Certificazione U.S. Cybersecurity Maturity Model (CMMC)

Il Dipartimento della difesa degli Stati Uniti (DoD) richiede che tutti gli appaltatori e i subappaltatori della Defense Industrial Base (DIB) implementino i controlli di sicurezza descritti nel documento NIST SP 800-171 r2 per proteggere le informazioni non classificate controllate (CUI) come descritto nel documento DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting. Gli appaltatori federali (compresi quelli della difesa) che gestiscono le informazioni sui contratti federali (FCI, Federal Contract Information) devono anche rispettare i requisiti di sicurezza di FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems.

Per formalizzare e verificare la conformità a NIST SP 800-171 r2, il Dipartimento della Difesa ha lanciato il programma CMMC il 15 ottobre 2024 tramite la norma del programma 32 CFR part 170 CMMC, in vigore dal 16 dicembre 2024. Una norma di acquisizione proposta (48 CFR part 204) modificherà la DFARS 252.204-7021 per richiedere la certificazione CMMC per gli appaltatori interessati. Una volta finalizzata, questa norma introdurrà gradualmente la conformità CMMC nei contratti del Dipartimento della Difesa. Google Cloud e Google Workspace sono pronti a supportare i contraenti nel soddisfare questi requisiti.

Quali sono i 3 livelli di CMMC?

Il programma CMMC prevede tre livelli:

Livello 1: salvaguardia di base di FCI

  • Focus: protezione delle informazioni riservate del cliente (FCI), ad esempio informazioni di base come numeri di contratto e programmi di consegna. Questo livello è progettato per essere più semplice da raggiungere per le organizzazioni più piccole che non gestiranno informazioni critiche per la sicurezza nazionale. 
  • Requisiti: 15 pratiche di base di cybersicurezza, ad esempio cambiare regolarmente le password e usare un software antivirus.
  • Valutazione: autovalutazione annuale.
  • Applicabilità: obbligatorio per tutti gli appaltatori che gestiscono FCI in qualche modo. Questo è il livello più comune.

Livello 2: protezione estesa di dati CUI

  • Focus: protezione dei dati CUI, ad esempio dati sensibili soggetti a controlli di salvaguardia o diffusione. Questo livello è progettato per proteggere le informazioni critiche per la sicurezza nazionale.
  • Requisiti: 110 requisiti di sicurezza allineati a NIST SP 800-171 r2, ad esempio, mantieni un piano di sicurezza del sistema (SSP, System Security Plan), identifica, registra e monitora gli asset CUI e implementa un programma di analisi delle vulnerabilità per identificare e correggere le debolezze della sicurezza.
  • Valutazione: definita dal contratto. Alcuni contratti potrebbero richiedere un'autovalutazione, mentre altri potrebbero richiedere una valutazione di terze parti da parte di un'organizzazione di valutazione di terze parti CMMC (C3PAO).
  • Applicabilità: obbligatorio per gli appaltatori che gestiscono dati CUI.

Livello 3: protezione di livello superiore dei dati CUI contro le minacce persistenti avanzate

  • Focus: protezione di dati CUI altamente sensibili su programmi critici. Si concentra su ulteriori protezioni contro le minacce persistenti avanzate (APT, Advanced Persistent Threats).
  • Requisiti: tutti i requisiti di livello 2, oltre a ulteriori pratiche di NIST SP 800-172 per una maggiore sicurezza, ad esempio, sviluppare un piano di risposta agli incidenti completo, implementare un programma di monitoraggio continuo completo e valutare e gestire il rischio di sicurezza della catena di fornitura.
  • Valutazione: valutazione guidata dal governo da parte del Defense Industrial Base Cybersecurity Assessment Center (DIBCAC).
  • Applicabilità: richiesta per gli appaltatori che lavorano ai progetti governativi più sensibili. Questo è il livello meno comune.
  • Prerequisito: prima di poter ottenere la certificazione CMMC di livello 3, un appaltatore deve già avere quella di livello 2.

In sostanza, più alto è il livello CMMC, più sensibili sono i dati gestiti e più rigorosi sono i requisiti di cybersicurezza.

Google Cloud e Google Workspace supportano la normativa CMMC

Puoi utilizzare Google Cloud e Google Workspace per soddisfare i requisiti di conformità CMMC della tua organizzazione a tutti i livelli, facendo affidamento sui servizi autorizzati FedRAMP High di Google. Google Cloud e Google Workspace mantengono entrambi l'autorizzazione a operare (ATO) FedRAMP High per i servizi inclusi nell'ambito.

Google fornisce la seguente documentazione di guida per aiutarti a soddisfare i tuoi requisiti di conformità CMMC:

  • Guida all'implementazione di Google Workspace per CMMC
  • Guida all'implementazione CMMC di Google Cloud

Inoltre, Google fornisce le seguenti lettere di attestazione prodotte da un'organizzazione di valutazione di terze parti indipendente:

  • Lettera di attestazione C3PAO CMMC di Google Workspace (Google Cloud previsto entro agosto 2025)
  • Lettera di attestazione di conformità NIST SP 800-171 per Google Cloud e Google Workspace

Per Google Cloud, devi utilizzare il confine dei dati di Assured Workloads per FedRAMP High e utilizzare la matrice di responsabilità del cliente (CRM) CMMC durante la configurazione dei sistemi per supportare la conformità CMMC. Contatta il team di vendita di Google o il tuo rappresentante Google Cloud per ottenere la documentazione di cui sopra, ad esempio il CRM.

Per Google Workspace, devi utilizzare i servizi autorizzati FedRAMP High per la conformità CMMC, nonché Assured Controls Plus per abilitare l'archiviazione dei dati esclusivamente all'interno degli Stati Uniti. Se necessario, puoi disattivare un servizio che non è ancora stato autorizzato da FedRAMP.

Fai il prossimo passo

Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.

Google Cloud
DocumentiAssistenza
Console
Accedi
Security
Threat intelligenceSecOpsSicurezza del cloudConsulenzaRisorse per la sicurezza
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud