Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Certificazione del Modello di Maturità della Cybersecurity (CMMC): Consigli per la Conformità

Certificazione del Modello di Maturità della Cybersecurity (CMMC): Consigli per la Conformità

Jun 18, 2021

A seguito di una serie di 83 violazioni di dati nel solo 2019, il Dipartimento della Difesa degli Stati Uniti (DoD) ha istituito la Cybersecurity Maturity Model Certification (CMMC). Il framework CMMC è uno standard nazionale unificato per migliorare la cybersecurity. Le aziende della base industriale della difesa (DIB) devono implementare i requisiti CMMC per vincere contratti. Continua a leggere per scoprire come puoi ottenere la conformità.

Introduzione al CMMC

CMMC è uno standard di cybersecurity creato dall'Ufficio del Sottosegretario alla Difesa (OUSD) per l'Acquisizione e il Mantenimento. Cerca di rispondere alle minacce informatiche standardizzando il modo in cui i contraenti del DoD proteggono le informazioni critiche.

Per ottenere la certificazione CMMC, le aziende DIB devono implementare pratiche e processi di cybersecurity adeguati per proteggere tutte le Informazioni sui Contratti Federali sensibili (FCI) e le Informazioni Non Classificate Controllate (CUI) che elaborano o memorizzano. Le organizzazioni ricevono un punteggio di maturità in cybersecurity su una scala da uno a cinque. Questo punteggio determina il livello di fiducia che il DOD ripone nell'organizzazione e influisce su tutto, dall'assunzione ai contratti.

Contenuti correlati selezionati:

Under previous guidelines (the Defense Federal Acquisition Regulation Supplement [DFARS] 252.204-7012), to demonstrate their cybersecurity resilience, contractors could self-attest to compliance with NIST SP 800-171. However, this model resulted in a number of high profile data breaches such as the Solar Winds affair, as well as violations of the False Claims Act.

Per migliorare la cybersecurity, il CMMC richiede ora che un'organizzazione di valutazione terza parte del CMMC certifichi che i contraenti abbiano soddisfatto i requisiti di cybersecurity. Il DoD prevede l'implementazione dei nuovi requisiti CMMC attraverso un dispiegamento per fasi con i requisiti aggiuntivi che diventeranno effettivi nel 2025, come discusso più dettagliatamente di seguito.

Per ottenere la conformità con i requisiti CMMC, le organizzazioni hanno ancora bisogno di una comprensione approfondita di NIST SP 800-171, poiché il processo di certificazione CMMC utilizza quel quadro come linee guida per aiutare a misurare la sicurezza del sistema, valutare la maturità di un programma di sicurezza e fornire un punteggio.

Chi deve conformarsi al CMMC?

Il modello di maturità CMMC si applica a ogni azienda all'interno della catena di fornitura del DoD, non solo a quelle nella base industriale della difesa, ma anche a quelle negli acquisti, nella costruzione o nello sviluppo. Ciò include gli appaltatori principali che interagiscono direttamente con il DoD, così come i subappaltatori che lavorano con gli appaltatori per eseguire i contratti DoD.

Le dimensioni e il rapporto con un contratto non sono rilevanti. Non esiste una scappatoia per le piccole imprese che lavorano su porzioni “minori” di un contratto. Pertanto, ogni appaltatore e subappaltatore che gestisce qualsiasi forma di informazioni sulla difesa deve prepararsi per una revisione delle proprie pratiche di cybersecurity. Non conformarsi non comporterà penalità monetarie, ma essere certificati è un prerequisito per vincere contratti.

Quali tipi di dati protegge CMMC?

Il CMMC protegge due tipi di dati:

  • Informazioni Controllate Non Classificate (CUI) — Questo include qualsiasi informazione non classificata prodotta dal governo che necessita protezione. Comprende informazioni private dei dipendenti federali, informazioni sui contractor, materiale legale, disegni tecnici, file elettronici e altro. Per gestire le CUI, un'organizzazione deve avere un livello di maturità di grado 3 o superiore.
  • Informazioni sui Contratti Federali (FCI) — Le FCI consistono in qualsiasi informazione che il governo fornisce o crea nell'ambito di un contratto al fine di erogare un servizio o un prodotto, ma che non viene divulgata al pubblico. La divulgazione impropria di questi dati può rappresentare una minaccia significativa per il funzionamento interno della logistica e delle attività del DOD.

Gestire FCI richiede solo certificazioni di livello 1 o 2.

Cronologia CMMC

Gli appaltatori hanno tempo fino al 2025 per preparare i loro sistemi a gestire FCI e CUI come richiesto dal CMMC. Tuttavia, il Pentagono di recente è passato dall'implementare il CMMC solo in esercitazioni a tavolino al suo utilizzo sul campo attraverso l'assegnazione di 15 contratti “pathfinder”. Questo programma pilota si concentra sulle aziende di livello 3 e sui loro subappaltatori; più aziende dovranno conformarsi man mano che il dispiegamento procede.

Qual è la metodologia di valutazione?

Nel 2020, il DoD ha emesso una Regola Interinale che integra il programma CMMC con una metodologia di valutazione per verificare se le aziende sono conformi. Secondo questa regola, la certificazione CMMC procede in due fasi. È necessario ripetere il processo di certificazione ogni tre anni.

  • Passaggio 1. I valutatori applicano la NIST SP 800-171 DoD Assessment Methodology all'azienda. Questa metodologia classifica le potenziali minacce a un progetto in tre livelli (alto, medio e basso), basandosi sulla sensibilità delle informazioni e dei programmi coinvolti. Ogni appaltatore che cerca l'approvazione di livello alto o medio deve fornire l'accesso a strutture, sistemi e personale. È impossibile ottenere l'accesso a CUI o FCI senza un tale esame approfondito.
  • Passaggio 2. Se un'azienda supera il passaggio 1, il processo di valutazione assegna all'azienda un livello di maturità.

Livelli di certificazione CMMC (Livelli di maturità)

Ci sono cinque livelli CMMC. Ogni livello ha requisiti specifici:

  • Livello 1: Igiene cibernetica di base — Le aziende al livello 1 eseguono l'igiene cibernetica di base. I dati devono essere privi di errori e i sistemi informativi e le applicazioni che memorizzano o elaborano informazioni sensibili come le informazioni identificative personali (PII) devono avere controlli di accesso adeguati. Procedure standard come l'oscuramento delle PII e l'assicurazione della qualità dei dati aiutano a conformarsi a questo livello. Le linee guida NIST offrono 17 controlli di sicurezza di base per questo livello.
  • Livello 2: Igiene informatica intermedia — Il livello successivo coinvolge 72 controlli (inclusi i controlli di livello 1); questi comprendono poco più della metà di tutti i controlli NIST 800-171. A questo stadio, la tua azienda deve proteggere FCI e CUI in modo ripetibile. Audit, protezione dei media, backup e recupero, manutenzione e integrità del sistema sono importanti a questo livello. La principale differenza tra i livelli 1 e 2 è l'implementazione di un piano e procedure per la protezione dei dati.
  • Livello 3: Buona igiene informatica — Il livello 3 richiede l'implementazione di 132 controlli, che coprono l'intero insieme stabilito dal NIST SP 800-171 per le CUI. Le aziende a questo livello di solito gestiscono informazioni controllate ma non classificate. Richiede un piano solido per affrontare le minacce alla sicurezza informatica e i mezzi per attuarlo attraverso la consapevolezza, la formazione e la risposta agli incidenti.
  • Livello 4: Igiene cibernetica proattiva — Il livello 4 richiede un'eccellenza dimostrata nell'implementazione di 156 controlli secondo NIST e altre fonti. I 24 aggiunti dal livello 3 riguardano principalmente la verifica delle pratiche di sicurezza: L'azienda deve valutare e rivedere regolarmente le proprie politiche per massimizzare l'efficacia, e la direzione superiore è costantemente aggiornata sulle questioni.
  • Livello 5: Igiene cibernetica avanzata — Il livello 5 aggiunge ulteriori 25 requisiti relativi alla rilevazione e protezione avanzate dalle minacce; questo livello è richiesto per le aziende che trattano informazioni altamente desiderabili. Le aziende devono implementare strumenti più sofisticati come il rilevamento delle anomalie e essere in grado di rispondere in modo flessibile alle minacce.

