Conformidade com o Cybersecurity Maturity Model Certification (CMMC)

A certificação Cybersecurity Maturity Model (CMMC) foi criada pelo Departamento de Defesa dos EUA para ajudar a fortalecer a postura de segurança cibernética da Base Industrial de Defesa. Anteriormente, as empreiteiras de defesa eram obrigadas a se certificar como em conformidade com o NIST SP 800-171 - um dos principais contribuintes para a CMMC. Depois que o CMMC entrar em vigor, qualquer organização que queira trabalhar em contratos de defesa deverá manter algum nível de conformidade com o CMMC.

Download the eBook Agende uma demo

Cybersecurity Maturity Model Certification Compliance

Por que a conformidade com o Cybersecurity Maturity Model Certification (CMMC) é importante?

A Certificação do Modelo de Maturidade em Segurança Cibernética foi projetada para proteger os dados controlados e sensíveis que são fornecidos a uma organização como parte de um contrato de defesa. Isso inclui informações de contratos federais (FCI) e informações não classificadas controladas (CUI).

Quem precisa dessa certificação?

Qualquer organização que planeje trabalhar como contratante principal ou subcontratante em um contrato de defesa precisará obter a Conformidade da Certificação do Modelo de Maturidade em Segurança Cibernética assim que a regulamentação entrar em vigor. O nível de Conformidade CMMC exigido dependerá do próprio contrato, da função da organização no contrato e do acesso da empresa a FCI e CUI como parte do contrato.

Os detalhes do CMMC 2.0 ainda estão sendo elaborados, e o padrão não deverá ser implementado até maio de 2023. Nesse momento, os contratos de defesa iniciarão um período de introdução gradual de cinco anos até que todos os novos contratos exijam a conformidade com o CMMC.

Níveis de CMMC

Originalmente, o Cybersecurity Maturity Model Certification incluía cinco níveis de conformidade divididos em práticas e processos. No entanto, uma revisão do padrão para CMMC 2.0 eliminou os processos e reduziu os níveis para os três seguintes:

  • Básico (Nível 1)
  • Avançado (Nível 2)
  • Especialista (Nível 3)

Essas modificações eliminaram as fases "transitórias" 2 e 4, mantendo três níveis progressivos. Essas modificações foram planejadas para diminuir a complexidade e o custo associados à Conformidade para pequenas e médias empresas (PMEs).

Como resultado das modificações, o CMMC reflete de perto a Conformidade com os padrões do NIST. A conformidade de nível 2 é equivalente à conformidade total com o NIST SP 800-171, enquanto o nível 3 também se baseia no NIST SP 800-172.

Requisitos de Conformidade CMMC

O nível exigido de Conformidade CMMC que uma organização terá que atingir depende dos detalhes do contrato em questão. No entanto, todos os contratados de defesa serão aceitos para atingir pelo menos o Nível 1 de Conformidade da Certificação do Modelo de Maturidade em Segurança Cibernética, que trata da proteção da FCI. Níveis mais altos de Conformidade serão necessários para organizações com acesso à CUI.

Os requisitos para a Conformidade dependem do nível exigido e incluem:

  • Nível 1: A Conformidade de Nível 1 exigirá uma autoavaliação anual em relação a 17 controles de segurança. Esses controles estão descritos no FAR 52.204-21 Basic Safeguarding of Covered Contractor Information.
  • Nível 2: A conformidade de nível 2 é necessária para organizações com acesso a CUI e é equivalente à conformidade total com o NIST SP 800-171. O Nível 2 de Conformidade exige avaliações uma vez a cada três anos por um auditor terceirizado para alguns programas e autoavaliações anuais para outros, dependendo da sensibilidade das informações envolvidas.
  • Nível 3: A conformidade de nível 3 exige a conformidade total com o NIST SP 800-171 e a conformidade com alguns dos controles do NIST SP 800-172. As auditorias de conformidade para o CMMC Nível 3 serão conduzidas por auditores do governo.

Como o CMMC 2.0 ainda está em desenvolvimento, os requisitos exatos para a conformidade com cada nível ainda estão em andamento. No entanto, o conjunto de controles e processos de segurança necessários para a Conformidade de Nível 1 e 2 já foi definido, permitindo que as organizações tenham uma vantagem inicial na obtenção da Conformidade antes que ela seja exigida para participar de contratos de defesa.

Como obter uma certificação CMMC

O processo para obter uma certificação CMMC depende do nível de Conformidade exigido. Para os níveis que exigem apenas autoavaliação, o CMMC publicou um Guia de Avaliação. Depois de concluir a autoavaliação, um funcionário sênior da empresa deverá confirmar anualmente a Conformidade da empresa.

Para a Conformidade CMMC que exige auditorias de terceiros, a organização precisará agendar essas auditorias com uma Organização de Avaliação de Terceiros (C3PAO) credenciada e, possivelmente, com um avaliador do governo. A lista de C3PAOs credenciados está disponível no CMMC Marketplace, e os processos de participação e conclusão de auditorias estarão disponíveis próximo à data de vigência do CMMC 2.0.

Obtenha a conformidade do CMMC com a Check Point

A obtenção e a manutenção da conformidade da certificação do Cybersecurity Maturity Model requer a conformidade com o NIST SP 800-171 e, potencialmente, com o NIST SP 800-172 em todos os sistemas com acesso a FCI e CUI. Para isso, é necessário implementar os controles de segurança necessários e demonstrar a conformidade contínua.

CloudGuard da Check Point pode ajudar as organizações a alcançar e manter a conformidade com o CMMC, realizando o monitoramento contínuo dos sistemas corporativos para verificar a conformidade com a regulamentação. Para saber mais sobre como a Check Point pode ajudar sua organização a implementar os controles de segurança necessários e monitorá-los e mantê-los a longo prazo, Inscreva-se para receber um demo gratuito do CloudGuard.

 

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK