Certificazione sul modello di maturità per la sicurezza informatica (Cybersecurity Maturity Model Certification, CMMC)

Il CMMC 2.0 è la prossima versione del modello di sicurezza informatica CMMC del Dipartimento della Difesa. Esso razionalizza i requisiti a tre livelli di sicurezza informatica (Base, Avanzato ed Esperto) e allinea i requisiti a ogni livello con gli standard di sicurezza informatica NIST ben noti e ampiamente accettati.

Il 3 dicembre 2021 il Dipartimento della Difesa statunitense ha rilasciato la Panoramica del modello CMMC 2.0. Il modello CMMC 2.0 comprende i requisiti di base per la salvaguardia delle FCI specificate nel Federal Acquisition Regulation (FAR) 52.204-21 e i requisiti di sicurezza per le CUI nel NIST SP 800-171r2 per la clausola 252.204-7012 del Defense Federal Acquisition Regulation Supplement (DFARS).

• CMMC Livello 1 (Base) solo per aziende con FCI; le informazioni richiedono protezione, ma non sono critiche per la sicurezza nazionale; richiede 17 pratiche di salvaguardia di base; Guida per la definizione degli ambiti della CMMC Livello 1
• CMMC Livello 2 (Avanzato) per le aziende con CUI; richiederà le 110 pratiche del NIST SP 800-171r2; può richiedere valutazioni di terze parti o autovalutazioni, a seconda del tipo di informazioni; Guida per la definizione degli ambiti della CMMC Livello 2
• CMMC Livello 3 (Esperto) per i programmi a più alta priorità con CUI; userà un sottoinsieme di NIST SP 800-172; sarà valutato da funzionari governativi

La sicurezza informatica è una priorità assoluta per il Dipartimento della Difesa.

La base industriale della difesa (DIB) è l'obiettivo di attacchi informatici sempre più frequenti e complessi. Per proteggere l'ingegno americano e le informazioni di sicurezza nazionale, il Dipartimento della Difesa ha sviluppato la CMMC 2.0 per migliorare dinamicamente la sicurezza informatica della DIB per proteggersi dalle minacce in evoluzione e salvaguardare le informazioni.

Una volta completata l'implementazione della CMMC, alcuni appaltatori del Dipartimento della Difesa che gestiscono informazioni sensibili non classificate dello stesso saranno tenuti a raggiungere un particolare livello di CMMC come condizione di aggiudicazione del contratto.

Il Dipartimento della Difesa ha espresso la volontà di non approvare l'inclusione di un requisito CMMC in qualsiasi contratto prima del completamento del processo di regolamentazione CMMC 2.0.  La stima del Dipartimento della Difesa per il completamento di questo processo è di 9-24 mesi da novembre 2021.

Una volta che la CMMC 2.0 sarà implementata, il Dipartimento della Difesa specificherà il livello di CMMC richiesto nelle istanze e in qualsiasi richiesta di informazioni (RFI), se utilizzata.

Un'ampia gamma di organizzazioni, programmi e appaltatori nella catena di approvvigionamento del Dipartimento della Difesa utilizza AWS per trasformare le proprie attività e operazioni, creando ambienti sicuri per l'elaborazione, la gestione e lo storage dei dati del governo federale in ottemperanza al Defense Federal Acquisition Regulation Supplement (DFARS), al DoD Cloud Computing Security Requirements Guide (SRG), al Federal Risk and Authorization Management Program (FedRAMP) e ad altri programmi federali di conformità.

Dai casi di studio emerge come AWS stia aiutando varie agenzie del Dipartimento della Difesa statunitense, tra cui la Defense Logistics Agency, l'Aeronautica militare, la marina militare e il Comando delle Operazioni Speciali, così come appaltatori del Dipartimento della Difesa come Lockheed Martin, Raytheon e GDIT. Per ulteriori informazioni sulla capacità di AWS di soddisfare i severi requisiti di sicurezza del Dipartimento della Difesa, consulta la pagina web Cloud Computing for Defense.

Il regolamento ad interim DFARS ha stabilito un periodo di introduzione graduale di cinque anni, durante il quale la conformità CMMC è richiesta solo in contratti pilota selezionati, come approvato dall'Ufficio del Sottosegretario del Dipartimento della Difesa responsabile per l'approvvigionamento e il supporto (OUSD(A&S)). Il Dipartimento della Difesa ha espresso la volontà di non approvare l'inclusione di un requisito CMMC in qualsiasi contratto prima del completamento del processo di regolamentazione CMMC 2.0.

Una volta che la CMMC 2.0 è codificata in tutta la regolamentazione, il Dipartimento della Difesa richiederà alle aziende di aderire al framework CMMC 2.0 rivisto.

No. La CMMC misura le funzionalità e i processi in materia di sicurezza informatica dell'appaltatore della DIB rispetto ai requisiti per un particolare livello della CMMC.

Come provider di servizi cloud (CSP), AWS è autorizzato da FedRAMP al livello FedRAMP High e dalla Defense Information Systems Agency (DISA) ai livelli di impatto SRG 2, 4 e 5.

No. Il Dipartimento della Difesa non ha ancora definito come altri programmi di conformità come FedRAMP o ISO 27001 Information Security Management si rapporteranno ai livelli CMMC 2.0.

Il pacchetto clienti CMMC di AWS fornisce una descrizione dei controlli di sicurezza CMMC di livello 2 / NIST SP 800-171 che i clienti possono ereditare da AWS utilizzando l'acceleratore AWS Landing Zone nelle Regioni AWS GovCloud (Stati Uniti).

Il cliente può scaricare il pacchetto clienti CMMC di AWS nella sezione AWS Artifact sia nelle Regioni AWS standard sia nelle Regioni AWS GovCloud (Stati Uniti).

Sì. I consulenti di AWS Professional Services hanno ricevuto una formazione sull'acceleratore AWS Landing Zone nelle Regioni AWS GovCloud (Stati Uniti) e sono in grado di supportare le implementazioni dei clienti progettate per le sfide della conformità alla CMMC.

AWS intende offrire ai clienti la flessibilità necessaria per implementare e certificare le soluzioni AWS CMMC 2.0 nelle Regioni standard e limitate (Stati Uniti Orientali/Occidentali, AWS GovCloud (Stati Uniti) e così via) in base ai requisiti della rispettiva attività e dei programmi e contratti del Dipartimento della Difesa.