Certificazione sul modello di maturità per la sicurezza informatica (Cybersecurity Maturity Model Certification, CMMC)

Panoramica

Il programma Cybersecurity Maturity Model Certification (CMMC) migliora gli standard di protezione informatica per le aziende nella DIB (Defense Industrial Base). È progettato per proteggere le informazioni sensibili non classificate che sono condivise dal Dipartimento della Difesa con i suoi appaltatori e subappaltatori. Il programma incorpora una serie di requisiti di sicurezza informatica nei programmi di acquisizione e fornisce al Dipartimento della Difesa una maggiore garanzia che gli appaltatori e i subappaltatori soddisfino questi requisiti.
 
Il framework è caratterizzato da tre punti principali:
  • Modello a livelli: la CMMC richiede che le aziende a cui sono affidate informazioni sulla sicurezza nazionale implementino standard di sicurezza informatica a livelli progressivamente avanzati, a seconda del tipo e della sensibilità delle informazioni. Il programma stabilisce anche il processo per il flusso di informazioni verso i subappaltatori.
  • Requisito di valutazione: le valutazioni CMMC permettono al Dipartimento della Difesa di verificare l'implementazione di chiari standard di sicurezza informatica.
  • Implementazione attraverso i contratti: una volta che la CMMC è completamente implementata, alcuni appaltatori del Dipartimento della Difesa che gestiscono informazioni sensibili non classificate dello stesso saranno tenuti a raggiungere un particolare livello di CMMC come condizione di aggiudicazione del contratto.
  • CMMC 2.0 è la prossima iterazione del modello di sicurezza informatica CMMC del Dipartimento della Difesa. Esso razionalizza i requisiti a tre livelli di sicurezza informatica (Base, Avanzato ed Esperto) e allinea i requisiti a ogni livello con gli standard di sicurezza informatica NIST ben noti e ampiamente accettati.

  • Il 3 dicembre 2021 il Dipartimento della Difesa statunitense ha rilasciato la Panoramica del modello CMMC 2.0. Il modello CMMC 2.0 comprende i requisiti di base per la salvaguardia delle FCI specificate nel Federal Acquisition Regulation (FAR) 52.204-21 e i requisiti di sicurezza per le CUI nel NIST SP 800-171r2 per la clausola 252.204-7012 del Defense Federal Acquisition Regulation Supplement (DFARS).

    CMMC Livello 1 (Base) solo per aziende con FCI; le informazioni richiedono protezione, ma non sono critiche per la sicurezza nazionale; richiede 17 pratiche di salvaguardia di base; Guida per la definizione degli ambiti della CMMC Livello 1

    CMMC Livello 2 (Avanzato) per le aziende con CUI; richiederà le 110 pratiche dal NIST SP 800-171r2; può richiedere valutazioni di terze parti o autovalutazioni, a seconda del tipo di informazioni; Guida per la definizione degli ambiti della CMMC Livello 2

    CMMC Livello 3 (Esperto) per i programmi a più alta priorità con CUI; userà un sottoinsieme di NIST SP 800-172; sarà valutato da funzionari governativi.

  • La sicurezza informatica è una priorità assoluta per il Dipartimento della Difesa.

    La base industriale della difesa (DIB) è l'obiettivo di attacchi informatici sempre più frequenti e complessi. Per proteggere l'ingegno americano e le informazioni di sicurezza nazionale, il Dipartimento della Difesa ha sviluppato la CMMC 2.0 per migliorare dinamicamente la sicurezza informatica della DIB per proteggersi dalle minacce in evoluzione e salvaguardare le informazioni.
  • Una volta che la CMMC è completamente implementata, alcuni appaltatori del Dipartimento della Difesa che gestiscono informazioni sensibili non classificate dello stesso saranno tenuti a raggiungere un particolare livello di CMMC come condizione di aggiudicazione del contratto.

  • Il Dipartimento della Difesa ha espresso la volontà di non approvare l'inclusione di un requisito CMMC in qualsiasi contratto prima del completamento del processo di regolamentazione CMMC 2.0.  La stima del Dipartimento della Difesa per il completamento di questo processo è di 9-24 mesi da novembre 2021.      

    Una volta che la CMMC 2.0 sarà implementata, il Dipartimento della Difesa specificherà il livello di CMMC richiesto nelle istanze e in qualsiasi richiesta di informazioni (RFI), se utilizzata.

  • Un’ampia gamma di organizzazioni, programmi e appaltatori nella catena di approvvigionamento del Dipartimento della Difesa utilizzano AWS per trasformare le proprie attività e operazioni. creando ambienti sicuri per l'elaborazione, la gestione e lo storage dei dati del governo federale in ottemperanza al Defense Federal Acquisition Regulation Supplement (DFARS), al DoD Cloud Computing Security Requirements Guide (SRG), al Federal Risk and Authorization Management Program (FedRAMP) e ad altri programmi federali di conformità.

    Dai casi di studio emerge come AWS stia aiutando il DoD, compresi l'U.S. Defense Logistics Agency, l'U.S. Air Force, l’U.S. Navy e l’U.S. Special Operations Command, così come appaltatori del DoD quali Lockheed Martin, Raytheon e GDIT. Per ulteriori informazioni sulla capacità di AWS di soddisfare i severi requisiti di sicurezza del Dipartimento della Difesa, consulta la pagina Web di Cloud Computing for Defense.

  • Il regolamento ad interim DFARS ha stabilito un periodo di introduzione graduale di cinque anni, durante il quale la conformità CMMC è richiesta solo in contratti pilota selezionati, come approvato dall'Ufficio del Sottosegretario del Dipartimento della Difesa responsabile per l'approvvigionamento e il supporto (OUSD(A&S)). Il Dipartimento della Difesa ha espresso la volontà di non approvare l'inclusione di un requisito CMMC in qualsiasi contratto prima del completamento del processo di regolamentazione CMMC 2.0.

    Una volta che la CMMC 2.0 è codificata in tutta la regolamentazione, il Dipartimento della Difesa richiederà alle aziende di aderire al framework CMMC 2.0 rivisto.
  • No. La CMMC misura le funzionalità e i processi in materia di sicurezza informatica dell'appaltatore della DIB rispetto ai requisiti per un particolare livello della CMMC.  

    Come fornitore di servizi cloud (CSP), AWS è autorizzato da FedRAMP al livello FedRAMP High e dalla Defense Information Systems Agency (DISA) ai livelli di impatto SRG 2, 4 e 5.
  • No. Il Dipartimento della Difesa non ha ancora definito come altri programmi di conformità come FedRAMP o ISO 27001 Information Security Management si rapporteranno ai livelli CMMC 2.0.

  • Il pacchetto clienti CMMC di AWS fornisce una descrizione dei controlli di sicurezza CMMC di livello 2 / NIST SP 800-171 che i clienti possono ereditare da AWS utilizzando l’acceleratore zona di destinazione AWS nell’AWS GovCloud (Stati Uniti).

    Il pacchetto clienti CMMC di AWS è disponibile per il download da parte del cliente nella sezione AWS Artifact in entrambe le regioni AWS Standard e AWS GovCloud (Stati Uniti). 

  • Sì. I consulenti di AWS Professional Services hanno ricevuto una formazione sull’acceleratore zona di destinazione AWS nell’AWS GovCloud (Stati Uniti) e sono in grado di supportare le implementazioni dei clienti dedicate alle sfide per ottenere la conformità alla CMMC. 

  • AWS intende offrire ai clienti la flessibilità necessaria per implementare e certificare le soluzioni AWS CMMC 2.0 nelle regioni standard e limitate (Stati Uniti Orientali/Occidentali, AWS GovCloud (Stati Uniti), eccetera) in base ai requisiti della rispettiva attività e dei programmi e contratti del DoD.

Per domande relative alla conformità CMMC o DoD, contatta l’Account Manager AWS o invia il modulo di contatto Conformità AWS per collegarti al tuo account team.

Risorse CMMC

Per maggiori informazioni sulle soluzioni e sui servizi AWS che supportano i requisiti DFARS, NIST SP 800-171 e CMMC dei nostri clienti, contattaci all’indirizzocmmconaws@amazon.com 

Acceleratore zona di destinazione su AWS
DFARS con AWS
Blog AWS Public Sector sulla CMMC
AWS GovCloud (Stati Uniti)
Conformità FedRAMP
Hai domande? Contatta un rappresentante aziendale di AWS
Contattaci
Stai esplorando i ruoli nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »