Perché la Conformità della Cybersecurity Maturity Model Certification (CMMC) è importante?
La certificazione del modello di maturità della sicurezza informatica è stata progettata per proteggere i dati controllati e altrimenti sensibili forniti a un'organizzazione come parte di un contratto di difesa. Ciò include sia le informazioni sui contratti federali (FCI) che le informazioni non classificate controllate (CUI).
Chi ha bisogno di questa certificazione?
Qualsiasi organizzazione che intenda lavorare come appaltatore principale o subappaltatore in un contratto di difesa dovrà ottenere la Certificazione di Conformità del Modello di Maturità della Cybersecurity una volta che il regolamento entrerà in piena vigore. Il livello di Conformità CMMC richiesto dipenderà dal contratto stesso, dal ruolo dell'organizzazione all'interno del contratto e dall'accesso dell'azienda a FCI e CUI come parte del contratto.
I dettagli di CMMC 2.0 sono ancora in fase di elaborazione e lo standard non dovrebbe essere implementato fino a maggio 2023. A quel punto, i contratti della difesa inizieranno un periodo transitorio di 5 anni fino a quando tutti i nuovi contratti richiederanno la Conformità CMMC.
Livelli di CMMC
Originariamente, la Certificazione del Modello di Maturità della Cybersecurity prevedeva cinque livelli di Conformità suddivisi in pratiche e processi. Tuttavia, una revisione dello standard a CMMC 2.0 ha eliminato i processi e ridotto i livelli ai seguenti tre:
- Base (Livello 1)
- Avanzato (Livello 2)
- Esperto (Livello 3)
Queste modifiche hanno eliminato le fasi "di transizione" 2 e 4, mantenendo tre livelli progressivi. Queste modifiche avevano lo scopo di ridurre la complessità e i costi associati alla Conformità per le piccole e medie imprese (PMI).
Come risultato delle modifiche, il CMMC rispecchia fedelmente la Conformità con gli standard NIST. Il Livello 2 di Conformità equivale alla piena Conformità con NIST SP 800-171, mentre il Livello 3 attinge anche dal NIST SP 800-172.
Requisiti di Conformità CMMC
Il livello richiesto di Conformità CMMC che un'organizzazione dovrà raggiungere dipende dai dettagli del contratto in questione. Tuttavia, ogni appaltatore della difesa sarà accettato per ottenere almeno la certificazione di conformità di livello 1 del modello di maturità della sicurezza informatica, che si occupa della protezione della FCI. Saranno necessari livelli di conformità più elevati per le organizzazioni con accesso al CUI.
I requisiti di Conformità dipendono dal livello richiesto e comprendono:
- Livello 1: La Conformità di Livello 1 richiederà un'autovalutazione annuale rispetto a 17 controlli di sicurezza. Questi controlli sono descritti in FAR 52.204-21 Salvaguardia di base delle informazioni sugli appaltatori coperti.
- Livello 2: La conformità di livello 2 è richiesta per le organizzazioni con accesso a CUI ed equivale alla conformità completa con NIST SP 800-171. La Conformità di Livello 2 richiede valutazioni una volta ogni tre anni da parte di un revisore terzo per alcuni programmi e autovalutazioni annuali per altri, a seconda della sensibilità delle informazioni coinvolte.
- Livello 3: La conformità di livello 3 richiede la conformità NIST SP 800-171 completa e la conformità con alcuni controlli del NIST SP 800-172. Gli audit di conformità per CMMC Livello 3 saranno condotti da revisori governativi.
Poiché CMMC 2.0 è ancora in fase di sviluppo, i requisiti esatti per la Conformità con ciascun livello sono ancora in evoluzione. Tuttavia, l’insieme dei controlli e dei processi di sicurezza richiesti per la Conformità di Livello 1 e 2 è già stato definito, consentendo alle organizzazioni di ottenere un vantaggio nel raggiungimento della Conformità prima che sia loro richiesto di partecipare a contratti di difesa.
Come ottenere una certificazione CMMC
Il processo per ottenere una certificazione CMMC dipende dal livello di Conformità richiesto. Per i livelli che richiedono solo l'autovalutazione, il CMMC ha pubblicato una Guida alla valutazione. Dopo aver completato l'autovalutazione, un dirigente aziendale sarà tenuto ad attestare annualmente la Conformità dell'azienda.
Per la Conformità CMMC che richiede audit di terze parti, un'organizzazione dovrà programmare tali audit con un'organizzazione di valutazione di terze parti accreditata (C3PAO) e potenzialmente un valutatore governativo. L'elenco dei C3PAO accreditati è disponibile sul CMMC Marketplace e i processi per l'avvio e il completamento degli audit saranno disponibili in prossimità della data di entrata in vigore di CMMC 2.0.
Raggiungi la Conformità CMMC con Check Point
Il raggiungimento e il mantenimento della certificazione Conformità del modello di maturità della sicurezza informatica richiede la conformità con NIST SP 800-171 e potenzialmente NIST SP 800-172 su qualsiasi sistema con accesso a FCI e CUI. Per raggiungere questo obiettivo è necessario implementare i controlli di sicurezza richiesti e dimostrare la conformità continua.
Check Point CloudGuard può aiutare le organizzazioni a raggiungere e mantenere la Conformità CMMC effettuando un monitoraggio costante dei sistemi aziendali per la Conformità alla normativa. Per saperne di più su come Check Point può aiutare la tua organizzazione a farlo Implementare i controlli di sicurezza necessari monitorarli e mantenerli a lungo termine, iscriviti per una demo gratuita di CloudGuard.
Feedback