Certificazione U.S. Cybersecurity Maturity Model (CMMC)

Il Dipartimento della difesa degli Stati Uniti (DoD) richiede attualmente che tutti gli appaltatori e i subappaltatori della difesa interessati implementino i controlli di sicurezza descritti nel documento NIST SP 800-171 r2. Questo requisito è stato introdotto per proteggere le informazioni non classificate controllate (CUI, Controlled Unclassified Information) nell'ambito degli impegni contrattuali delle persone giuridiche interessate (DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting). Gli appaltatori federali (compresi coloro che stipulano contratti di difesa) che gestiscono le informazioni sui contratti federali (FCI, Federal Contract Information) sono obbligati a rispettare i requisiti di sicurezza FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems.

Per formalizzare questo requisito e fornire al Dipartimento della Difesa un mezzo per verificare la conformità alle norme NIST SP 800-171 r2, la norma del programma 32 CFR part 170 CMMC è stata pubblicata dal Dipartimento della Difesa per lanciare ufficialmente il programma di certificazione Cybersecurity Maturity Model Certification (CMMC) il 15 ottobre 2024, entrato in vigore il 16 dicembre 2024. Oltre alla nuova norma del programma 32 CFR part 170 CMMC, il Dipartimento della Difesa ha proposto una norma di acquisizione (48 CFR part 204 CMMC Acquisition rule) per modificare il DFARS e affrontare i requisiti relativi alla nuova norma del programma 32 CFR part 170 CMMC. È previsto che la norma di acquisizione 48 CFR part 204 CMMC Acquisition rule aggiorni la DFARS 252.204-7021 per richiedere agli appaltatori e subappaltatori interessati di raggiungere e mantenere il livello richiesto di certificazione CMMC per la durata del contratto. Ciò significa che nei prossimi mesi, una volta resa definitiva, gli appaltatori potrebbero iniziare a vedere la clausola DFARS 252.204-7021 aggiornata che richiede la conformità CMMC inclusa nei contratti del Dipartimento della Difesa. Mentre i requisiti DFARS 252.204-7021 e CMMC corrispondenti vengono gradualmente introdotti nei contratti, gli appaltatori del Dipartimento della Difesa che già gestiscono dati FCI e/o CUI possono scegliere di ottenere lo stato di conformità CMMC volontariamente. Google Cloud è pronto ad aiutare gli appaltatori del Dipartimento della difesa a soddisfare i requisiti di conformità CMMC.

Quali sono i 3 livelli di CMMC?

Il programma CMMC ha tre livelli: il livello 1 è progettato per verificare 15 requisiti in linea con FAR 52.204-21. Il livello 2 è progettato per verificare 110 requisiti NIST SP 800-171 r2. Il livello 3 aggiunge altri 24 requisiti NIST SP 800-172. Ulteriori dettagli sono riportati di seguito.

Livello 1: salvaguardia di base di FCI

  • Focus: proteggere i dati sensibili (ad es. informazioni di base come i numeri dei contratti e i programmi di consegna). Questo livello è progettato per essere più semplice da raggiungere per le organizzazioni più piccole, se non gestiscono informazioni critiche per la sicurezza nazionale. 
  • Requisiti: 15 pratiche di cybersicurezza di base. Ad esempio, cambiare regolarmente le password e usare un software antivirus.
  • Valutazione: autovalutazione annuale.
  • Applicabilità: obbligatorio per tutti i contraenti che gestiscono FCI in qualche modo. Questo è il livello più comune.

Livello 2: protezione estesa di dati CUI

  • Focus: protezione dei dati CUI (ad es. dati sensibili soggetti a controlli di salvaguardia o diffusione). Questo livello è progettato per proteggere le informazioni fondamentali per la sicurezza nazionale.
  • Requisiti: 110 requisiti di sicurezza in linea con NIST SP 800-171 r2. Esempi: mantieni un piano di sicurezza del sistema (SSP, System Security Plan), identifica, registra e monitora gli asset CUI e implementa un programma di analisi delle vulnerabilità per identificare e correggere le debolezze della sicurezza.
  • Valutazione: definita dal contratto. Alcuni contratti potrebbero richiedere l'autovalutazione, mentre altri potrebbero richiedere una valutazione da parte di un'organizzazione di valutazione di terze parti CMMC (C3PAO).
  • Applicabilità: obbligatorio per gli appaltatori che gestiscono dati CUI.

Livello 3: protezione di livello superiore dei dati CUI contro le minacce persistenti avanzate

  • Focus: protezione di dati CUI altamente sensibili su programmi critici. Si concentra su ulteriori protezioni contro le minacce persistenti avanzate (APT, Advanced Persistent Threats).
  • Requisiti: tutti i requisiti di livello 2, oltre a pratiche aggiuntive da NIST SP 800-172 per una sicurezza avanzata. Esempi: sviluppare un piano di risposta agli incidenti completo, implementare un programma di monitoraggio continuo completo e valutare e gestire il rischio per la sicurezza della catena di fornitura.
  • Valutazione: valutazione condotta dal Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) sotto la supervisione del governo.
  • Applicabilità: richiesta per gli appaltatori che lavorano ai progetti governativi più sensibili. Questo è il livello meno comune.
  • Prerequisito: prima che un appaltatore possa ottenere il CMMC di livello 3, deve già avere il CMMC di livello 2.

In sostanza, più alto è il livello CMMC, più sensibili sono i dati gestiti e più severi sono i requisiti di cybersicurezza. Il livello richiesto per un contratto specifico dipende dal tipo di informazioni coinvolte e dalla sensibilità del progetto.

Google Cloud e Google Workspace supportano la normativa CMMC

I clienti possono utilizzare Google Cloud e Google Workspace per rispettare i requisiti CMMC applicabili del CSP a tutti i livelli sfruttando la baseline FedRAMP di Google e configurando i propri sistemi per supportare la conformità FedRAMP. Google Cloud e Google Workspace mantengono le autorizzazioni a operare (ATO) FedRAMP Moderate e FedRAMP High per i servizi definiti. Tutti i servizi FedRAMP Moderate e FedRAMP High sono conformi ai requisiti NIST 800-171 r2 per CSP. Durante la configurazione dei loro sistemi per supportare la conformità a FedRAMP, i clienti devono utilizzare la FedRAMP Customer Responsibility Matrix (CRM), che fa parte del FedRAMP System Security Plan di Google.

Su richiesta, Google può anche fornire ai clienti una guida all'implementazione per supportare la configurazione dell'enclave CMMC e una lettera di attestazione della conformità CMMC di un'organizzazione di audit di terze parti certificata (C3PAO) per supportare la verifica dei requisiti. Il team di vendita di Google o il tuo rappresentante di Google Cloud può aiutarti ad accedere alla documentazione pertinente. 

Per gli appaltatori del DoD che richiedono la conformità CMMC di livello 1, tutti i prodotti Google Cloud possono supportare le loro esigenze di conformità. Per ottenere la conformità CMMC di livello 2 e/o 3, gli appaltatori del DoD che gestiscono CUI devono sfruttare soluzioni cloud che offrono almeno servizi cloud autorizzati FedRAMP di livello Moderate. I clienti che cercano di soddisfare questa base utilizzando i servizi Google Cloud possono sfruttare i servizi autorizzati FedRAMP elencati qui

I clienti di Google Cloud devono selezionare il pacchetto di controllo normativo FedRAMP Moderate o FedRAMP High per il deployment all'interno del confine software-defined. Come accennato in precedenza, i clienti devono utilizzare la CRM FedRAMP, che fa parte della SSP FedRAMP di Google, quando configurano i propri sistemi a supporto della conformità FedRAMP.

I clienti di Google Workspace devono assicurarsi di utilizzare solo i servizi con livello FedRAMP Moderate o FedRAMP High nell'ambito della conformità con lo standard CMMC. Se necessario, un cliente può disattivare un servizio che non è ancora stato autorizzato da FedRAMP. 

I clienti che richiedono l'archiviazione dei propri dati esclusivamente all'interno degli Stati Uniti devono utilizzare i servizi FedRAMP High (configurati con Assured Workloads o Assured Controls plus) e la CRM FedRAMP. In questo modo, i dati dei clienti saranno archiviati nelle regioni dei data center Google situate negli Stati Uniti. I clienti possono anche scegliere di utilizzare le soluzioni Google per IL2, IL4 o IL5 per soddisfare le esigenze di residenza dei dati. Google consiglia ai clienti di seguire la guida alla configurazione FedRAMP di Google Workspace per supportare la conformità con CMMC.

Fai il prossimo passo

Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.

Inizia gratuitamente
Google Cloud
DocumentiAssistenza
Console
Accedi
Security
Home pageIntelligence e competenzeSecOpsSicurezza del cloudRisorse per la sicurezza
Assistenza per la risposta agli incidenti
Contattaci
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud