O que é CMMC? Certificação do Modelo de Maturidade em Segurança Cibernética

O que é CMMC?

CMMC, ou Cybersecurity Maturity Model Certification (Certificação do Modelo de Maturidade em Segurança Cibernética), é uma estrutura de segurança cibernética que... Departamento de Defesa dos Estados Unidos (DoD) Criada para proteger os dados armazenados pela Base Industrial de Defesa (DIB).

De forma geral, a DIB é composta por contratados e subcontratados que trabalham com o Departamento de Defesa — e, portanto, lidam com assuntos de alta responsabilidade. informações sensíveis.

CMMC 1.0

Em 2019, o Departamento de Defesa (DoD) anunciou a criação de um modelo de avaliação e certificação de cibersegurança. O objetivo original do CMMC era garantir que os fornecedores e contratados do DoD protegessem e mantivessem adequadamente suas redes. Informação não classificada controlada (CIU) e informações sobre contratos federais (FCI).

CMMC 2.0

Em novembro de 2021 — pouco mais de dois anos após o Departamento de Defesa anunciar a primeira fase do CMMC — a agência americana revelou planos para um programa CMMC 2.0 reforçado e aprimorado. A Fase 2 mantém o objetivo original de proteger informações confidenciais de usuários de inteligência (CIU) sensíveis, minimizando também as barreiras existentes à conformidade.

Certificação do Modelo de Maturidade em Segurança Cibernética - Fase 2.0:

• Simplifica os requisitos para pequenas empresas.
• Simplifica e esclarece as normas relativas aos requisitos regulamentares, políticos e contratuais.
• Exige padrões de cibersegurança mais rigorosos e avaliações de terceiros para projetos de maior prioridade.
• Aumenta a supervisão do Departamento de Defesa sobre os padrões éticos.
• barreiras à conformidade e maximiza a facilidade de execução
• Promove uma cultura de cibersegurança colaborativa.

As melhorias da versão 2.0 visam fortalecer a cibersegurança das empresas do DIB, facilitando uma maior colaboração com o DoB e capacitando os contratados a realizar autoavaliações e relatar sua conformidade.

Autoridades do Pentágono indicam que o Escritório de Administração e Orçamento (OMB) provavelmente aprovará as regulamentações do CMMC como uma "regra proposta" em 2023, e que haverá um período de consulta pública de até um ano antes que as regras finais entrem em vigor. Isso daria às empresas mais tempo para entender e se preparar para a complexa regulamentação prevista. No entanto, também significa que os requisitos do CMMC não devem aparecer nos contratos até 2024. De acordo com o agenda unificada do outono de 2022As regulamentações do CMMC estão atualmente na fase de "proposta de regulamentação", e prevê-se a publicação de um aviso de proposta de regulamentação em maio de 2023, embora essas projeções estejam sujeitas a alterações.

Qual é o objetivo do CMMC?

As ameaças cibernéticas contra a base industrial de defesa estão em ascensão — e essas ameaças não estão apenas se tornando mais frequentes, mas também mais complexas. Para proteger as empresas da base industrial de defesa desses ataques crescentes, o Departamento de Defesa precisa de salvaguardas e padrões de TI robustos e abrangentes.

O CMMC avalia os programas de segurança dos fornecedores e garante que esses fornecedores possuam sistemas suficientes para proteger quaisquer Informações Controladas Não Classificadas (CUI) presentes em suas redes.

Ele foi projetado para reduzir as vulnerabilidades na cadeia de suprimentos, proteger as informações do Departamento de Defesa contra violações e aprimorar as práticas gerais de segurança cibernética.

O que é a estrutura CMMC?

O CMMC original — ou versão 1.0 — organizava os processos de segurança em cinco níveis de maturidade, que incluíam:

Nível 1: Básico
Medidas de segurança online da FCI — 17 práticas
Nível 2: Intermediário
Um nível de transição — 72 práticas
Nível 3: Bom
Salvaguardas para CUI além de FCI — 130 práticas
Nível 4: Proativo
Protege as informações confidenciais não classificadas (CUI) e reduz o risco de ameaças persistentes avançadas (APTs) — 156 práticas
Nível 5: Avançado
Programa cibernético progressivo — 171 práticas

Cada nível de maturidade foi construído sobre o anterior, exigindo que uma empresa dominasse todas as práticas de um nível antes de passar para o próximo.

A versão simplificada do CMMC 2.0 reduz o número de níveis de maturidade de cinco para três, elimina 20 requisitos de segurança, alinha-se mais estreitamente com os controles de segurança do NIST SP 800-171 e permite que algumas organizações autoavaliem seus programas em vez de submetê-los a revisões de terceiros. Os novos níveis simplificados da versão 2.0 são:

Nível 1: Fundamentos
Exige autoavaliações anuais — 17 práticas
Nível 2: Avançado
Exige autoavaliações anuais para organizações selecionadas — ou avaliações de terceiros para informações críticas de segurança nacional; Alinha-se com as políticas do NIST SP 800-171 — 110 práticas
Nível 3: Especialista
Requer avaliações lideradas pelo governo; Alinhado com as políticas do NIST SP 800-172 — mais de 110 práticas

Requisitos do CMMC

Existem diversos requisitos que as organizações devem cumprir para obter a certificação CMMC, incluindo:

• Identificar e documentar todos os sistemas e ativos, incluindo dados, que sejam relevantes para a proteção de Informações Não Classificadas Controladas (CUI).
• Estabelecer e manter um Plano de Segurança do Sistema (SSP) que descreva como ele atende aos requisitos de segurança definidos na estrutura do CMMC.
• Práticas e procedimentos de implementação e documentação para gerenciamento de acesso a CUI (Informações Não Classificadas Controladas), incluindo autenticação, autorização e auditoria.
• Desenvolver e manter um plano de resposta a incidentes que descreva os procedimentos para responder e relatar incidentes de segurança.
• Procedimentos para monitorar, avaliar e testar regularmente seus controles de segurança para garantir sua eficácia.
• Demonstrar conformidade com o nível apropriado de certificação CMMC por meio de uma avaliação formal realizada por uma Organização Avaliadora Terceirizada CMMC (C3PAO).

Quem deve cumprir o CMMC?

O Departamento de Defesa trabalha com mais de 30.000 contratados e subcontratados. Estes podem incluir empresas de tecnologia, finanças, manufatura, projeto e desenvolvimento, pesquisa, provedores de serviços em nuvem e muito mais. Na versão 1.0, todos eles precisavam ser certificados.

A Fase 2.0, no entanto, divide os requisitos de certificação por nível. Empresas de Nível 1 que protegem FCI (Informações Financeiras Confidenciais) que não são críticas para a segurança nacional não precisarão se submeter à certificação. avaliações governamentais ou de terceiros e podem confiar na autodeclaração.

Empresas contratadas pela área de defesa de nível 2 que lidam com informações confidenciais não classificadas (CUI) para fins de segurança nacional precisarão de certificação, enquanto empresas que lidam com projetos não prioritários podem não precisar dela.

Como obter a certificação CMMC?

Embora alguns detalhes da certificação ainda estejam em desenvolvimento, o Órgão de Acreditação — ou CMMC-AB — é responsável por fornecer acreditação às organizações terceirizadas que certificam os contratados do Departamento de Defesa.

Esses avaliadores, conhecidos como Organizações de Avaliação de Terceiros do CMMC — ou C3PAOs — serão autorizados a realizar avaliações das redes de segurança dos contratados e fornecer as certificações apropriadas para cada organização.

Tipos de avaliação CMMC

Autoavaliações: Existem opções em que a empresa realiza a avaliação. Esse tipo de avaliação geralmente é usado para níveis mais baixos de certificação CMMC e pode ajudar a empresa a identificar vulnerabilidades de cibersegurança. No entanto, é importante observar que as autoavaliações nem sempre são aceitas para todos os níveis de certificação e podem exigir verificação por terceiros para garantir a precisão e a validade dos resultados.

Avaliações de terceiros: Este tipo de avaliação é conduzido por uma organização externa autorizada pelo Órgão de Acreditação CMMC. O objetivo desta avaliação é verificar a conformidade da empresa com as práticas e requisitos específicos descritos no CMMC e fornecer uma avaliação independente da cibersegurança da empresa. A avaliação por terceiros é um componente crítico para a obtenção da certificação CMMC e é necessária para garantir que as empresas implementaram controles de cibersegurança eficazes.

Avaliações governamentais: Esta avaliação é conduzida pelo governo dos EUA e avalia a conformidade da empresa com as práticas e requisitos específicos descritos no CMMC, bem como com quaisquer requisitos de segurança adicionais especificados pela agência governamental. Avaliações governamentais são frequentemente realizadas em conjunto com avaliações de terceiros para verificar os resultados ou avaliar medidas de segurança adicionais. O principal objetivo de uma avaliação governamental é garantir que a empresa tenha implementado controles e medidas de cibersegurança eficazes para proteger informações confidenciais.

O que significa conformidade com o CMMC?

Empresas que firmam contratos com o Departamento de Defesa dos EUA devem manter em segurança os dados altamente sensíveis aos quais têm acesso. Se você deseja firmar um contrato com o Departamento de Defesa, precisa conhecer bem as políticas, práticas e padrões da regulamentação — e, caso lide com determinados tipos de dados, também precisará de certificação de terceiros ou do governo.

A adesão à Publicação Especial 800-171 do Instituto Nacional de Padrões e Tecnologia — ou estrutura NIST SP 800-171 — é metade da batalha, já que os novos aprimoramentos seguem de perto o conjunto de diretrizes de segurança do NIST.

Empresas que desejam trabalhar com o Departamento de Defesa ou apresentar propostas para contratos governamentais precisam garantir que possuam práticas de segurança eficazes. Soluções de segurança avançadas da BigID baseadas em aprendizado de máquina. Ajudamos organizações a proteger todos os seus dados sensíveis em toda a organização, em grande escala. Veja como:

• Você não pode proteger aquilo que não sabe que possui: Descubra todos os seus dados confidenciais, regulamentados e de alto risco, em qualquer lugar. — incluindo CUI e FCI
• Classificar e catalogar mais tipos de dados, em grande escala, usando técnicas de PNL e ML.
• Identifique usuários de alto risco que têm acesso a dados sensíveis e limite o acesso aos arquivos apenas a usuários autorizados.
• Corrigir, reter ou descartar dados sensíveis
• Reduza proativamente os riscos para seus dados mais sensíveis com a pontuação de risco.
• Identifique com precisão os usuários afetados após uma violação de dados e simplifique a resposta a incidentes.
• Alinhe suas práticas de proteção de dados com padrões de conformidade do NIST

Configure um Demonstração do BigID para ver como podemos te ajudar proteger informações de segurança nacional altamente sensíveis.

Autor

BigID

Conheça a equipe de autores da BigID, um time diversificado composto por profissionais de marketing de produto, especialistas no assunto e redatores com profundo conhecimento em privacidade, segurança e governança de dados. Nossa abordagem colaborativa aproveita uma vasta experiência do setor para criar conteúdo informativo e relevante, garantindo que você se mantenha atualizado neste cenário em constante evolução.