Cybersecurity Maturity Model Certification (CMMC) Amerika Serikat

Departemen Pertahanan (DoD) Amerika Serikat saat ini mewajibkan semua kontraktor dan subkontraktor pertahanan yang tercakup untuk menerapkan kontrol keamanan sebagaimana dijelaskan dalam NIST SP 800-171 r2. Persyaratan ini dirancang untuk melindungi Controlled Unclassified Information (CUI) sebagai bagian dari entitas yang tercakup dalam komitmen kontrak DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting. Kontraktor federal (termasuk kontrak pertahanan) yang menangani Federal Contract Information (FCI) diwajibkan untuk mematuhi persyaratan keamanan dalam FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems.

Untuk memformalkan persyaratan ini dan menyediakan sarana bagi Departemen Pertahanan guna memverifikasi kepatuhan terhadap NIST SP 800-171 r2, Departemen Pertahanan menerbitkan 32 CFR part 170 CMMC Program rule untuk secara resmi meluncurkan program Cybersecurity Maturity Model Certification (CMMC) pada 15 Oktober 2024 dan mulai berlaku pada 16 Desember 2024. Selain aturan Program CMMC 32 CFR bagian 170 yang baru, Departemen Pertahanan memiliki aturan akuisisi yang diusulkan (aturan Akuisisi CMMC 48 CFR bagian 204) untuk mengubah DFARS dan menangani persyaratan terkait aturan Program CMMC 32 CFR bagian 170 yang baru. Diperkirakan bahwa aturan Akuisisi CMMC 48 CFR bagian 204 akan memperbarui DFARS 252.204-7021 untuk mewajibkan kontraktor dan subkontraktor yang tercakup untuk mencapai dan mempertahankan tingkat sertifikasi CMMC yang diperlukan selama durasi kontrak. Artinya, dalam beberapa bulan mendatang, setelah ditetapkan sebagai final, kontraktor mungkin akan mulai melihat klausa DFARS 252.204-7021 yang diperbarui dan mewajibkan kepatuhan terhadap CMMC yang disertakan dalam kontrak Departemen Pertahanan. Sementara DFARS 252.204-7021 dan persyaratan CMMC yang sesuai sedang diberlakukan secara bertahap dalam kontrak, kontraktor Departemen Pertahanan yang sudah menangani FCI dan/atau CUI dapat memilih untuk secara sukarela mengejar status kepatuhan CMMC mereka. Google Cloud siap mendukung kontraktor Departemen Pertahanan untuk memenuhi persyaratan kepatuhan CMMC mereka.

Apa saja 3 Level CMMC?

Program CMMC memiliki tiga level: Level 1 dirancang untuk memverifikasi 15 persyaratan yang selaras dengan FAR 52.204-21. Level 2 dirancang untuk memverifikasi 110 persyaratan NIST SP 800-171 r2. Level 3 menambahkan 24 persyaratan NIST SP 800-172 tambahan. Detail selengkapnya diuraikan di bawah.

Level 1: Perlindungan Dasar FCI

  • Fokus: Melindungi FCI (misalnya informasi dasar seperti nomor kontrak dan jadwal pengiriman). Level ini dirancang agar lebih mudah dipenuhi oleh organisasi yang lebih kecil, jika organisasi tersebut tidak akan mengelola informasi yang penting bagi keamanan nasional. 
  • Persyaratan: 15 praktik pengamanan cyber dasar. Contoh: mengubah sandi secara rutin dan menggunakan software antivirus.
  • Penilaian: Pemeriksaan mandiri tahunan.
  • Pemberlakuan: Diwajibkan untuk semua kontraktor yang menangani FCI dalam kapasitas tertentu. Level ini merupakan level yang paling umum.

Level 2: Perlindungan Luas terhadap CUI

  • Fokus: Melindungi CUI (misalnya data sensitif yang tunduk pada kontrol pengamanan atau diseminasi). Level ini dirancang untuk melindungi informasi yang sangat penting bagi keamanan nasional.
  • Persyaratan: 110 persyaratan keamanan yang selaras dengan NIST SP 800-171 r2. Contoh: Mengelola Rencana Keamanan Sistem (SSP), mengidentifikasi, mencatat, dan memantau aset CUI, serta menerapkan program pemindaian kerentanan untuk mengidentifikasi dan memperbaiki kelemahan keamanan.
  • Penilaian: Didefinisikan oleh kontrak. Beberapa kontrak mungkin memerlukan pemeriksaan mandiri, sementara kontrak lainnya mungkin memerlukan penilaian pihak ketiga oleh Organisasi Penilaian Pihak Ketiga CMMC (C3PAO).
  • Pemberlakuan: Diwajibkan untuk kontraktor yang menangani CUI.

Tingkat 3: Perlindungan CUI Tingkat Tinggi Terhadap Ancaman Persisten Tingkat Lanjut

  • Fokus: Melindungi CUI yang sangat sensitif di program penting. Berfokus pada pengamanan tambahan untuk melindungi dari Ancaman Persisten Tingkat Lanjut (APT).
  • Persyaratan: Semua persyaratan Level 2, ditambah praktik tambahan dari NIST SP 800-172 untuk keamanan yang lebih baik. Contoh: Mengembangkan rencana respons insiden yang komprehensif, menerapkan program Pemantauan Berkelanjutan yang komprehensif, serta menilai dan mengelola risiko keamanan supply chain.
  • Penilaian: Penilaian yang dipimpin pemerintah oleh Defense Industrial Base Cybersecurity Assessment Center (DIBCAC).
  • Pemberlakuan: Diwajibkan untuk kontraktor yang mengerjakan proyek pemerintah yang paling sensitif. Level ini merupakan level yang paling jarang ditemui.
  • Prasyarat: Sebelum kontraktor dapat mengejar CMMC Level 3, mereka harus sudah memiliki CMMC Level 2.

Pada dasarnya, makin tinggi level CMMC, makin sensitif data yang ditangani dan makin ketat persyaratan pengamanan cyber-nya. Tingkat yang diperlukan untuk kontrak tertentu bergantung pada jenis informasi yang terlibat dan sensitivitas project.

Google Cloud dan Google Workspace mendukung CMMC

Pelanggan dapat menggunakan Google Cloud dan Google Workspace untuk mematuhi persyaratan CMMC yang berlaku dari CSP di semua tingkat dengan memanfaatkan dasar pengukuran FedRAMP Google dan mengonfigurasi sistemnya untuk mendukung kepatuhan terhadap FedRAMP. Google Cloud dan Google Workspace mempertahankan Authority to Operate (ATO) FedRAMP tingkat Moderate dan High untuk layanan yang ditetapkan. Semua Layanan FedRAMP Moderate dan FedRAMP High selaras dengan persyaratan NIST 800-171 r2 untuk CSP. Pelanggan harus menggunakan Customer Responsibility Matrix (CRM) FedRAMP, yang merupakan bagian dari Rencana Keamanan Sistem FedRAMP milik Google, saat mengonfigurasi sistem agar mendukung kepatuhan terhadap FedRAMP.

Jika diminta, Google juga dapat memberikan panduan implementasi kepada pelanggan untuk mendukung penyiapan enclave CMMC dan surat pengesahan kepatuhan CMMC dari Organisasi Audit Pihak Ketiga Tersertifikasi (C3PAO) untuk mendukung verifikasi persyaratan. Tim penjualan Google atau perwakilan Google Cloud Anda dapat membantu memberikan akses ke dokumentasi yang berlaku. 

Untuk kontraktor Departemen Pertahanan yang memerlukan kepatuhan CMMC Level 1, semua produk Google Cloud dapat mendukung kebutuhan kepatuhan Anda. Untuk mencapai kepatuhan CMMC Level 2 dan/atau Level 3, kontraktor Departemen Pertahanan yang mengelola CUI harus memanfaatkan solusi cloud yang menawarkan minimal layanan cloud FedRAMP Moderate yang disetujui. Pelanggan yang ingin memenuhi dasar pengukuran ini menggunakan layanan Google Cloud dapat memanfaatkan layanan yang disetujui FedRAMP yang tercantum di sini

Pelanggan Google Cloud harus memilih paket kontrol peraturan FedRAMP Moderate atau FedRAMP High untuk deployment dalam batas software-defined. Seperti disebutkan di atas, pelanggan harus menggunakan CRM FedRAMP, yang merupakan bagian dari SSP FedRAMP Google, saat mengonfigurasi sistem mereka untuk mendukung kepatuhan terhadap FedRAMP.

Pelanggan Google Workspace harus memastikan bahwa mereka hanya menggunakan layanan dengan FedRAMP Moderate atau FedRAMP High dalam cakupan kepatuhan mereka terhadap CMMC. Jika diperlukan, pelanggan dapat menonaktifkan layanan yang belum mendapatkan otorisasi FedRAMP. 

Pelanggan yang mewajibkan data mereka disimpan secara eksklusif di Amerika Serikat harus menggunakan layanan FedRAMP High (yang dikonfigurasi dengan Assured Workloads atau Assured Controls Plus) dan CRM FedRAMP. Tindakan ini akan memastikan Data Pelanggan mereka disimpan di region pusat data Google yang berlokasi di Amerika Serikat. Pelanggan juga dapat memilih untuk menggunakan solusi Google tingkat IL2, IL4, atau IL5 guna memenuhi kebutuhan residensi data. Google merekomendasikan agar pelanggan mengikuti panduan konfigurasi FedRAMP Google Workspace untuk mendukung kepatuhan terhadap CMMC.

Langkah selanjutnya

Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.

Mulai secara gratis
Google Cloud
DokumenDukungan
Konsol
Login
Security
BerandaKecerdasan dan keahlianSecOpsKeamanan cloudResource keamanan
Bantuan Respons Insiden
Hubungi Kami
  • Percepat transformasi digital Anda
  • Google Cloud dapat membantu mengatasi tantangan terberat Anda, baik saat bisnis Anda baru memulai transformasi digital atau sudah di tingkat lanjut.
  • Produk Google Cloud
  • Lihat lebih dari 100 produk. Pelanggan baru akan mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload. Semua pelanggan dapat menggunakan 25 lebih produk secara gratis, hingga batas penggunaan bulanan yang berlaku.
  • Hemat uang dengan pendekatan transparan kami soal harga
  • Harga bayar sesuai penggunaan dari Google Cloud menawarkan penghematan otomatis berdasarkan penggunaan bulanan dan tarif diskon untuk resource prabayar. Hubungi kami sekarang untuk mendapatkan penawaran harga.
Google Cloud