Componenti, livelli e domini del framework CMMC

Per essere al passo con i requisiti CMMC è necessario comprendere 17 diversi domini. 14 di questi domini provengono dagli Standard Federali per l'Elaborazione delle Informazioni (FIPS) 200 e NIST SP 800-171; CMMC ne aggiunge altri tre: recupero, consapevolezza situazionale e gestione delle risorse. Ecco l'elenco completo:

  • Controllo degli accessi — Scopri chi ha accesso ai tuoi sistemi e limita rigorosamente l'accesso in base al ruolo lavorativo.
  • Verifica e responsabilità — Traccia gli utenti con accesso a dati sensibili. Raccogli i log degli eventi e indaga le informazioni per attività improprie o sospette.
  • Gestione delle risorse — Tracciare le risorse hardware e software per evitare che tecnologie obsolete e indesiderate possano portare a una violazione dei dati
  • Consapevolezza e formazione — Fornire una formazione regolare ai dipendenti su come prevenire le violazioni e su come reagire in caso si verifichino.
  • Gestione della configurazione — Stabilire configurazioni di base che proteggano i sistemi da accessi non autorizzati, impostando valori predefiniti ragionevoli per evitare di esporre la tua azienda a minacce.
  • Identificazione e autenticazione — Utilizzare regole e pratiche di autorizzazione, come l'autenticazione a più fattori, per evitare l'esposizione di informazioni critiche per la missione.
  • Risposta agli incidenti — Crea un piano per investigare, riportare e risolvere rapidamente gli incidenti di sicurezza.
  • Manutenzione — Aggiornate regolarmente tecnologie e strutture per minimizzare le vulnerabilità.
  • Protezione dei supporti — Identificare e proteggere i supporti, e creare protocolli per la sanificazione e lo smaltimento.
  • Sicurezza del personale — Effettuare adeguati controlli pre-assunzione e verifiche dei precedenti. Essere pronti a fornire prove che il vostro CUI è protetto durante azioni relative al personale come trasferimenti o passaggi di consegne.
  • Protezione fisica — Proteggi le tue strutture, il personale e i sistemi da minacce fisiche come accessi non autorizzati, furti e danneggiamenti.
  • Recupero — Configurate un piano di backup e recupero solido in caso di perdita parziale o totale dei dati.
  • Gestione dei rischi — Valutare periodicamente i rischi, sviluppare strategie per contrastarli e misurare i progressi.
  • Valutazione della sicurezza — Valutate la sicurezza esaminando audit precedenti, la vostra strategia di gestione del rischio e altre informazioni.
  • Consapevolezza situazionale — Implementa il monitoraggio in tempo reale per le tue tecnologie e rispondi alle minacce in modo appropriato.
  • Comunicazioni di sistema e protezione — Definire la sicurezza necessaria per proteggere ogni sistema.
  • Integrità del sistema e delle informazioni — Identificare e gestire le imperfezioni nei sistemi, trovare rischi e rivedere la sicurezza della rete per potenziali problemi.

Come posso ottenere la certificazione CMMC?

Tutti gli appaltatori della difesa dovranno sottoporsi a un audit ufficiale eseguito da un'organizzazione valutatrice terza indipendente CMMC (C3PAO) o da un individuo certificato dal DoD. Il DoD non accetta il risultato da nessun altro revisore. Il CMMC Accreditation Body ha più informazioni su chi è un revisore certificato.

In generale, un certificato CMMC sarà valido per 3 anni e non sarà reso pubblico, ma verrà pubblicato su specifiche basi di dati del DoD. Dopo questo periodo di tempo è richiesta una ricertificazione o in caso di perdita di dati.

Un'azienda DIB che subisce un incidente di cybersecurity non perderà automaticamente la sua certificazione CMMC. Tuttavia, è necessario seguire le corrette procedure di segnalazione. Contattare il DoD e preparare un rapporto dettagliato dell'incidente spiegando perché si è verificato e come si può prevenire una simile violazione in futuro.

Come posso prepararmi per un audit di certificazione CMMC?

Una buona regola da seguire quando ci si prepara per un'auditoria è Executive Order 13556, che standardizza il modo in cui il ramo esecutivo gestisce le informazioni non classificate che necessitano di protezione.

Più in generale, prendi in considerazione l'utilizzo della seguente checklist di alto livello:

  1. Ricevi consigli dalla tua agenzia federale o statale. Assicurati di capire cosa si aspetta da te.
  2. Verifica i tuoi dati e tecnologie attuali. Raccogli quante più informazioni possibili sullo stato attuale della tua sicurezza, inclusi i controlli di accesso degli utenti, il software utilizzato e le procedure di sicurezza disponibili. Identifica dove memorizzi, elabori o trasmetti CUI e FCI.
  3. Costruisci un piano solido. Successivamente, crea un solido programma o piano di conformità CMMC basato sul livello di certificazione che desideri ottenere. Ad esempio, le aziende che cercano i livelli di maturità più elevati vorranno rafforzare le loro reti e separare le tecnologie che trattano informazioni altamente sensibili dal resto della loro infrastruttura.
  4. Conduci un'analisi delle lacune. Valuta il tuo attuale livello di maturità della cybersecurity e determina cosa devi fare per raggiungere il livello appropriato. Apporta le modifiche necessarie in base all'analisi delle lacune.
  5. Attuate la vostra politica. Formate il vostro personale e fissate date per valutare l'organizzazione nel suo insieme. La persistenza è la chiave per rafforzare i vostri sistemi e individuare e bloccare prontamente gli attacchi.
  6. Assumi un professionista per supervisionare la conformità. Questa persona interagirà con il tuo team IT per assicurarsi che tutti gli standard siano rispettati. Preparerà anche prove e documentazione per dimostrare che la tua organizzazione sta proteggendo il CUI.
  7. Estendi la tua revisione. Assicurati che tutti i subappaltatori, così come tutti gli anelli della tua catena di fornitura, siano anch'essi conformi a NIST SP 800-171.

Come aiuta Netwrix con la conformità CMMC?

Utilizzare le migliori pratiche consolidate e comprendere il ciclo di vita della conformità è un buon modo per costruire una solida base per la conformità con qualsiasi standard, incluso il CMMC. Con la Netwrix Data Security Platform, puoi raggiungere, mantenere e dimostrare la conformità con meno sforzo e spese. Puoi automatizzare processi come l'audit di modifiche, accessi e configurazioni, garantire un'accurata scoperta e classificazione dei dati sensibili e ottenere informazioni sulla sicurezza dei tuoi dati e dell'infrastruttura.

FAQ

Cos'è CMMC?

La Cybersecurity Maturity Model Certification (CMMC) è uno standard stabilito dal Dipartimento della Difesa degli Stati Uniti (DoD) per assicurarsi che i protocolli di cybersecurity utilizzati dai contraenti della difesa siano sufficientemente robusti. La CMMC è un insieme di standard e framework di cybersecurity esistenti come DFARS, FAR e NIST.

Chi è soggetto alla certificazione CMMC?

CMMC si applica a ogni azienda all'interno della catena di fornitura del DoD, non solo a quelle nella base industriale della difesa, ma anche a quelle negli appalti, nella costruzione o nello sviluppo. Ciò include gli appaltatori principali che interagiscono direttamente con il DoD, così come i subappaltatori che lavorano con gli appaltatori per eseguire contratti DoD.

Come posso ottenere la certificazione CMMC?

Puoi ottenere la certificazione CMMC facendoti audire da un'organizzazione di valutazione di terze parti (3PAO) o da un valutatore individuale. Il DoD rilascerà ulteriori dettagli su come ottenere la certificazione man mano che ci avviciniamo al lancio del CMMC nel 2025.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Mike Tierney

Ex Vicepresidente del Successo Cliente

Ex Vicepresidente del Successo Clienti presso Netwrix. Vanta un background variegato costruito in oltre 20 anni nell'industria del software, avendo ricoperto ruoli di CEO, COO e VP Product Management in diverse aziende focalizzate sulla sicurezza, conformità e sull'aumento della produttività dei team IT.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza