Passa al contenuto principale

Normative e requisiti dipendono dal territorio quando operi a livello federale. Detto questo, implementare i controlli e raggiungere la conformità è molto più facile a dirsi che a farsi, soprattutto quando si tratta della Cybersecurity Maturity Model Certification (CMMC).

Non sai da dove iniziare? Siamo qui per aiutarti. Continua a leggere per scoprire i dettagli della CMMC e come la tua organizzazione può eliminare le difficoltà legate alla conformità.

Che cos'è la CMMC?

Il programma Cybersecurity Maturity Model Certification è un meccanismo di verifica progettato per garantire che tutte le aziende della Defense Industrial Base (DIB) implementino pratiche di sicurezza informatica adeguate. Basato sulla pubblicazione speciale (SP) 800-171 del National Institute of Standards and Technology (NIST), il framework CMMC unifica tutti gli appaltatori DIB sotto un unico standard di sicurezza certificabile.

In breve, tutti i partner della missione del Dipartimento della Difesa (DoD) sono tenuti ad adottare lo stesso insieme di controlli di sicurezza, a seconda di alcune variabili. Indipendentemente da ciò, qualsiasi appaltatore governativo che faccia un'offerta per un contratto con il Dipartimento della Difesa deve ottenere una certificazione CMMC, verificando così di aver soddisfatto i propri requisiti.

Perché è stata creata la CMMC?

Nell'ottobre 2016, il Dipartimento della Difesa ha emesso la clausola DFARS (Defense Federal Acquisition Regulation Supplement)252.204-7012, intitolata "Salvaguardia delle informazioni sulla difesa coperte e della segnalazione degli incidenti informatici". In base a questo regolamento, gli appaltatori della difesa dovevano solo autocertificare la propria maturità in termini di sicurezza informatica.

Tuttavia, l’auditing era spesso impreciso e condotto raramente, con conseguente conformità incoerente. A loro volta, le agenzie del Dipartimento della Difesa non avevano la garanzia che i loro partner di mission stessero adottando tutte le misure necessarie per proteggere le risorse governative.

Nel tentativo di abbandonare questo modello di autocertificazione, il Dipartimento della Difesa ha presentato il CMMC nel 2019. Ha iniziato a incorporare gli standard CMMC nei requisiti contrattuali del Dipartimento della Difesa a novembre 2020.

Perché la conformità CMMC è importante?

Lo scopo del framework CMMC è proteggere le informazioni governative dall'accesso e dall'esposizione non autorizzati. Più specificamente, impone pratiche per proteggere due tipi di dati:

  1. Informazioni non classificate controllate (CUI). Le informazioni non classificate controllate sono tutti i dati che non hanno lo status classificato ma che devono comunque essere salvaguardati a causa di particolari politiche e ordinanze governative. Le informazioni non classificate controllate possono riguardare infrastrutture critiche, documenti finanziari, difesa nazionale e altre aree sensibili.
  2. Informazioni contrattuali federali (FCI). Al contrario, le informazioni contrattuali federali sono informazioni fornite o generate per il governo degli Stati Uniti sotto contratto che non sono state contrassegnate per il rilascio pubblico. Sebbene non siano così sensibili come le informazioni non classificate controllate, le informazioni contrattuali federali devono comunque essere rigorosamente protette.

Con un crescente sciame di attacchi informatici contro le agenzie governative, la conformità CMMC è diventata vitale. Gli hack sponsorizzati dallo stato possono essere particolarmente costosi, con un costo medio di 4,43 milioni di dollari per violazione. Peggio ancora, data la natura dei dati governativi, questi attacchi possono mettere a repentaglio gli interessi degli Stati Uniti, inclusa la sicurezza nazionale.

Quali sono i vantaggi di ottenere una certificazione CMMC?

Gli appaltatori della difesa hanno tutte le ragioni per conformarsi ai requisiti CMMC. Non solo è obbligatorio per tutti i partner della missione, ma rappresenta anche un vantaggio aziendale competitivo. Ad esempio, ottenere una certificazione CMMC può:

  • Aiutarti a fare offerte sui contratti del Dipartimento della Difesa
  • Fornire un elevato livello di garanzia ai clienti dell'agenzia
  • Rafforzare la tua resilienza informatica e ridurre al minimo l’esposizione ai rischi

Che cos’è CMMC 2.0?

Il Dipartimento della Difesa ha annunciato l'intenzione di aggiornare e semplificare il quadro CMMC nel novembre 2021. L'obiettivo era rendere più semplice per gli appaltatori l'implementazione e il rispetto degli standard CMMC, semplificando al tempo stesso il processo di certificazione.

Ha consolidato la sua struttura in una versione più uniforme, completa e facilmente comprensibile: CMMC versione 2.0. Guardando al futuro, il Ministero della Difesa avrà bisogno di un certo livello di certificaxione CMMC per qualificare un'aggiudicazione di contratto entro il 1° ottobre 2025.

Come funziona la conformità CMMC?

CMMC organizza i propri requisiti utilizzando un sistema a più livelli. Mentre la versione originale conteneva cinque livelli indipendenti, CMMC 2.0 ha semplificato la struttura riducendola a tre.

Sono allineati in base al modo in cui appaltatori (e subappaltatori) gestiscono FCI e CUI. In genere, più informazioni sensibili vengono elaborate, più rigorosi saranno i requisiti di conformità.

Di conseguenza, ciascun livello ha i propri processi, pratiche e procedure di valutazione e si basa su quelli precedenti.

  1. CMMC Livello 1 (Fondamentale): 17 pratiche verificate attraverso l'autovalutazione.
  2. CMMC Livello 2 (Avanzato): 110 pratiche in linea con NIST SP 800-171, verificate da una valutazione di sicurezza triennale di terze parti.
  3. CMMC Livello 3 (Esperto): Oltre 110 pratiche basate su NIST SP 800-172, verificate attraverso una valutazione di sicurezza triennale condotta dal governo.
Livelli di conformità CMMC

CMMC suddivide inoltre pratiche specifiche di sicurezza informatica in 14 domini con 43 funzionalità. In questo contesto, il termine “capacità” si riferisce ai controlli di sicurezza che un appaltatore del Dipartimento della Difesa deve implementare e gestire a seconda del livello corrispondente. I domini CMMC includono:

  1. Controllo degli accessi
  2. Verifica e responsabilità
  3. Consapevolezza e Formazione
  4. Gestione della configurazione
  5. Identificazione e autenticazione
  6. Risposta agli incidenti
  7. Manutenzione
  8. Protezione di dispositivi multimediali
  9. Sicurezza del personale
  10. Protezione fisica
  11. Valutazioni dei rischi
  12. Valutazione della sicurezza
  13. Protezione del sistema e delle comunicazioni
  14. Integrità dei sistemi e delle informazioni
Domini di capacità CMMC

Entrust fornisce soluzioni che semplificano la conformità con i seguenti 9 domini CMMC:

Dominio CMMC

Controllo degli accessi (AC)
Verifica e responsabilità (Audit and Accountability, AU)
Gestione della configurazione (Configuration Management, CM)
Identificazione e autenticazione (Identification and Authentication, IA)
Manutenzione (Maintenance, MA)
Protezione di dispositivi multimediali (Media Protection, MP)
Protezione fisica (PE)
Protezione del sistema e delle comunicazioni (System and Communication Protection, SC)
Integrità dei sistemi e delle informazioni (SI)

Capacità

  • Stabilire i requisiti di accesso al sistema
  • Controllo dell'accesso al sistema interno
  • Controllo dell'accesso al sistema remoto
  • Limitare l'accesso ai dati agli utenti e ai processi autorizzati
  • Definire i requisiti di verifica
  • Svolgere le verifiche
  • Identificare e proteggere le informazioni di verifica
  • Rivedere e gestire i registri di controllo
  • Stabilire le linee di base della configurazione
  • Eseguire la configurazione e la gestione delle modifiche
  • Concedere l'accesso alle entità autenticate
  • Gestire la manutenzione
  • Identificare e contrassegnare i dispositivi multimediali
  • Proteggere e controllare i dispositivi multimediali
  • Salvaguardia dei dispositivi multimediali
  • Proteggere i dispositivi multimediali durante il trasporto
  • Limitare l'accesso fisico
  • Definire i requisiti di sicurezza per sistemi e comunicazioni
  • Controllare le comunicazioni ai confini del sistema
  • Identificare e gestire i difetti del sistema informativo
  • Identificare i contenuti dannosi
  • Eseguire il monitoraggio della rete e del sistema
  • Implementare una protezione avanzata dell'e-mail

Supporti Entrust

Entrust supporta questa capacità
Entrust supporta questa capacità
Entrust supporta questa capacità
Entrust supporta questa capacità
Entrust supporta questa capacità
Entrust supporta questa capacità
Entrust supporta questa capacità
Entrust supporta questa capacità
Entrust supporta questa capacità

Come si ottiene la certificazione CMMC?

Il processo di valutazione del CMMC è rigoroso fin dalla sua progettazione. Iniziare il percorso verso la conformità può essere scoraggiante, ma con una lista di controllo ben pianificata puoi procedere un passo alla volta.

Esaminiamo ciascuno di essi per aiutarti a iniziare:

  1. Determina il tuo livello CMMC: Il livello minimo di maturità della sicurezza informatica dipende da come gestisci FCI e CUI. Fai l'inventario dei tuoi sistemi, reti e processi per identificare esattamente dove e come entri in contatto con questi dati.
  2. Completa un'autovalutazione: Conduci un'analisi dei gap CMMC per rilevare vulnerabilità o aree di miglioramento che non sono in linea con le migliori pratiche.
  3. Crea un piano di sicurezza del sistema (SSP): Gli SSP sono necessari per la certificazione CMMC. Mappano il tuo panorama di sicurezza e le capacità di controllo, permettendoti di identificare i confini del tuo ambiente, dove si connette ad altri sistemi e quanto bene esegui determinati requisiti.
  4. Investi in strumenti pronti per il futuro: Probabilmente scoprirai delle lacune nella tua posizione di sicurezza informatica. Preparati a implementare soluzioni aggiuntive per coprire le basi e soddisfare i requisiti di conformità CMMC.
  5. Coinvolgi un revisore di terze parti: L'audit CMMC deve essere completato da un professionista registrato, un'organizzazione di fornitori registrati o un'organizzazione di valutazione di terze parti (3PAO).
  6. Mantieni la conformità: Una volta ottenuta la certificazione, è necessario implementare un monitoraggio continuo per identificare le lacune man mano che si presentano e garantire che i controlli di sicurezza continuino a funzionare come previsto.

Semplifica la conformità con le soluzioni Entrust

La conformità è obbligatoria se sei un appaltatore del Dipartimento della Difesa. Sfortunatamente, ciò non significa che sia facile.

Tuttavia, esistono modi per semplificare il processo, rafforzare le difese e ottenere e mantenere una certificazione CMMC. Con Entrust come partner esperto, puoi implementare un portafoglio di soluzioni che non solo ti rendono pronto per CMMC, ma ti aiutano anche a garantire una sicurezza a prova di futuro per gli anni a venire.

Da identità e autenticazione alla protezione dei media, al controllo degli accessi e altro ancora, ti aiutiamo a facilitare facilmente i domini CMMC. Che si tratti di Entrust Public Key Infrastructure o Entrust Identity as a Service, puoi essere certo che tu e i tuoi partner del Dipartimento della Difesa siete ben protetti.

Cerchi di più? Scarica il nostro eBook per ulteriori informazioni su come preparare la tua organizzazione per CMMC.