Certificazione sul modello di maturità per la sicurezza informatica (Cybersecurity Maturity Model Certification, CMMC)

Panoramica

140940_AWS_Multi-Logo Graphic_600x400_DoD

L’ufficio del Sottosegretario alla Difesa (OUSD) del Dipartimento della Difesa (DoD) statunitense responsabile per l’approvvigionamento e il supporto sta implementando la CMMC come meccanismo per aiutare a proteggere la proprietà intellettuale e le informazioni sensibili del DoD dalle attività degli appaltatori e dei subappaltatori, in termini di sicurezza informatica. Concentrandosi sulla sicurezza e la resilienza della catena di approvvigionamento esterna del DoD, compresi i membri della Defense Industrial Base (DIB), la CMMC introduce requisiti di standardizzazione inerenti a domini, pratiche e procedure per i quali alle organizzazioni è richiesta una certificazione prodotta da un ispettore terzo ai fini delle gare relative alla maggior parte dei contratti del DoD. AWS consente agli appaltatori della difesa di creare ambienti conformi alla CMMC per elaborare, gestire e archiviare i dati del DoD.

  • Cos'è la CMMC?

    CMMC è l’acronimo della “Certificazione sul modello di maturità per la sicurezza informatica” (Cybersecurity Maturity Model Certification). La CMMC comprende più livelli di completezza che vanno da “Sicurezza informatica di base” a “Avanzata/Progressiva”. Per l’ottenimento della certificazione, ogni livello di completezza include requisiti in termini di procedure e pratiche progressivamente più severi. I contratti del DoD definiranno i livelli richiesti di CMMC; Livello 1: tutela delle informazioni federali sul contratto (Federal Contract Information, FCI), Livello 2: transizione per proteggere le informazioni non classificate controllate (Controlled Unclassified Information, CUI), Livello 3: protezione delle CUI e Livelli 4 e 5: protezione delle CUI e riduzione del rischio di minacce persistenti avanzate (Advanced Persistent Threats, APT).

    Il DoD intende incorporare i requisiti della CMMC nel Supplemento al regolamento federale sugli acquisti della difesa (Defense Federal Acquisition Regulation Supplement, DFARS) e renderà la certificazione un requisito per la maggior parte dei contratti del DoD. Visita https://www.acq.osd.mil/cmmc/index.html per ulteriori informazioni.

  • Perché viene implementata la CMMC?

    Il DoD sta passando al nuovo sistema basato su CMMC per proteggersi dal furto di informazioni sensibili e di proprietà intellettuale. La CMMC valuterà e migliorerà la sicurezza informatica della catena di approvvigionamento della Defense Industrial Base (DIB) e garantirà che siano predisposte pratiche e procedure di sicurezza informatica.

  • Chi necessita della certificazione CMMC?

    Il DoD stima che oltre 300.000 organizzazioni richiederanno la valutazione e la certificazione a uno dei cinque livelli della CMMC. Fra queste vi saranno appaltatori, subappaltatori e più in generale tutte le organizzazioni che vendono o offrono servizi al DoD.

  • Da quando il DoD implementerà il requisito della CMMC?

    A partire dal 2020 il DoD introdurrà gradualmente i requisiti della CMMC nei nuovi contratti. Per il 2020, il DoD sta programmando l’inclusione dei requisiti della CMMC in 10 richieste di informazioni (Requests for Information, RFI) e in 10 richieste di proposta (Requests for Proposal, RFP). Nei prossimi cinque anni, i requisiti della CMMC saranno inclusi nei nuovi contratti del DoD a un ritmo crescente ed entro il 2026 quasi tutti i nuovi contratti del DoD includeranno i requisiti della CMMC.

  • Attualmente vi sono membri della catena di approvvigionamento del DoD che utilizzano AWS?

    Una varietà di organizzazioni, programmi e appaltatori nella catena di approvvigionamento del DoD utilizza AWS per condurre le proprie attività e operazioni. Si avvalgono di AWS per creare ambienti sicuri per l’elaborazione, la gestione e lo storage dei dati del governo federale in ottemperanza al DFARS, al DoD Cloud Computing Security Requirements Guide (SRG), al Federal Risk and Authorization Management Program (FedRAMP) e ad altri programmi federali di conformità.

    Puoi fare riferimento ai casi di studio per scoprire come AWS sta aiutando il DoD, compresi l’U.S. Defense Logistics Agency, l’U.S. Air Force, l’U.S. Navy e l’U.S. Special Operations Command, così come appaltatori del DoD come Lockheed Martin, Raytheon e GDIT. Per ulteriori informazioni su come AWS soddisfa gli elevati requisiti di sicurezza del DoD, consulta la pagina web di Cloud Computing for Defense.

  • Come può ottenere la certificazione la mia organizzazione?

    La CMMC ha istituito un Organismo di Accreditamento (Accreditation Body, AB) indipendente e senza scopo di lucro per formare e accreditare ispettori specifici provenienti dalle Organizzazioni di valutazione di terze parti certificate (Certified Third-Party Assessment Organizations, C3PAO). La CMMC-AB prevede di lanciare un marketplace CMMC affinché gli appaltatori del DoD possano visualizzare, selezionare e mettersi in contatto con le C3PAO approvate per le valutazioni e le certificazioni.

    Gli appaltatori del DoD saranno sottoposti a una valutazione di sicurezza indipendente da una C3PAO ogni tre anni e saranno certificati per un livello specifico di completezza della CMMC. La CMMC-AB fornirà informazioni e aggiornamenti specifici sul proprio sito web: https://www.cmmcab.org.

  • AWS è certificata per la CMMC?

    La CMMC-AB deve ancora identificare e certificare gli ispettori e le C3PAO e non ha creato il marketplace CMMC-AB che fornirà l'elenco delle C3PAO che sono state certificate per eseguire la valutazione. AWS sta collaborando con il DoD e la CMMC-AB per tutto ciò che concerne i requisiti e il processo di certificazione.

  • AWS offre soluzioni che aiutano con la certificazione CMMC?

    AWS sta collaborando con il DoD e la CMMC-AB relativamente ai requisiti della CMMC per aiutare ad accelerare l'adozione e la certificazione in tutta la catena di approvvigionamento della difesa (Defense Supply Chain, DSC). La CMMC-AB sta identificando e formando gli ispettori della CMMC e le C3PAO certificati, definendo il processo di certificazione, specificando la reciprocità FedRAMP e creando il marketplace CMMC. AWS intende fornire soluzioni di CMMC per i clienti che accelereranno la loro certificazione CMMC e che ridurranno il loro livello di rischio ed esposizione. AWS intende offrire soluzioni di CMMC che includono funzionalità di implementazione automatizzata, architetture di riferimento, matrici di responsabilità delle pratiche CMMC, potenziale eredità di autorizzazione FedRAMP (una volta definita dal DoD) e supporto della documentazione di certificazione, a vantaggio dei clienti che desiderano ottenere la certificazione CMMC. AWS intende offrire ai clienti la flessibilità necessaria per implementare e certificare le soluzioni AWS CMMC nelle nostre regioni (Virginia settentrionale, AWS GovCloud (Stati Uniti), ecc.) In base ai requisiti della propria attività e dei programmi del DoD.

Per domande relative alla conformità CMMC o DoD, contatta l’Account Manager AWS o invia il modulo di contatto Conformità AWS per collegarti al tuo account team.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »