Cybersecurity Maturity Model Certification (CMMC)

Visão geral

140940_AWS_Multi-Logo Graphic_600x400_DoD

O Gabinete do Subsecretário de Defesa (OUSD) para Aquisição e Manutenção do Departamento de Defesa (DoD) dos EUA está implementando o CMMC como um mecanismo para ajudar a proteger a propriedade intelectual do DoD e informações confidenciais de eventos de segurança cibernética contra empresas contratadas e subcontratadas. Com foco na segurança e resiliência da cadeia de suprimentos externa do DoD, incluindo membros da Base Industrial de Defesa (DIB), o CMMC introduz requisitos de nivelamento para os domínios, práticas e procedimentos que as organizações devem ter certificado por um avaliador de terceiros para competir para a maioria dos contratos do Departamento de Defesa. A AWS permite que os contratados de defesa criem ambientes compatíveis com CMMC para processar, manter e armazenar dados do Departamento de Defesa.

  • O que significa CMMC?

    CMMC é a sigla de “Cybersecurity Maturity Model Certification”. O CMMC abrange vários níveis de maturidade, que variam de "Higiene de segurança cibernética básica" a "Avançado/progressivo". Cada nível de maturidade inclui requisitos de processo e prática cada vez mais exigentes para obter a certificação. Os contratos do Departamento de Defesa definirão os níveis necessários de CMMC; Nível 1 - salvaguardar as informações do contrato federal (FCI), nível 2 - transição para proteger as informações não classificadas controladas (CUI), Nível 3 - proteja a CUI e os Níveis 4 e 5 - protejam a CUI e reduzam o risco de ameaças persistentes avançadas (APTs).

    O Departamento de Defesa pretende incorporar os requisitos do CMMC no Suplemento do Regulamento Federal de Aquisição de Defesa (DFARS) e tornará a certificação um requisito para a maioria dos contratos do Departamento de Defesa. Consulte https://www.acq.osd.mil/cmmc/index.html para saber mais.

  • Por que o CMMC está sendo implementado?

    O Departamento de Defesa está migrando para a nova estrutura do CMMC para proteger contra roubo de informações confidenciais e propriedade intelectual do Departamento de Defesa. O CMMC avaliará e aprimorará a segurança cibernética da cadeia de suprimentos da Base Industrial de Defesa (DIB) e garantirá que práticas e processos apropriados de segurança cibernética estejam em vigor.

  • Quem precisa ter a certificação CMMC?

    O Departamento de Defesa estima que mais de 300.000 organizações exigirão avaliação e certificação em um dos cinco níveis do CMMC. Isso inclui contratados principais, subcontratados e, geralmente, todas as organizações que vendem ou prestam serviços de manutenção ao DoD.

  • Quando o DoD está implementando o requisito do CMMC?

    O DoD implementará os requisitos do CMMC em novos contratos a partir de 2020. Para 2020, o DoD está planejando 10 solicitações de informações (RFI) e 10 solicitações de proposta (RFP) para incluir os requisitos do CMMC. Nos próximos cinco anos, os requisitos do CMMC serão incluídos em novos contratos do DoD a uma taxa crescente e, até o ano 2026, quase todos os novos contratos do Departamento de Defesa incluirão os requisitos do CMMC.

  • Existem membros da cadeia de suprimentos do DoD usando a AWS agora?

    Uma grande variedade de organizações, programas e contratados em toda a cadeia de suprimentos do DoD usam a AWS para transformar seus negócios e operações. Eles utilizam a AWS para criar ambientes seguros para processar, manter e armazenar os EUA. Dados do governo federal de acordo com o DFARS, o Guia de Requisitos de Segurança da Computação em Nuvem (SRG) do DoD, o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) e outros programas federais de conformidade.

    Você pode revisar estudos de caso para saber como a AWS está ajudando o DoD, incluindo os EUA. Agência de Logística de Defesa, EUA. Força Aérea, EUA. Marinha e EUA. Comando de Operações Especiais, assim como contratados do DoD como Lockheed Martin, Raytheon e GDIT. Para obter mais informações sobre como a AWS atende aos requisitos de alta segurança do Departamento de Defesa, consulte a página da Web Computação de nuvem para defesa.

  • Como minha organização é certificada?

    Um órgão de acreditação (AB) independente e sem fins lucrativos foi estabelecido pelo CMMC para treinar e credenciar avaliadores individuais de Organizações de Avaliação de Terceiros Certificadas (C3PAOs). O CMMC-AB planeja lançar um CMMC Marketplace para contratados do Departamento de Defesa para visualizar, selecionar e se envolver com C3PAOs aprovados para avaliações e certificações.

    Os contratados do DoD serão submetidos a uma avaliação de segurança independente por um C3PAO a cada três anos e serão certificados para um nível de maturidade específico do CMMC. O CMMC-AB fornecerá as informações e atualizações necessárias em seu site: https://www.cmmcab.org.

  • AWS CMMC é certificada?

    O CMMC-AB ainda não identificou e certificou assessores e C3PAOs, e não criou o mercado do CMMC-AB, que fornecerá a lista de C3PAOs que foram certificados para realizar a avaliação. A AWS está colaborando com o DoD e o CMMC-AB nos requisitos e no processo de certificação.

  • A AWS fornece soluções para ajudar na certificação CMMC?

    A AWS está colaborando com o DoD e o CMMC-AB nos requisitos do CMMC para ajudar a acelerar a adoção e a certificação em toda a Cadeia de suprimentos de defesa (DSC). O CMMC-AB está no processo de identificação e treinamento dos avaliadores e C3PAOs certificados do CMMC, definindo o processo de certificação, detalhando a reciprocidade do FedRAMP e criando o mercado do CMMC. A AWS pretende fornecer soluções CMMC para clientes que acelerarão sua certificação CMMC e reduzirão seu nível de esforço e risco. A AWS planeja oferecer soluções CMMC que incluem recursos de implantação automatizada, arquiteturas de referência, matriz de responsabilidade de práticas do CMMC, herança potencial de autorização do FedRAMP (uma vez definida pelo DoD), e documentação de certificação de suporte para os clientes alavancarem à medida que buscam a certificação CMMC. A AWS pretende oferecer aos clientes a flexibilidade de implantar e certificar soluções da AWS CMMC em nossas regiões (Virgínia do Norte, AWS GovCloud (EUA) etc.) com base nos requisitos de seus negócios e programas do DoD

Se você tiver dúvidas a respeito da conformidade com o CMMC ou o DoD, entre em contato com o gerente de contas da AWS ou envie o formulário de contato da conformidade da AWS para entrar em contato com a sua equipe de contas.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »