Cybersecurity Maturity Model Certification (CMMC)

CMMC 2.0 é a próxima iteração do modelo de segurança cibernética CMMC do DoD. Ele simplifica os requisitos para três níveis de segurança cibernética - Básico, Avançado e Especialista - e alinha os requisitos em cada nível com os padrões de segurança cibernética NIST bem conhecidos e amplamente aceitos.

Em 3 de dezembro de 2021, o DoD lançou a Visão geral do modelo CMMC 2.0. O modelo CMMC 2.0 abrange os requisitos básicos de proteção para FCI especificados no Federal Acquisition Regulation (FAR) 52.204-21 e os requisitos de segurança para CUI no NIST SP 800-171r2 de acordo com a cláusula 252.204-7012 do Defense Federal Acquisition Regulation Supplement (DFARS).

• CMMC Level 1 (Foundational) apenas para empresas com FCI; as informações requerem proteção, mas não são essenciais para a segurança nacional; requer 17 práticas básicas de proteção; CMMC Level 1 Scoping Guidance
• CMMC Level 2 (Advanced) para empresas com CUI; exigirá as 110 práticas do NIST SP 800-171r2; pode exigir avaliações de terceiros ou autoavaliações, dependendo do tipo de informação; CMMC Level 2 Scoping Guidance
• CMMC Level 3 (Expert) para os programas de maior prioridade com CUI; usará um subconjunto do NIST SP 800-172; será avaliado por funcionários do governo.

A segurança cibernética é uma das principais prioridades do Departamento de Defesa.

A Base Industrial de Defesa (DIB) é alvo de ataques cibernéticos cada vez mais frequentes e complexos. Para proteger a engenhosidade americana e as informações de segurança nacional, o DoD desenvolveu o CMMC 2.0 para aprimorar dinamicamente a segurança cibernética do DIB para enfrentar as ameaças em evolução e proteger as informações.

Depois que o CMMC estiver totalmente implementado, certos contratados do DoD que lidam com informações confidenciais não classificadas do DoD serão obrigados a atingir um determinado nível do CMMC como condição para a concessão do contrato.

O DoD expressou que não tem a intenção de aprovar a inclusão de um requisito CMMC em qualquer contrato antes da conclusão do processo de regulamentação do CMMC 2.0.  A estimativa do DoD para a conclusão desse processo é de 9 a 24 meses a partir de novembro de 2021.

Assim que o CMMC 2.0 for implementado, o DoD especificará o nível CMMC necessário na solicitação e em quaisquer Solicitações de Informações (RFIs), se utilizado.

Uma grande variedade de organizações, programas e contratados em toda a cadeia de suprimentos do DoD usam a AWS para transformar suas atividades e operações. Eles utilizam a AWS para criar ambientes de nuvem seguros para processar, manter e armazenar dados do governo federal dos EUA de acordo com o Defense Federal Acquisition Regulation Supplement (DFARS), o Guia de Requisitos de Segurança (SRG) da Computação em Nuvem do DoD, o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) e outros programas federais de conformidade.

Você pode analisar estudos de caso para saber como a AWS está ajudando o DoD, incluindo os EUA. Agência de Logística de Defesa, EUA. Força Aérea, Marina dos EUA e Comando de operações especiais dos EUA, assim como contratados do DoD, como Lockheed Martin, Raytheon e GDIT. Para obter mais informações sobre como a AWS atende aos requisitos de alta segurança do DoD, consulte a página da Web Computação em nuvem para defesa.

A regra provisória DFARS estabeleceu um período de introdução progressiva de cinco anos, durante o qual a conformidade CMMC é exigida apenas em contratos de piloto selecionados, conforme aprovado pelo Gabinete do Subsecretário de Defesa para Aquisição e Sustentação (OUSD (A&S)). O DoD expressou que não tem a intenção de aprovar a inclusão de um requisito CMMC em qualquer contrato antes da conclusão do processo de regulamentação do CMMC 2.0.

Depois que o CMMC 2.0 for codificado por meio de regulamentação, o DoD exigirá que as empresas sigam o framework CMMC 2.0 revisada.

Não. O CMMC mensura os recursos e processos de segurança cibernética do contratante DIB em comparação com os requisitos de um nível específico de CMMC.

Como um provedor de serviços em nuvem (CSP), a AWS é autorizada pelo FedRAMP em FedRAMP High e pela Defense Information Systems Agency (DISA) nos níveis de impacto SRG 2, 4 e 5.

Não. O DoD ainda não definiu como outros programas de conformidade, como o FedRAMP ou a ISO 27001 Information Security Management, serão mapeados para os níveis de CMMC 2.0.

O pacote do cliente do CMMC da AWS fornece um detalhamento dos controles de segurança do CMMC Nível 2 / NIST SP 800-171 que os clientes podem herdar da AWS usando o Acelerador da Zona de Pouso da AWS na AWS GovCloud (EUA).

O pacote do cliente do CMMC da AWS está disponível para download por parte do cliente no AWS Artifact nas regiões AWS GovCloud (EUA) e padrões da AWS.

Sim. Os consultores do AWS Professional Services são treinados no Acelerador da Zona de Pouso da AWS pela AWS GovCloud (EUA) e podem oferecer suporte a implementações de clientes que enfrentam os desafios de conformidade do CMMC.

A AWS pretende oferecer aos clientes a flexibilidade de implantar e certificar soluções CMMC 2.0 da AWS em regiões padrões e restritas (Leste/Oeste dos EUA, AWS GovCloud (EUA) etc.) com base nos requisitos de seus programas e contratos entre suas empresas e o DoD.