMMC esté completamente implementado, se exigirá a determinados contratistas del DoD que manejan información confidencial no clasificada que alcancen un determinado nivel del CMMC como condición para la adjudicación del contrato. -
¿Cuándo implementará el Departamento de Defensa el requisito de CMMC 2.0?
El Departamento de Defensa ha manifestado que no tiene intención de incluir un requisito de CMMC en ningún contrato antes de que finalice el proceso de reglamentación de CMMC 2.0. La estimación del DoD para la finalización de dicho proceso es de 9 a 24 meses a partir de noviembre de 2021.
Una vez que se implemente el programa CMMC 2.0, el DoD especificará el nivel de CMMC requerido en la licitación y en cualquier solicitud de información (RFI), en caso de ser necesaria. -
¿En este momento, hay miembros de la cadena de suministro del Departamento de Defensa que utilicen AWS?
Una amplia gama de organizaciones, programas y contratistas de toda la cadena de suministro del DoD utilizan AWS para transformar sus negocios y operaciones. Aprovechan AWS para crear entornos en la nube seguros para procesar, mantener y almacenar datos del Gobierno Federal de los Estados Unidos conforme al Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS), la Guía de Requisitos de Seguridad de Informática en la Nube del Departamento de Defensa (SRG), el Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) y otros programas de conformidad federal.
Puede consultar los casos prácticos para aprender cómo AWS ayuda al DoD, incluida la Agencia de Logística de Defensa de los Estados Unidos, la Fuerza Aérea de los Estados Unidos , laArmada de los Estados Unidos y el Mando de Operaciones Especiales de los Estados Unidos, así como a contratistas del DoD, como Lockheed Martin, Raytheon y GDIT. Para obtener más información acerca de cómo AWS cumple con los requisitos de alta seguridad del DoD, consulte la página web Computación en la nube para el sector de defensa.
-
¿Cómo afecta a mi organización la nueva “regla provisional” del Departamento de Defensa?
La regla provisional del DFARS estableció un periodo de introducción de cinco años, durante el cual la conformidad con el programa CMMC solo es obligatorio en determinados contratos piloto, según lo aprobado por la Oficina del Subsecretario de Defensa para la Adquisición y el Sostenimiento (OUSD[A&S]). El Departamento de Defensa ha manifestado que no tiene intención de incluir un requisito de CMMC en ningún contrato antes de que finalice el proceso de reglamentación de CMMC 2.0.
Una vez que el programa CMMC 2.0 se codifique mediante la reglamentación, el DoD exigirá a las empresas que se adhieran al marco del CMMC 2.0 revisado. -
¿Los servicios de la nube necesitan la certificación de CMMC?
No. El programa CMMC mide los procesos y las capacidades de ciberseguridad de un contratista de la DIB mediante la comparación con los requisitos para obtener un nivel de CMMC específico.
Debido a que es un proveedor de servicios en la nube (CSP), AWS está autorizado por la referencia alta del FedRAMP y por la Agencia de Sistemas de Información de Defensa (DISA) en los niveles de impacto 2, 4 y 5 de la SRG. -
¿AWS proporciona la reciprocidad de CMMC 2.0 con otros programas de conformidad?
No. El DoD aún no ha definido cómo otros programas de conformidad, como el FedRAMP o la ISO 27001 de administración de seguridad de la información, se incorporarán en los niveles del programa CMMC 2.0. -
¿AWS proporciona soluciones y documentación de conformidad para ayudar a obtener la certificación CMMC 2.0?
El paquete de cliente de AWS CMMC proporciona un desglose de los controles de seguridad de CMMC Nivel 2/NIST SP 800-171 que los clientes pueden heredar de AWS utilizando el Acelerador de zona de aterrizaje en AWS en la región AWS GovCloud (EE. UU.).
Los clientes pueden descargar el paquete de cliente de AWS CMMC en AWS Artifact en las regiones AWS Standard y AWS GovCloud (EE. UU.).
-
¿Los servicios profesionales de AWS respaldan a los clientes para cumplir con los requisitos de conformidad de CMMC?
Sí. Los consultores de AWS Professional Services están capacitados en Acelerador de zona de aterrizaje en AWS en la región AWS GovCloud (EE. UU.) y pueden respaldar las implementaciones de los clientes que abordan los desafíos de conformidad de CMMC.
-
¿Qué regiones de AWS debo utilizar para implementar nuestro entorno en la nube de CMMC 2.0?
AWS ofrece a los clientes la flexibilidad de implementar y certificar las soluciones de CMMC 2.0 de AWS en las regiones estándar y restringidas (Este y Oeste de EE. UU., AWS GovCloud [EE. UU.], etc.) en función de los requisitos de los contratos y los programas del DoD.
Si tiene preguntas acerca de la conformidad con CMMC o DoD, contacte con el director de cuenta de AWS o envíe el formulario de contacto de conformidad de AWS para comunicarse con el equipo de la cuenta.
Recursos de CMMC
Para obtener más información acerca de las soluciones y los servicios de AWS que cumplen con los requisitos de DFARS, NIST SP 800-171 o CMMC de nuestros clientes, contáctenos en cmmconaws@amazon.com
