La guida definitiva al CMMC

Il programma Cybersecurity Maturity Model Certification è un meccanismo di verifica progettato per garantire che tutte le aziende della Defense Industrial Base (DIB) implementino pratiche di sicurezza informatica adeguate. Basato sulla pubblicazione speciale (SP) 800-171 del National Institute of Standards and Technology (NIST), il framework CMMC unifica tutti gli appaltatori DIB sotto un unico standard di sicurezza certificabile.

In breve, tutti i partner della missione del Dipartimento della Difesa (DoD) sono tenuti ad adottare lo stesso insieme di controlli di sicurezza, a seconda di alcune variabili. Indipendentemente da ciò, qualsiasi appaltatore governativo che faccia un'offerta per un contratto con il Dipartimento della Difesa deve ottenere una certificazione CMMC, verificando così di aver soddisfatto i propri requisiti.

Perché è stata creata la CMMC?

Nell'ottobre 2016, il Dipartimento della Difesa ha emesso la clausola DFARS (Defense Federal Acquisition Regulation Supplement), intitolata "Salvaguardia delle informazioni sulla difesa coperte e della segnalazione degli incidenti informatici". In base a questo regolamento, gli appaltatori della difesa dovevano solo autocertificare la propria maturità in termini di sicurezza informatica.

Tuttavia, l’auditing era spesso impreciso e condotto raramente, con conseguente conformità incoerente. A loro volta, le agenzie del Dipartimento della Difesa non avevano la garanzia che i loro partner di mission stessero adottando tutte le misure necessarie per proteggere le risorse governative.

Nel tentativo di abbandonare questo modello di autocertificazione, il Dipartimento della Difesa ha presentato il CMMC nel 2019. Ha iniziato a incorporare gli standard CMMC nei requisiti contrattuali del Dipartimento della Difesa a novembre 2020.

Perché la conformità CMMC è importante?

Lo scopo del framework CMMC è proteggere le informazioni governative dall'accesso e dall'esposizione non autorizzati. Più specificamente, impone pratiche per proteggere due tipi di dati:

1. Informazioni non classificate controllate (CUI). Le informazioni non classificate controllate sono tutti i dati che non hanno lo status classificato ma che devono comunque essere salvaguardati a causa di particolari politiche e ordinanze governative. Le informazioni non classificate controllate possono riguardare infrastrutture critiche, documenti finanziari, difesa nazionale e altre aree sensibili.
2. Informazioni contrattuali federali (FCI). Al contrario, le informazioni contrattuali federali sono informazioni fornite o generate per il governo degli Stati Uniti sotto contratto che non sono state contrassegnate per il rilascio pubblico. Sebbene non siano così sensibili come le informazioni non classificate controllate, le informazioni contrattuali federali devono comunque essere rigorosamente protette.

Con un crescente sciame di attacchi informatici contro le agenzie governative, la conformità CMMC è diventata vitale. Gli hack sponsorizzati dallo stato possono essere particolarmente costosi, con un costo medio di 4,43 milioni di dollari per violazione. Peggio ancora, data la natura dei dati governativi, questi attacchi possono mettere a repentaglio gli interessi degli Stati Uniti, inclusa la sicurezza nazionale.

Quali sono i vantaggi di ottenere una certificazione CMMC?

Gli appaltatori della difesa hanno tutte le ragioni per conformarsi ai requisiti CMMC. Non solo è obbligatorio per tutti i partner della missione, ma rappresenta anche un vantaggio aziendale competitivo. Ad esempio, ottenere una certificazione CMMC può:

• Aiutarti a fare offerte sui contratti del Dipartimento della Difesa
• Fornire un elevato livello di garanzia ai clienti dell'agenzia
• Rafforzare la tua resilienza informatica e ridurre al minimo l’esposizione ai rischi

Che cos’è CMMC 2.0?

Il Dipartimento della Difesa ha annunciato l'intenzione di aggiornare e semplificare il quadro CMMC nel novembre 2021. L'obiettivo era rendere più semplice per gli appaltatori l'implementazione e il rispetto degli standard CMMC, semplificando al tempo stesso il processo di certificazione.

Ha consolidato la sua struttura in una versione più uniforme, completa e facilmente comprensibile: CMMC versione 2.0. Guardando al futuro, il Ministero della Difesa avrà bisogno di un certo livello di certificaxione CMMC per qualificare un'aggiudicazione di contratto entro il 1° ottobre 2025.

CMMC organizza i propri requisiti utilizzando un sistema a più livelli. Mentre la versione originale conteneva cinque livelli indipendenti, CMMC 2.0 ha semplificato la struttura riducendola a tre.

Sono allineati in base al modo in cui appaltatori (e subappaltatori) gestiscono FCI e CUI. In genere, più informazioni sensibili vengono elaborate, più rigorosi saranno i requisiti di conformità.

Di conseguenza, ciascun livello ha i propri processi, pratiche e procedure di valutazione e si basa su quelli precedenti.

1. CMMC Livello 1 (Fondamentale): 17 pratiche verificate attraverso l'autovalutazione.
2. CMMC Livello 2 (Avanzato): 110 pratiche in linea con NIST SP 800-171, verificate da una valutazione di sicurezza triennale di terze parti.
3. CMMC Livello 3 (Esperto): Oltre 110 pratiche basate su NIST SP 800-172, verificate attraverso una valutazione di sicurezza triennale condotta dal governo.

CMMC suddivide inoltre pratiche specifiche di sicurezza informatica in 14 domini con 43 funzionalità. In questo contesto, il termine “capacità” si riferisce ai controlli di sicurezza che un appaltatore del Dipartimento della Difesa deve implementare e gestire a seconda del livello corrispondente. I domini CMMC includono:

1. Controllo degli accessi
2. Verifica e responsabilità
3. Consapevolezza e Formazione
4. Gestione della configurazione
5. Identificazione e autenticazione
6. Risposta agli incidenti
7. Manutenzione
8. Protezione di dispositivi multimediali
9. Sicurezza del personale
10. Protezione fisica
11. Valutazioni dei rischi
12. Valutazione della sicurezza
13. Protezione del sistema e delle comunicazioni
14. Integrità dei sistemi e delle informazioni

Entrust fornisce soluzioni che semplificano la conformità con i seguenti 9 domini CMMC:

Dominio CMMC

Dominio CMMCControllo degli accessi (AC)

Dominio CMMCVerifica e responsabilità (Audit and Accountability, AU)

Dominio CMMCGestione della configurazione (Configuration Management, CM)

Dominio CMMCIdentificazione e autenticazione (Identification and Authentication, IA)

Dominio CMMCManutenzione (Maintenance, MA)

Dominio CMMCProtezione di dispositivi multimediali (Media Protection, MP)

Dominio CMMCProtezione fisica (PE)

Dominio CMMCProtezione del sistema e delle comunicazioni (System and Communication Protection, SC)

Dominio CMMCIntegrità dei sistemi e delle informazioni (SI)

Capacità

Controllo degli accessi (AC)

• Stabilire i requisiti di accesso al sistema
• Controllo dell'accesso al sistema interno
• Controllo dell'accesso al sistema remoto
• Limitare l'accesso ai dati agli utenti e ai processi autorizzati

Verifica e responsabilità (Audit and Accountability, AU)

• Definire i requisiti di verifica
• Svolgere le verifiche
• Identificare e proteggere le informazioni di verifica
• Rivedere e gestire i registri di controllo

Gestione della configurazione (Configuration Management, CM)

• Stabilire le linee di base della configurazione
• Eseguire la configurazione e la gestione delle modifiche

Identificazione e autenticazione (Identification and Authentication, IA)

• Concedere l'accesso alle entità autenticate

Manutenzione (Maintenance, MA)

