Certificazione sul modello di maturità per la sicurezza informatica (Cybersecurity Maturity Model Certification, CMMC)

Panoramica

L’ufficio del Sottosegretario alla Difesa (OUSD) del Dipartimento della Difesa (DoD) statunitense responsabile per l’approvvigionamento e il supporto sta implementando la CMMC come meccanismo per aiutare a proteggere la proprietà intellettuale e le informazioni sensibili del DoD dalle attività degli appaltatori e dei subappaltatori, in termini di sicurezza informatica. Concentrandosi sulla sicurezza e la resilienza della catena di approvvigionamento esterna del DoD, compresi i membri della Defense Industrial Base (DIB), la CMMC introduce requisiti di standardizzazione inerenti a domini, pratiche e procedure per i quali alle organizzazioni è richiesta una certificazione prodotta da un ispettore terzo ai fini delle gare relative alla maggior parte dei contratti del DoD. AWS consente agli appaltatori della difesa di creare ambienti conformi alla CMMC per elaborare, gestire e archiviare i dati del DoD.

  • Cos'è la CMMC?

    CMMC è l'acronimo di "Cybersecurity Maturity Model Certification" (Certificazione sul modello di maturità per la sicurezza informatica). La CMMC comprende più livelli di maturità che vanno da "Basic Cybersecurity Hygiene" (Sicurezza informatica di base) a "Advanced/Progressive" (Avanzata/Progressiva). Per conseguire la certificazione, ogni livello di maturità include requisiti sempre più severi per quanto riguarda procedure e pratiche. I contratti del DoD definiranno i livelli della CMMC necessari; Livello 1: tutela delle informazioni federali sul contratto (Federal Contract Information, FCI), Livello 2: transizione per proteggere le informazioni non classificate controllate (Controlled Unclassified Information, CUI), Livello 3: protezione delle CUI e Livelli 4 e 5: protezione delle CUI e riduzione del rischio di minacce persistenti avanzate (Advanced Persistent Threats, APT). Ulteriori informazioni sono disponibili sul sito Web della CMMC.

  • Perché viene implementata la CMMC?

    Il DoD sta passando al nuovo framework della CMMC per proteggersi dall'appropriazione indebita di informazioni sensibili e della proprietà intellettuale. Il framework della CMMC valuterà e migliorerà la sicurezza informatica della catena di approvvigionamento della Defense Industrial Base (DIB) e garantirà che siano adottate pratiche e procedure di sicurezza informatica.

  • Chi necessita della certificazione CMMC?

    Il DoD stima che oltre 300.000 organizzazioni della DIB richiederanno la valutazione e la certificazione a uno dei cinque livelli della CMMC. Tra queste vi saranno appaltatori, subappaltatori e più in generale tutte le organizzazioni che vendono o offrono servizi al DoD. I requisiti relativi al livello della CMMC saranno emessi singolarmente dal contratto del DoD.

  • Da quando il DoD implementerà il requisito della CMMC?

    Il DoD inserirà gradualmente i requisiti della CMMC nelle richieste di proposta (RFP) e nei contratti del DoD a partire da aprile 2021, con l'obiettivo di completare l'implementazione nel 2026. Il DoD ha individuato 15 prime acquisizioni, denominate "Pilot", per partecipare all'implementazione iniziale della CMMC. Nel corso dei prossimi cinque anni, i requisiti della CMMC saranno inclusi nei nuovi contratti del DoD a un ritmo crescente e si prevede che entro il 2026 saranno compresi in quasi tutti i nuovi contratti del DoD.

  • Esistono membri della catena di approvvigionamento del DoD che attualmente usano AWS?

    Una varietà di organizzazioni, programmi e appaltatori nella catena di approvvigionamento del DoD usa AWS per condurre le proprie attività e operazioni, creando ambienti sicuri per l'elaborazione, la gestione e lo storage dei dati del governo federale in ottemperanza al Defense Federal Acquisition Regulation Supplement (DFARS), al DoD Cloud Computing Security Requirements Guide (SRG), al Federal Risk and Authorization Management Program (FedRAMP) e ad altri programmi federali di conformità.

    Dai casi di studio emerge come AWS stia aiutando il DoD, compresi l'U.S. Defense Logistics Agency, l'U.S. Air Force, l’U.S. Navy e l’U.S. Special Operations Command, così come appaltatori del DoD quali Lockheed Martin, Raytheon e GDIT. Per ulteriori informazioni sulla capacità di AWS di soddisfare i severi requisiti di sicurezza del DoD, consulta la pagina Web di Cloud Computing for Defense.

  • Qual è l'impatto della nuova "Interim Rule" (Regolamento ad interim) del DoD sulla mia organizzazione?

    Il 29 settembre 2020, il DoD ha pubblicato un'"Interim Rule" (Regolamento ad interim) in cui si stabiliscono tre nuovi requisiti del DFARS, in vigore dal 30 novembre 2020, e si integra il requisito del DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting (Tutela delle informazioni di sicurezza coperte e report sugli incidenti informatici). L'"Interim Rule" integra il regolamento iniziale e stabilisce tre nuovi requisiti (1) richiedendo un'autovalutazione (DFARS 252.204-7019) ogni tre anni, (2) comunicando i risultati dell'autovalutazione al DoD Supplier Performance Risk System (SPRS) (DFARS 252.204-7020) e (3) richiedendo al DoD Acquisition Officers di includere il regolamento DFARS 252.204-7021 relativo ai requisiti della CMMC nelle future acquisizioni del DoD.

  • La mia organizzazione come può ottenere la certificazione?

    Il DoD ha fondato la CMMC Advisory Board (CMMC-AB) (Comitato consultivo della CMMC) come organizzazione indipendente responsabile di gestire il processo di certificazione della CMMC per C3PAO, revisori ed enti della DIB. I periti C3PAO valuteranno le organizzazioni adottando come criteri i livelli della CMMC. La Defense Contract Management Agency (DCMA) ha annunciato l'intenzione di certificare le organizzazioni C3PAO con CMMC di Livello 3 a partire da marzo 2021. Il CMMC-AB mantiene un marketplace CMMC che identifica le C3PAO all'indirizzo https://cmmcab.org/marketplace/.

  • AWS dispone della certificazione CMMC?

    AWS ha completato una valutazione NIST SP 800-171 da parte di un'organizzazione di valutazione esterna (Third-Party Assessment Organization, 3PAO) indipendente e ha implementato tutti i 110 controlli previsti dalla norma SP 800-171. AWS si è rivolta a una C3PAO per ottenere una valutazione CMMC ed è in attesa che la sua C3PAO sia "certificata" dalla DCMA.

  • È necessario che i servizi cloud dispongano della certificazione CMMC?

    No. La CMMC è una certificazione che misura le funzionalità e i processi in materia di sicurezza informatica dell'appaltatore della DIB rispetto ai requisiti per un particolare livello della CMMC.

  • AWS offre la reciprocità CMMC con altri programmi di conformità?

    No. L'OUSD(A&S) non ha definito come le valutazioni degli altri programmi di conformità, tra cui il FedRAMP, la norma ISO 27001 sulla gestione della sicurezza informatica e il Defense Industrial Base Cybersecurity Assessment Center (DIBCAC), si rapporteranno con i livelli della CMMC nell'"Interim Rule" del DoD o nella versione 1.02 della CMMC. L'OUSD(A&S) ha dichiarato di voler accordare la reciprocità con altri programmi di conformità nella versione 2.0 della CMMC.

  • AWS offre soluzioni e documentazione di conformità che agevolano la certificazione CMMC?

    AWS sta collaborando con il DoD e il CMMC-AB sui requisiti della CMMC e sullo sviluppo di soluzioni per aiutare i clienti ad accelerare le attività di distribuzione e certificazione. Il 22 dicembre 2020, AWS ha pubblicato il Framework conforme per i carichi di lavoro DoD e federali in AWS GovCloud (Stati Uniti) allo scopo di aiutare i clienti a distribuire l'infrastruttura AWS essenziale, per supportare un ambiente multi-account automatizzato, sicuro e dimensionabile basato sulle best practice di AWS nelle regioni di AWS GovCloud (Stati Uniti). La soluzione è progettata per adempiere ai requisiti previsti dal DoD per CMMC e dai carichi di lavoro con livello di impatto 4 e 5 della DoD Cloud Computing Security Requirements Guide (CC SRG). 

    Per ulteriori informazioni sulla documentazione di conformità AWS CMMC e sul relativo accesso, rivolgiti all'Account Manager AWS o Contattaci.

  • AWS Professional Services supporta i clienti nell'adempiere ai requisiti di conformità CMMC?

    Sì. I consulenti di AWS Professional Services hanno ricevuto una formazione sul Framework conforme per i carichi di lavoro DoD e federali in AWS GovCloud (Stati Uniti) di AWS e sono in grado di supportare le implementazioni dei clienti dedicate alle sfide per ottenere la conformità alla CMMC.

  • Quali regioni AWS dovrei usare per distribuire il nostro ambiente cloud CMMC?

    AWS intende offrire ai clienti la flessibilità necessaria per distribuire e certificare le soluzioni AWS CMMC nelle regioni standard e limitate (Stati Uniti Orientali/Occidentali, AWS GovCloud (Stati Uniti), eccetera) In base ai requisiti della rispettiva attività e dei programmi e contratti del DoD.

Per domande relative alla conformità CMMC o DoD, contatta l’Account Manager AWS o invia il modulo di contatto Conformità AWS per collegarti al tuo account team.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »