Certificazione sul modello di maturità per la sicurezza informatica (Cybersecurity Maturity Model Certification, CMMC)

Cosa c’è di nuovo nella conformità CMMC di AWS?

Il 4 novembre 2021, il Dipartimento della Difesa (DOD) ha annunciato una direzione strategica del programma di Certificazione sul modello di maturità per la sicurezza informatica Cybersecurity Maturity Model Certification (CMMC), segnando il compimento di una valutazione del programma interno guidata dagli alti dirigenti nel Dipartimento della Difesa. Il programma CMMC 2.0 conserva il suo obiettivo originale di salvaguardare le informazioni sensibili semplificando allo stesso tempo gli standard CMMC e facendo chiarezza sui requisiti.

Il 3 dicembre 2021 il Dipartimento della Difesa statunitense ha rilasciato la Panoramica del modello CMMC 2.0. Il modello CMMC 2.0 comprende i requisiti di base per la salvaguardia delle FCI specificate nel Federal Acquisition Regulation (FAR) 52.204-21 e i requisiti di sicurezza per le CUI nel NIST SP 800-171r2 per la clausola 252.204-7012 del Defense Federal Acquisition Regulation Supplement (DFARS).

CMMC Livello 1 (Base) solo per aziende con FCI; le informazioni richiedono protezione, ma non sono critiche per la sicurezza nazionale; richiede 17 pratiche di salvaguardia di base; Guida per la definizione degli ambiti della CMMC Livello 1

CMMC Livello 2 (Avanzato) per le aziende con CUI; richiederà le 110 pratiche dal NIST SP 800-171r2; può richiedere valutazioni di terze parti o autovalutazioni, a seconda del tipo di informazioni; Guida per la definizione degli ambiti della CMMC Livello 2

CMMC Livello 3 (Esperto) per i programmi a più alta priorità con CUI; userà un sottoinsieme di NIST SP 800-172; sarà valutato da funzionari governativi.

Per fornire assistenza ai clienti nel passaggio dal programma CMMC 1.0 a CMMC 2.0, AWS ha rilasciato Customer Responsibility Matrix (CRM) con requisiti NIST SP 800-171 che si allinea al CMMC 2.0 di livello 2 (avanzato) e fornisce un'analisi dei controlli di sicurezza NIST SP 800-171 che i clienti possono ereditare da AWS utilizzando l' AWS Compliant Framework per carichi di lavoro federali e DoD in AWS GovCloud (Stati Uniti).
 
Il pacchetto CRM NIST SP 800-171 è disponibile per il download da parte del cliente nella sezione AWS Artifact in entrambe le Regioni AWS Standard e AWS GovCloud (Stati Uniti).

Panoramica

Il programma Cybersecurity Maturity Model Certification (CMMC) migliora gli standard di protezione informatica per le aziende nella DIB (Defense Industrial Base). È progettato per proteggere le informazioni sensibili non classificate che sono condivise dal Dipartimento della Difesa con i suoi appaltatori e subappaltatori. Il programma incorpora una serie di requisiti di sicurezza informatica nei programmi di acquisizione e fornisce al Dipartimento della Difesa una maggiore garanzia che gli appaltatori e i subappaltatori soddisfino questi requisiti.
 
Il framework è caratterizzato da tre punti principali:
  • Modello a livelli: la CMMC richiede che le aziende a cui sono affidate informazioni sulla sicurezza nazionale implementino standard di sicurezza informatica a livelli progressivamente avanzati, a seconda del tipo e della sensibilità delle informazioni. Il programma stabilisce anche il processo per il flusso di informazioni verso i subappaltatori.
  • Requisito di valutazione: le valutazioni CMMC permettono al Dipartimento della Difesa di verificare l'implementazione di chiari standard di sicurezza informatica.
  • Implementazione attraverso i contratti: una volta che la CMMC è completamente implementata, alcuni appaltatori del Dipartimento della Difesa che gestiscono informazioni sensibili non classificate dello stesso saranno tenuti a raggiungere un particolare livello di CMMC come condizione di aggiudicazione del contratto.

Per domande relative alla conformità CMMC o DoD, contatta l’Account Manager AWS o invia il modulo di contatto Conformità AWS per collegarti al tuo account team.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »