Certificação de Modelo de Maturidade em Segurança Cibernética (CMMC, na sigla em inglês) dos EUA

O Departamento de Defesa (DoD, na sigla em inglês) dos EUA exige que todos os prestadores de serviços e subcontratados da base industrial de defesa (DIB, na sigla em inglês) implementem os controles de segurança descritos no NIST SP 800-171 r2 para proteger as Informações não classificadas controladas (CUI, na sigla em inglês), conforme descrito no DFARS 252.204-7012, Proteção de Informações de Defesa Cobertas e Relatório de Incidentes Cibernéticos. Os contratados federais (incluindo contratados de defesa) que lidam com Informações contratuais federais (FCI, na sigla em inglês) também precisam cumprir os requisitos de segurança da FAR 52.204-21, Proteção Básica de Sistemas de Informações Cobertos do Prestador de Serviços.

Para formalizar e verificar a conformidade com o NIST SP 800-171 r2, o DoD lançou o programa CMMC em 15 de outubro de 2024, por meio da regra do Programa CMMC da parte 170 do título 32 do CFR, que entrou em vigor em 16 de dezembro de 2024. Uma regra de aquisição proposta (parte 204 do título 48 do CFR) vai alterar a cláusula 252.204-7021 do DFARS para exigir a certificação do CMMC para os prestadores de serviços cobertos. Depois de finalizado, isso vai incorporar a conformidade com a CMMC aos contratos do DoD. O Google Cloud e o Google Workspace estão prontos para ajudar os prestadores de serviços a atender a esses requisitos.

Quais são os três níveis do CMMC?

O programa CMMC tem três níveis:

Nível 1: proteção básica de FCI

  • Foco: proteger FCI, como informações básicas como números de contrato e cronogramas de entrega. Esse nível foi criado para ser mais simples para organizações menores, que não gerenciam informações essenciais para a segurança nacional. 
  • Requisitos: 15 práticas básicas de cibersegurança, como mudar senhas regularmente e usar software antivírus.
  • Avaliação: autoavaliação anual.
  • Aplicabilidade: obrigatório para todos os contratados que lidam com FCI de alguma forma. Esse é o nível mais comum.

Nível 2: proteção ampla de CUI

  • Foco: proteger CUI, por exemplo, dados sensíveis sujeitos a controles de proteção ou disseminação. Esse nível foi criado para proteger informações essenciais à segurança nacional.
  • Requisitos: 110 requisitos de segurança alinhados com o NIST SP 800-171 r2, por exemplo, manter um plano de segurança do sistema (SSP), identificar, registrar e monitorar recursos de CUI e implementar um programa de verificação de vulnerabilidades para identificar e corrigir falhas de segurança.
  • Avaliação: definida pelo contrato. Alguns contratos exigem autoavaliação, enquanto outros necessitam de uma avaliação por uma organização de avaliação externa do CMMC (C3PAO).
  • Aplicabilidade: obrigatório para prestadores de serviços que lidam com CUI.

Nível 3: proteção de alto nível de CUI contra ameaças persistentes avançadas

  • Foco: proteger CUI altamente sensível em programas essenciais. Foco em proteções adicionais contra ameaças persistentes avançadas (APTs, na sigla em inglês).
  • Requisitos: todos os requisitos do nível 2, além de práticas adicionais do NIST SP 800-172 para segurança reforçada, por exemplo, desenvolver um plano abrangente de resposta a incidentes, implementar um programa abrangente de monitoramento contínuo e avaliar e gerenciar o risco de segurança da cadeia de suprimentos.
  • Avaliação: avaliação governamental pelo Centro de Avaliação de Cibersegurança da Base Industrial de Defesa (DIBCAC, na sigla em inglês).
  • Aplicabilidade: obrigatório para contratados que trabalham nos projetos governamentais mais sensíveis. Esse é o nível menos comum.
  • Requisito: antes de um contratante buscar o CMMC de nível 3, ele precisa ter o CMMC de nível 2.

Basicamente, quanto maior o nível do CMMC, mais sensíveis são os dados que estão sendo processados e mais rigorosos são os requisitos de cibersegurança.

Suporte do Google Cloud e do Google Workspace para o CMMC

Você pode usar o Google Cloud e o Google Workspace para atender aos requisitos de compliance do CMMC da sua organização em todos os níveis, contando com os serviços autorizados pelo FedRAMP High do Google. O Google Cloud e o Google Workspace mantêm a Autorização para Operar (ATO, na sigla em inglês) de nível alto do FedRAMP para serviços no escopo.

O Google oferece a seguinte documentação de orientação para ajudar você a atender aos requisitos de conformidade do CMMC:

  • Guia de implementação do CMMC no Google Workspace
  • Guia de implementação do CMMC no Google Cloud

Além disso, o Google fornece as seguintes cartas de atestado produzidas por uma organização independente de avaliação terceirizada:

  • Carta de atestado C3PAO CMMC do Google Workspace (o Google Cloud deve estar disponível até agosto de 2025)
  • Documento que comprova a compliance do Google Cloud e do Google Workspace com a NIST SP 800-171

No Google Cloud, você precisa usar o Assured Workloads Data Boundary para o FedRAMP High e utilizar a Matriz de responsabilidade do cliente (CRM) do CMMC ao configurar sistemas para oferecer suporte à conformidade com o CMMC. Entre em contato com a equipe de vendas do Google ou com seu representante do Google Cloud para receber qualquer documentação mencionada acima, como o CRM.

No Google Workspace, você precisa usar serviços autorizados pelo FedRAMP High para compliance com o CMMC, além do Assured Controls Plus para ativar o armazenamento de dados exclusivamente nos Estados Unidos. Se necessário, você pode desativar um serviço que ainda não foi autorizado pelo FedRAMP.

Vá além

Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.

Security
Google Cloud