Cybersecurity Maturity Model Certification (CMMC)
Visão geral
- Modelo em camadas: o CMMC exige que as empresas encarregadas das informações de segurança nacional implementem padrões de segurança cibernética em níveis progressivamente avançados, dependendo do tipo e da sensibilidade das informações. O programa também define o encaminhamento do processo de fluxo de informações aos subcontratados.
- Requisito de avaliação: as avaliações CMMC permitem que o DoD verifique a implementação de padrões claros de segurança cibernética.
- Implementação por meio de contratos: Uma vez que o CMMC esteja totalmente implementado, certos contratados do DoD que lidam com informações confidenciais não classificadas do DoD serão obrigados a atingir um determinado nível de CMMC como condição para a concessão do contrato.
Perguntas frequentes
-
O que é o CMMC 2.0?
CMMC 2.0 é a próxima iteração do modelo de segurança cibernética CMMC do DoD. Ele simplifica os requisitos para três níveis de segurança cibernética - Básico, Avançado e Especialista - e alinha os requisitos em cada nível com os padrões de segurança cibernética NIST bem conhecidos e amplamente aceitos. -
Quais os novos níveis no CMMC 2.0?
Em 3 de dezembro de 2021, o DoD lançou a Visão geral do modelo CMMC 2.0. O modelo CMMC 2.0 abrange os requisitos básicos de proteção para FCI especificados no Federal Acquisition Regulation (FAR) 52.204-21 e os requisitos de segurança para CUI no NIST SP 800-171r2 de acordo com a cláusula 252.204-7012 do Defense Federal Acquisition Regulation Supplement (DFARS).
CMMC Level 1 (Foundational) apenas para empresas com FCI; as informações requerem proteção, mas não são essenciais para a segurança nacional; requer 17 práticas básicas de proteção; CMMC Level 1 Scoping Guidance
CMMC Level 2 (Advanced) para empresas com CUI; exigirá as 110 práticas do NIST SP 800-171r2; pode exigir avaliações de terceiros ou autoavaliações, dependendo do tipo de informação; CMMC Level 2 Scoping Guidance
CMMC Level 3 (Expert) para os programas de maior prioridade com CUI; usará um subconjunto do NIST SP 800-172; será avaliado por funcionários do governo.
-
Por que o CMMC 2.0 está sendo implementado?
A segurança cibernética é uma das principais prioridades do Departamento de Defesa.
A Base Industrial de Defesa (DIB) é alvo de ataques cibernéticos cada vez mais frequentes e complexos. Para proteger a engenhosidade americana e as informações de segurança nacional, o DoD desenvolveu o CMMC 2.0 para aprimorar dinamicamente a segurança cibernética do DIB para enfrentar as ameaças em evolução e proteger as informações.
-
Quem precisa ter a certificação CMMC?
Depois que o CMMC estiver totalmente implementado, certos contratados do DoD que lidam com informações confidenciais não classificadas do DoD serão obrigados a atingir um determinado nível do CMMC como condição para a concessão do contrato. -
Quando o DoD implementará o requisito do CMMC 2.0?
O DoD expressou que não tem a intenção de aprovar a inclusão de um requisito CMMC em qualquer contrato antes da conclusão do processo de regulamentação do CMMC 2.0. A estimativa do DoD para a conclusão desse processo é de 9 a 24 meses a partir de novembro de 2021.
Assim que o CMMC 2.0 for implementado, o DoD especificará o nível CMMC necessário na solicitação e em quaisquer Solicitações de Informações (RFIs), se utilizado. -
Existem membros da cadeia de suprimentos do DoD usando a AWS agora?
Uma grande variedade de organizações, programas e contratados em toda a cadeia de suprimentos do DoD usam a AWS para transformar suas atividades e operações. Eles utilizam a AWS para criar ambientes de nuvem seguros para processar, manter e armazenar dados do governo federal dos EUA de acordo com o Defense Federal Acquisition Regulation Supplement (DFARS), o Guia de Requisitos de Segurança (SRG) da Computação em Nuvem do DoD, o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) e outros programas federais de conformidade.
Você pode analisar estudos de caso para saber como a AWS está ajudando o DoD, incluindo os EUA. Agência de Logística de Defesa, EUA. Força Aérea, EUA. Marinha e EUA. Comando de operações especiais, assim como contratados do DoD, como Lockheed Martin, Raytheon e GDIT. Para obter mais informações sobre como a AWS atende aos requisitos de alta segurança do DoD, consulte a página da Web Computação em nuvem para defesa.
-
Como a nova “Regra Provisória” do DoD afeta minha organização?
A regra provisória DFARS estabeleceu um período de introdução progressiva de cinco anos, durante o qual a conformidade CMMC é exigida apenas em contratos de piloto selecionados, conforme aprovado pelo Gabinete do Subsecretário de Defesa para Aquisição e Sustentação (OUSD (A&S)). O DoD expressou que não tem a intenção de aprovar a inclusão de um requisito CMMC em qualquer contrato antes da conclusão do processo de regulamentação do CMMC 2.0.
Depois que o CMMC 2.0 for codificado por meio de regulamentação, o DoD exigirá que as empresas sigam o framework CMMC 2.0 revisada. -
Os serviços de nuvem precisam da certificação CMMC?
Não. O CMMC mensura os recursos e processos de segurança cibernética do contratante DIB em comparação com os requisitos de um nível específico de CMMC.
Como um provedor de serviços em nuvem (CSP), a AWS é autorizada pelo FedRAMP em FedRAMP High e pela Defense Information Systems Agency (DISA) nos níveis de impacto SRG 2, 4 e 5. -
A AWS fornece reciprocidade do CMMC 2.0 com outros programas de conformidade?
Não. O DoD ainda não definiu como outros programas de conformidade, como o FedRAMP ou a ISO 27001 Information Security Management, serão mapeados para os níveis de CMMC 2.0. -
A AWS fornece soluções e documentação de conformidade para ajudar na conformidade com o CMMC 2.0?
O pacote do cliente do CMMC da AWS fornece um detalhamento dos controles de segurança do CMMC Nível 2 / NIST SP 800-171 que os clientes podem herdar da AWS usando o AWS Landing Zone Accelerator na AWS GovCloud (EUA).
O pacote do cliente do CMMC da AWS está disponível para download por parte do cliente no AWS Artifact nas regiões AWS GovCloud (EUA) e padrões da AWS.
-
O AWS Professional Services oferece suporte aos clientes para que atendam aos requisitos de conformidade do CMMC?
Sim. Os consultores do AWS Professional Services são treinados no AWS Landing Zone Accelerator pela AWS GovCloud (EUA) e podem oferecer suporte a implementações de clientes que enfrentam os desafios de conformidade do CMMC.
-
Quais regiões da AWS devo usar para implantar o ambiente de nuvem do CMMC 2.0?
A AWS pretende oferecer aos clientes a flexibilidade de implantar e certificar soluções CMMC 2.0 da AWS em regiões padrões e restritas (Leste/Oeste dos EUA, AWS GovCloud (EUA) etc.) com base nos requisitos de seus programas e contratos entre suas empresas e o DoD.
Recursos do CMMC
Para obter mais informações sobre as soluções e produtos da AWS que oferecem suporte aos requisitos DFARS, NIST SP 800-171 ou CMMC de nossos clientes, entre em contato conosco em [email protected]
Se você tiver dúvidas a respeito da conformidade com o CMMC ou o DoD, entre em contato com o gerente de contas da AWS ou envie o formulário de contato da conformidade da AWS para entrar em contato com a sua equipe de contas.