Cybersecurity Maturity Model Certification (CMMC)

O que há de novo na conformidade da AWS com a CMMC?

A AWS lançou o Landing Zone Accelerator (LZ Accelerator) na solução da AWS para ajudar os clientes nas regiões AWS Commercial e AWS GovCloud (EUA) a implantar rapidamente uma base da nuvem segura, resiliente, escalável e totalmente automatizada, que acelere a sua preparação para o programa de conformidade da nuvem. O LZ Accelerator foi projetado para alinhar as práticas recomendadas da AWS em conformidade com vários frameworks globais de conformidade, como Cybersecurity Maturity Model Certification (CMMC) e The Department of Defense (DoD) Cloud Computing Security Requirements Guide (SRG), reduzindo o nível de esforço técnico, os custos e os riscos.

Quando usado junto com outros serviços da AWS, o LZ Accelerator fornece uma solução abrangente sem código, em mais de 35 serviços da AWS. Com essa solução, os clientes com workloads altamente regulamentadas e com requisitos de conformidade complexos podem gerenciar e controlar melhor seus ambientes de várias contas. A solução Landing Zone Accelerator ajuda a estabelecer a preparação da plataforma com segurança, conformidade e recursos operacionais.

Mais informações sobre o Landing Zone Accelerator na AWS podem ser encontradas em: https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/

Visão geral

O programa Cybersecurity Maturity Model Certification (CMMC) aprimora os padrões de proteção cibernética para empresas no DIB. Ele é projetado para proteger informações confidenciais não classificadas que são compartilhadas pelo DoD com seus contratados e subcontratados. O programa incorpora um conjunto de requisitos de segurança cibernética em programas de aquisição e fornece ao DoD maior garantia de que os contratados e subcontratados estão atendendo a esses requisitos.
 
O framework tem três recursos principais:
  • Modelo em camadas: o CMMC exige que as empresas encarregadas das informações de segurança nacional implementem padrões de segurança cibernética em níveis progressivamente avançados, dependendo do tipo e da sensibilidade das informações. O programa também define o encaminhamento do processo de fluxo de informações aos subcontratados.
  • Requisito de avaliação: as avaliações CMMC permitem que o DoD verifique a implementação de padrões claros de segurança cibernética.
  • Implementação por meio de contratos: Uma vez que o CMMC esteja totalmente implementado, certos contratados do DoD que lidam com informações confidenciais não classificadas do DoD serão obrigados a atingir um determinado nível de CMMC como condição para a concessão do contrato.
  • O que é o CMMC 2.0?

    CMMC 2.0 é a próxima iteração do modelo de segurança cibernética CMMC do DoD. Ele simplifica os requisitos para três níveis de segurança cibernética - Básico, Avançado e Especialista - e alinha os requisitos em cada nível com os padrões de segurança cibernética NIST bem conhecidos e amplamente aceitos.
  • Quais os novos níveis no CMMC 2.0?

    Em 3 de dezembro de 2021, o DoD lançou a Visão geral do modelo CMMC 2.0. O modelo CMMC 2.0 abrange os requisitos básicos de proteção para FCI especificados no Federal Acquisition Regulation (FAR) 52.204-21 e os requisitos de segurança para CUI no NIST SP 800-171r2 de acordo com a cláusula 252.204-7012 do Defense Federal Acquisition Regulation Supplement (DFARS).

    CMMC Level 1 (Foundational) apenas para empresas com FCI; as informações requerem proteção, mas não são essenciais para a segurança nacional; requer 17 práticas básicas de proteção; CMMC Level 1 Scoping Guidance

    CMMC Level 2 (Advanced) para empresas com CUI; exigirá as 110 práticas do NIST SP 800-171r2; pode exigir avaliações de terceiros ou autoavaliações, dependendo do tipo de informação; CMMC Level 2 Scoping Guidance

    CMMC Level 3 (Expert) para os programas de maior prioridade com CUI; usará um subconjunto do NIST SP 800-172; será avaliado por funcionários do governo.

  • Por que o CMMC 2.0 está sendo implementado?

    A segurança cibernética é uma das principais prioridades do Departamento de Defesa.

    A Base Industrial de Defesa (DIB) é alvo de ataques cibernéticos cada vez mais frequentes e complexos. Para proteger a engenhosidade americana e as informações de segurança nacional, o DoD desenvolveu o CMMC 2.0 para aprimorar dinamicamente a segurança cibernética do DIB para enfrentar as ameaças em evolução e proteger as informações.
  • Quem precisa ter a certificação CMMC?

    Depois que o CMMC estiver totalmente implementado, certos contratados do DoD que lidam com informações confidenciais não classificadas do DoD serão obrigados a atingir um determinado nível do CMMC como condição para a concessão do contrato.
  • Quando o DoD implementará o requisito do CMMC 2.0?

    O DoD expressou que não tem a intenção de aprovar a inclusão de um requisito CMMC em qualquer contrato antes da conclusão do processo de regulamentação do CMMC 2.0.  A estimativa do DoD para a conclusão desse processo é de 9 a 24 meses a partir de novembro de 2021.      

    Assim que o CMMC 2.0 for implementado, o DoD especificará o nível CMMC necessário na solicitação e em quaisquer Solicitações de Informações (RFIs), se utilizado.

  • Existem membros da cadeia de suprimentos do DoD usando a AWS agora?

    Uma grande variedade de organizações, programas e contratados em toda a cadeia de suprimentos do DoD usam a AWS para transformar suas atividades e operações. Eles utilizam a AWS para criar ambientes de nuvem seguros para processar, manter e armazenar dados do governo federal dos EUA de acordo com o Defense Federal Acquisition Regulation Supplement (DFARS), o Guia de Requisitos de Segurança (SRG) da Computação em Nuvem do DoD, o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) e outros programas federais de conformidade.

    Você pode analisar estudos de caso para saber como a AWS está ajudando o DoD, incluindo os EUA. Agência de Logística de Defesa, EUA. Força Aérea, EUA. Marinha e EUA. Comando de operações especiais, assim como contratados do DoD, como Lockheed Martin, Raytheon e GDIT. Para obter mais informações sobre como a AWS atende aos requisitos de alta segurança do DoD, consulte a página da Web Computação em nuvem para defesa.

  • Como a nova “Regra Provisória” do DoD afeta minha organização?

    A regra provisória DFARS estabeleceu um período de introdução progressiva de cinco anos, durante o qual a conformidade CMMC é exigida apenas em contratos de piloto selecionados, conforme aprovado pelo Gabinete do Subsecretário de Defesa para Aquisição e Sustentação (OUSD (A&S)). O DoD expressou que não tem a intenção de aprovar a inclusão de um requisito CMMC em qualquer contrato antes da conclusão do processo de regulamentação do CMMC 2.0.

    Depois que o CMMC 2.0 for codificado por meio de regulamentação, o DoD exigirá que as empresas sigam o framework CMMC 2.0 revisada.
  • Os serviços de nuvem precisam da certificação CMMC?

    Não. O CMMC mensura os recursos e processos de segurança cibernética do contratante DIB em comparação com os requisitos de um nível específico de CMMC.  

    Como um provedor de serviços em nuvem (CSP), a AWS é autorizada pelo FedRAMP em FedRAMP High e pela Defense Information Systems Agency (DISA) nos níveis de impacto SRG 2, 4 e 5.
  • A AWS fornece reciprocidade do CMMC 2.0 com outros programas de conformidade?

    Não. O DoD ainda não definiu como outros programas de conformidade, como FedRAMP ou ISO 27001 Information Security Management, serão mapeados para os níveis CMMC 2.0.
  • A AWS fornece soluções e documentação de conformidade para ajudar na conformidade com o CMMC 2.0?

    Sim.  No CMMC 2.0, o nível “Avançado” (Nível 2) será equivalente ao NIST SP 800-171. O nível “Expert” (Nível 3), que está atualmente em desenvolvimento, será baseado em um subconjunto de requisitos do NIST SP 800-172.

    A AWS lançou a Customer Responsibility Matrix (CRM – Matriz de responsabilidade do cliente) NIST SP 800-171, alinhada ao CMMC 2.0 Nível 2 Avançado, que fornece uma análise dos controles de segurança NIST SP 800-171 que os clientes podem herdar da AWS usando o Framework de compatibilidade para workloads federais e do Departamento de Defesa na AWS GovCloud (EUA).
     
    O pacote NIST SP 800-171 CRM da AWS está disponível para download pelo cliente no AWS Artifact nas regiões AWS Standard e AWS GovCloud (EUA).

  • O AWS Professional Services oferece suporte aos clientes para que atendam aos requisitos de conformidade do CMMC?

    Sim. Os consultores do AWS Professional Services são treinados no Framework de compatibiliade de workloads federais e do Departamento de Defesa na AWS GovCloud (EUA) e podem oferecer suporte a implementações do cliente que atendam aos desafios de conformidade do CMMC.

  • Quais regiões da AWS devo usar para implantar o ambiente de nuvem do CMMC 2.0?

    A AWS pretende oferecer aos clientes a flexibilidade de implantar e certificar soluções CMMC 2.0 da AWS em regiões padrão e restritas (Leste/Oeste dos EUA, AWS GovCloud (EUA) etc.) com base nos requisitos dos programas e contratos de suas empresas e do Departamento de Defesa.

Se você tiver dúvidas a respeito da conformidade com o CMMC ou o DoD, entre em contato com o gerente de contas da AWS ou envie o formulário de contato da conformidade da AWS para entrar em contato com a sua equipe de contas.

compliance-contactus-icon
Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »