Cybersecurity Maturity Model Certification (CMMC)
Übersicht
- Stufenmodell: CMMC verlangt, dass Unternehmen, die mit nationalen Sicherheitsinformationen betraut sind, je nach Art und Vertraulichkeit der Informationen Cybersicherheitsstandards auf fortschreitendem Niveau implementieren. Das Programm legt auch den Prozess für den Informationsfluss bis hin zu den Subunternehmern fest.
- Bewertungsanforderung: CMMC-Bewertungen ermöglichen es dem DoD, die Umsetzung klarer Cybersicherheitsstandards zu überprüfen.
- Implementierung durch Verträge: Sobald CMMC vollständig implementiert ist, müssen bestimmte DoD-Auftragnehmer, die sensible, nicht klassifizierte DoD-Informationen verarbeiten, als Bedingung für die Auftragsvergabe eine bestimmte CMMC-Stufe erreichen.
Häufig gestellte Fragen
-
Was ist CMMC 2.0?
CMMC 2.0 ist die nächste Iteration des CMMC-Cybersicherheitsmodells des DoD. Es rationalisiert die Anforderungen auf drei Ebenen der Cybersicherheit – Foundational, Advanced und Expert – und stimmt die Anforderungen auf jeder Ebene mit bekannten und weithin akzeptierten NIST-Cybersicherheitsstandards ab. -
Was sind die neuen Ebenen in CMMC 2.0?
Am 3. Dezember 2021 veröffentlichte das DoD die Übersicht über das CMMC-2.0-Modell. Das CMMC-2.0-Modell umfasst die grundlegenden Schutzanforderungen für FCI gemäß der Federal Acquisition Regulation (FAR) 52.204-21 und die Sicherheitsanforderungen für CUI gemäß des NIST SP 800-171r2 und Defense Federal Acquisition Regulation Supplement (DFARS) 252.204-7012.
CMMC Stufe 1 (Grundlagen) für Unternehmen mit nur FCI; Informationen müssen geschützt werden, sind aber nicht kritisch für die nationale Sicherheit; erfordert 17 grundlegende Schutzmaßnahmen; CMMC Stufe 1 Scoping Guidance
CMMC Stufe 2 (Fortgeschritten) für Unternehmen mit CUI; erfordert die 110 Praktiken aus NIST SP 800-171r2; kann je nach Art der Informationen Dritt- oder Selbstbewertungen erfordern; CMMC Level 2 Scoping Guidance
CMMC Stufe 3 (Experte) für die Programme mit höchster Priorität und CUI; benutzt eine Untergruppe von NIST SP 800-172; wird von Regierungsbeamten bewertet.
-
Warum wird die CMMC 2.0 implementiert?
Cybersicherheit hat für das Verteidigungsministerium höchste Priorität.
Die Defense Industrial Base (DIB) ist das Ziel immer häufigerer und komplexer Cyberangriffe. Um den amerikanischen Einfallsreichtum und die nationalen Sicherheitsinformationen zu schützen, hat das DoD CMMC 2.0 entwickelt, um die DIB-Cybersicherheit dynamisch zu verbessern, um sich entwickelnden Bedrohungen zu begegnen und Informationen zu schützen.
-
Wer muss CMMC-zertifiziert sein?
Sobald CMMC vollständig implementiert ist, müssen bestimmte DoD-Auftragnehmer, die sensible, nicht klassifizierte DoD-Informationen verarbeiten, als Bedingung für die Auftragsvergabe eine bestimmte CMMC-Stufe erreichen. -
Wann geht das DoD zur CMMC-Anforderung 2.0 über?
Das DoD hat zum Ausdruck gebracht, dass es nicht beabsichtigt, die Aufnahme einer CMMC-Anforderung in einen Vertrag vor Abschluss des CMMC-2.0-Regelungsprozesses zu genehmigen. Die Schätzung des DoD für den Abschluss dieses Prozesses beträgt 9 bis 24 Monate ab November 2021.
Sobald CMMC 2.0 implementiert ist, wird das DoD die erforderliche CMMC-Stufe in der Aufforderung und in allen Informationsanfragen (RFIs) angeben, falls diese verwendet werden. -
Gibt es jetzt Glieder der Lieferkette des Verteidigungsministeriums, die AWS verwenden?
Ein breites Spektrum von Unternehmen, Programmen und Auftragnehmern in der gesamten Lieferkette des Verteidigungsministeriums nutzt AWS, um ihre Geschäfte und Abläufe umzugestalten. Sie setzen AWS ein, um sichere Cloud-Umgebungen für die Verarbeitung, Pflege und Speicherung von Daten der US- Bundesregierung gemäß Defense Federal Acquisition Regulation Supplement (DFARS), dem DoD Cloud Computing Security Requirements Guide (SRG), dem Federal Risk and Authorization Management Program (FedRAMP) und anderen Bundesprogrammen zur Einhaltung von Vorschriften zu schaffen.
Sie können Fallstudien lesen, um zu erfahren, wie AWS das DoD unterstützt, einschließlich die der U.S. Defense Logistics Agency, U.S. Air Force, U.S. Navy und des U.S. Special Operations Command sowie von DoD-Auftragnehmern wie Lockheed Martin, Raytheon und GDIT. Weitere Informationen darüber, wie AWS die hohen Sicherheitsanforderungen des DoD erfüllt, finden Sie auf der Webseite Cloud Computing for Defense.
-
Wie wirkt sich die neue „DoD-Übergangsregel“ auf meine Organisation aus?
Die vorläufige DFARS-Regel sieht eine fünfjährige Phase-in-Phase vor, während der die CMMC-Konformität nur in ausgewählten Pilotverträgen erforderlich ist, wie vom Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)) genehmigt. Das DoD hat zum Ausdruck gebracht, dass es nicht beabsichtigt, die Aufnahme einer CMMC-Anforderung in einen Vertrag vor Abschluss des CMMC-2.0-Regelungsprozesses zu genehmigen.
Sobald CMMC 2.0 durch Regelsetzung kodifiziert ist, verlangt das DoD von den Unternehmen, sich an das überarbeitete CMMC-2.0-Framework zu halten. -
Müssen Cloud-Services CMMC-zertifiziert sein?
Nein. CMMC misst die Cybersicherheitskapazitäten und -prozesse eines DIB-Auftragnehmers im Vergleich zu den Anforderungen für eine bestimmte CMMC-Stufe.
Als Cloud Service Provider (CSP) ist AWS von FedRAMP auf FedRAMP High und von der Defense Information Systems Agency (DISA) auf SRG Impact Levels 2, 4 und 5 autorisiert. -
Bietet AWS-CMMC-Reziprozität 2.0 mit anderen Compliance-Programmen?
Nein. Das DoD hat noch nicht definiert, wie andere Compliance-Programme wie FedRAMP oder ISO 27001 Information Security Management den CMMC-2.0-Stufen zugeordnet werden. -
Bietet AWS Lösungen und Compliance-Dokumentation zur Unterstützung der CMMC-2.0-Compliance?
Das AWS-CMMC-Kundenpaket bietet eine Aufschlüsselung der Sicherheitskontrollen von CMMC Ebene 2/NIST SP 800-171, die Kunden von AWS übernehmen können, indem sie den AWS Landing Zone Accelerator in der AWS GovCloud (USA) verwenden.
Das AWS-CMMC-Kundenpaket steht Kunden in den Regionen AWS Standard und AWS GovCloud (USA) in AWS Artifact zum Download zur Verfügung.
-
Unterstützt AWS Professional Services Kunden bei der Erfüllung ihrer CMMC-Compliance-Anforderungen?
Ja. Die Berater von AWS Professional Services sind im AWS Landing Zone Accelerator in der AWS GovCloud (USA) geschult und können Kundenimplementierungen unterstützen, die Herausforderungen der CMMC-Compliance angehen.
-
Welche AWS-Region(en) sollte ich zum Bereitstellen unserer CMMC-Cloud-Umgebung 2.0 verwenden?
AWS beabsichtigt, Kunden die Flexibilität zu bieten, AWS-CMMC-2.0-Lösungen in Standard- und eingeschränkten Regionen (USA Ost/West, AWS GovCloud (USA) usw.) basierend auf den Anforderungen ihrer Geschäfts- und DoD-Programme und -Verträge bereitzustellen und zu zertifizieren.
CMMC-Ressourcen
Für weitere Informationen zu den AWS-Lösungen und -Services, die die DFARS-, NIST-SP-800-171- oder CMMC-Anforderungen unserer Kunden unterstützen, kontaktieren Sie uns bitte unter cmmconaws@amazon.com
Wenn Sie Fragen zur CMMC- oder DoD-Konformität haben, wenden Sie sich bitte an den für Sie zuständigen AWS Account Manager, oder übermitteln Sie die Fragen über das AWS-Compliance-Kontaktformular, um Kontakt mit dem für Sie zuständigen Kontoteam aufzunehmen.