Certificazione sul modello di maturità per la sicurezza informatica (CMMC)

La Certificazione sul modello di maturità per la sicurezza informatica (Cybersecurity Maturity Model Certification, CMMC) è un programma istituito dal Dipartimento della Difesa (DoD) degli Stati Uniti per proteggere e tenere al sicuro le informazioni sui contratti federali (FCI) e le informazioni non classificate controllate (CUI) richiedendo la certificazione di appaltatori esterni in 14 diversi domini, ciascuno con tre livelli di certificazione specificati.

CMMC è uno standard unificato per l'implementazione della sicurezza informatica nella rete di contratti del DoD, la cui catena di fornitura comprende oltre 300.000. CMMC è la risposta del DoD a significative compromissioni di informazioni sensibili relative alla difesa, situate sui sistemi informativi degli appaltatori.

• La data di rilascio è stata il primo gennaio 2020.
• Il Dipartimento della Difesa ha iniziato a incorporare i requisiti CMMC in RFP/RFI selezionati a partire dal 30 novembre 2020.
• Entro il 1° ottobre 2025, tutte le aggiudicazioni di contratti DoD richiederanno almeno un determinato livello di certificazione CMMC. E mentre il DoD è stato il catalizzatore per CMMC, ora sta guadagnando terreno attraverso la Defense Industrial Base (DIB), compreso il Dipartimento della sicurezza interna e altri dipartimenti e agenzie del governo federale, in particolare in seguito al caso SolarWinds.

Storicamente, gli appaltatori erano responsabili dell'implementazione, del monitoraggio e della certificazione della sicurezza dei loro sistemi informatici e di qualsiasi informazione del DoD sensibile memorizzata o trasmessa da tali sistemi.

A partire dal 30 novembre 2020, il Dipartimento della Difesa ha iniziato a incorporare i requisiti CMMC in RFP, RFI e contratti di ricerca selezionati. Entro il 1° ottobre 2025, tutte le aggiudicazioni di contratti DoD richiederanno almeno un determinato livello di certificazione CMMC. Il modello ha tre diversi livelli di maturità: base, avanzato ed esperto. Il livello dipende dal tipo di informazioni trattate. Inoltre, ogni livello ha requisiti di valutazione diversi che consistono in autovalutazioni, valutazioni di terze parti o condotte dal governo. Il portfolio di sicurezza digitale di Entrust, che comprende soluzioni per identità, certificati e protezione dei dati, facilita la conformità di 9 domini CMMC per tutti i tre possibili livelli di certificazione.

L'organizzazione gestisce informazioni di base, come le informazioni sui contratti federali (FCI)? O si tratta di informazioni non classificate controllate (CUI)? Le FCI richiedono una certificazione di livello 1, ma le CUI richiedono almeno un livello 2.

Quali lacune esistono tra l'attuale posizione di cybersecurity dell'organizzazione e il livello CMMC desiderato? Una valutazione delle lacune sarà preziosa per definire un piano d'azione e le tappe fondamentali per raggiungere la maturità della sicurezza informatica CMMC.

Il CMMC comprende i requisiti di sicurezza specificati in NIST SP 800-171, nonché requisiti aggiuntivi di altri standard e fonti, che variano a seconda del livello di certificazione. Cosa rivelerà una valutazione delle lacune sull'attuale livello di salvaguardia della sicurezza informatica dell'organizzazione?

Tieni a mente l'obiettivo finale del CMMC: Tenere FCI e CUI lontani dalle mani di cyber criminali.