Entrust facilita la conformità CMMC in modo che le reti contraenti possano continuare a supportare il DoD e altre agenzie governative.

La Certificazione sul modello di maturità per la sicurezza informatica (Cybersecurity Maturity Model Certification, CMMC) è un programma istituito dal Dipartimento della Difesa (DoD) degli Stati Uniti per proteggere e tenere al sicuro le informazioni sui contratti federali (FCI) e le informazioni non classificate controllate (CUI) richiedendo la certificazione di appaltatori esterni in 17 diversi domini, ciascuno con cinque livelli di certificazione specificati.

CMMC è uno standard unificato per l'implementazione della sicurezza informatica nella rete di contratti del DoD, la cui catena di fornitura comprende oltre 300.000. CMMC è la risposta del DoD a significative compromissioni di informazioni sensibili relative alla difesa, situate sui sistemi informativi degli appaltatori.

  • La data di rilascio è stata il primo gennaio 2020.
  • Il Dipartimento della Difesa ha iniziato a incorporare i requisiti CMMC in RFP/RFI selezionati a partire dal 30 novembre 2020.
  • Entro il 1° ottobre 2025, tutte le aggiudicazioni di contratti DoD richiederanno almeno un determinato livello di certificazione CMMC. E mentre il DoD è stato il catalizzatore per CMMC, ora sta guadagnando terreno attraverso la Defense Industrial Base (DIB), compreso il Dipartimento della sicurezza interna e altri dipartimenti e agenzie del governo federale, in particolare in seguito al caso SolarWinds.
Proteggi i tuoi clienti

Sei pronto per la conformità CMMC?

Storicamente, gli appaltatori erano responsabili dell'implementazione, del monitoraggio e della certificazione della sicurezza dei loro sistemi informatici e di qualsiasi informazione del DoD sensibile memorizzata o trasmessa da tali sistemi.

A partire dal 30 novembre 2020, il Dipartimento della Difesa ha iniziato a incorporare i requisiti CMMC in RFP, RFI e contratti di ricerca selezionati. Entro il 1° ottobre 2025, tutte le aggiudicazioni di contratti DoD richiederanno almeno un determinato livello di certificazione CMMC. La maggior parte del settore della difesa richiederà probabilmente una certificazione di livello 3 o superiore, su una scala possibile da 1 (base) a 5 (avanzata). Il CMMC cambia il paradigma del mercato DIB richiedendo che terze parti effettuino valutazioni della conformità degli appaltatori a determinate pratiche, procedure e capacità obbligatorie che siano in grado di adattarsi alle minacce informatiche nuove e in evoluzione poste in essere dagli avversari. Il portfolio di sicurezza digitale di Entrust, che comprende soluzioni per identità, certificati e protezione dei dati, facilita la conformità di 11 domini CMMC per tutti i cinque possibili livelli di certificazione.

Proteggi la tua organizzazione

Domande chiave per determinare il livello di maturità richiesto dalla tua organizzazione

L'organizzazione gestisce informazioni di base, come le informazioni sui contratti federali (FCI)? O si tratta di informazioni non classificate controllate (CUI)? Le FCI richiedono una certificazione di livello 1, ma le CUI richiedono almeno un livello 3 o superiore.

Quali lacune esistono tra l'attuale posizione di cybersecurity dell'organizzazione e il livello CMMC desiderato? Una valutazione delle lacune sarà preziosa per definire un piano d'azione e le tappe fondamentali per raggiungere la maturità della sicurezza informatica CMMC.

Il CMMC comprende i requisiti di sicurezza specificati in NIST SP 800-171, nonché requisiti aggiuntivi di altri standard e fonti, che variano a seconda del livello di certificazione. Cosa rivelerà una valutazione delle lacune sull'attuale livello di salvaguardia della sicurezza informatica dell'organizzazione?

Tieni a mente l'obiettivo finale del CMMC: Tenere FCI e CUI lontani dalle mani di cyber criminali.

Domini di capacità CMMC

Delizia i clienti

Entrust è qui per aiutarti

Entrust fornisce soluzioni che semplificano la conformità con i seguenti 11 domini CMMC:

Dominio CMMC

Controllo degli accessi (AC)
Gestione delle risorse (Asset Management, AM)
Verifica e responsabilità (Audit and Accountability, AU)
Gestione della configurazione (Configuration Management, CM)
Identificazione e autenticazione (Identification and Authentication, IA)
Manutenzione (Maintenance, MA)
Protezione di dispositivi multimediali (Media Protection, MP)
Protezione fisica (PE)
Recupero (Recovery, RE)
Protezione del sistema e delle comunicazioni (System and Communication Protection, SC)
Integrità dei sistemi e delle informazioni (SI)

Capacità

  • Stabilire i requisiti di accesso al sistema
  • Controllo dell'accesso al sistema interno
  • Controllo dell'accesso al sistema remoto
  • Limitare l'accesso ai dati agli utenti e ai processi autorizzati
  • Identifica e documenta le risorse
  • Gestire l'inventario delle risorse
  • Definire i requisiti di verifica
  • Svolgere le verifiche
  • Identificare e proteggere le informazioni di verifica
  • Rivedere e gestire i registri di controllo
  • Stabilire le linee di base della configurazione
  • Eseguire la configurazione e la gestione delle modifiche
  • Concedere l'accesso alle entità autenticate
  • Gestire la manutenzione
  • Identificare e contrassegnare i dispositivi multimediali
  • Proteggere e controllare i dispositivi multimediali
  • Salvaguardia dei dispositivi multimediali
  • Proteggere i dispositivi multimediali durante il trasporto
  • Limitare l'accesso fisico
  • Gestire i backup
  • Gestire la continuità della sicurezza delle informazioni
  • Definire i requisiti di sicurezza per sistemi e comunicazioni
  • Controllare le comunicazioni ai confini del sistema
  • Identificare e gestire i difetti del sistema informativo
  • Identificare i contenuti dannosi
  • Eseguire il monitoraggio della rete e del sistema
  • Implementare una protezione avanzata dell'e-mail

Supporti Entrust

Richiedi subito una consulenza gratuita