• Gestire la manutenzione

Protezione di dispositivi multimediali (Media Protection, MP)

• Identificare e contrassegnare i dispositivi multimediali
• Proteggere e controllare i dispositivi multimediali
• Salvaguardia dei dispositivi multimediali
• Proteggere i dispositivi multimediali durante il trasporto

Protezione fisica (PE)

• Limitare l'accesso fisico

Protezione del sistema e delle comunicazioni (System and Communication Protection, SC)

• Definire i requisiti di sicurezza per sistemi e comunicazioni
• Controllare le comunicazioni ai confini del sistema

Integrità dei sistemi e delle informazioni (SI)

• Identificare e gestire i difetti del sistema informativo
• Identificare i contenuti dannosi
• Eseguire il monitoraggio della rete e del sistema
• Implementare una protezione avanzata dell'e-mail

Supporti Entrust

Controllo degli accessi (AC)

Verifica e responsabilità (Audit and Accountability, AU)

Gestione della configurazione (Configuration Management, CM)

Identificazione e autenticazione (Identification and Authentication, IA)

Manutenzione (Maintenance, MA)

Protezione di dispositivi multimediali (Media Protection, MP)

Protezione fisica (PE)

Protezione del sistema e delle comunicazioni (System and Communication Protection, SC)

Integrità dei sistemi e delle informazioni (SI)

Il processo di valutazione del CMMC è rigoroso fin dalla sua progettazione. Iniziare il percorso verso la conformità può essere scoraggiante, ma con una lista di controllo ben pianificata puoi procedere un passo alla volta.

Esaminiamo ciascuno di essi per aiutarti a iniziare:

1. Determina il tuo livello CMMC: Il livello minimo di maturità della sicurezza informatica dipende da come gestisci FCI e CUI. Fai l'inventario dei tuoi sistemi, reti e processi per identificare esattamente dove e come entri in contatto con questi dati.
2. Completa un'autovalutazione: Conduci un'analisi dei gap CMMC per rilevare vulnerabilità o aree di miglioramento che non sono in linea con le migliori pratiche.
3. Crea un piano di sicurezza del sistema (SSP): Gli SSP sono necessari per la certificazione CMMC. Mappano il tuo panorama di sicurezza e le capacità di controllo, permettendoti di identificare i confini del tuo ambiente, dove si connette ad altri sistemi e quanto bene esegui determinati requisiti.
4. Investi in strumenti pronti per il futuro: Probabilmente scoprirai delle lacune nella tua posizione di sicurezza informatica. Preparati a implementare soluzioni aggiuntive per coprire le basi e soddisfare i requisiti di conformità CMMC.
5. Coinvolgi un revisore di terze parti: L'audit CMMC deve essere completato da un professionista registrato, un'organizzazione di fornitori registrati o un'organizzazione di valutazione di terze parti (3PAO).
6. Mantieni la conformità: Una volta ottenuta la certificazione, è necessario implementare un monitoraggio continuo per identificare le lacune man mano che si presentano e garantire che i controlli di sicurezza continuino a funzionare come previsto.

Semplifica la conformità con le soluzioni Entrust

La conformità è obbligatoria se sei un appaltatore del Dipartimento della Difesa. Sfortunatamente, ciò non significa che sia facile.

Tuttavia, esistono modi per semplificare il processo, rafforzare le difese e ottenere e mantenere una certificazione CMMC. Con Entrust come partner esperto, puoi implementare un portafoglio di soluzioni che non solo ti rendono pronto per CMMC, ma ti aiutano anche a garantire una sicurezza a prova di futuro per gli anni a venire.

Da identità e autenticazione alla protezione dei media, al controllo degli accessi e altro ancora, ti aiutiamo a facilitare facilmente i domini CMMC. Che si tratti di Entrust Public Key Infrastructure o Entrust Identity as a Service, puoi essere certo che tu e i tuoi partner del Dipartimento della Difesa siete ben protetti.