Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosLista de verificação
Lista de Verificação de Conformidade CMMC: Seu Guia Essencial para a Conformidade com o CMMC 2.0

Lista de Verificação de Conformidade CMMC: Seu Guia Essencial para a Conformidade com o CMMC 2.0

Quando organizações fazem negócios com o governo federal, frequentemente criam ou lidam com dados sensíveis. Para manter esses dados seguros, o Departamento de Defesa (DoD) criou a Certificação de Maturidade em Cibersegurança (CMMC). O framework CMMC é obrigatório para empresas na Base Industrial de Defesa (DIB) e aquelas que buscam um contrato com o DoD.

O CMMC foi atualizado para a versão 2.0 em 2021. Organizações que não cumprirem com o CMMC 2.0 correm o risco de comprometer seus contratos com o DoD, o que torna essencial o entendimento das mudanças no framework. Uma lista de verificação de conformidade com o CMMC pode servir como uma ferramenta útil para as organizações navegarem efetivamente nessas atualizações.

Esta lista de verificação de conformidade CMMC para a versão 2.0 pode ajudá-lo a começar o seu caminho para a conformidade. Note que ela não é uma fonte abrangente sobre todos os passos envolvidos e que você deve consultar uma Organização de Provedores Registrados CMMC (RPO) para obter sua certificação CMMC.

Compreendendo CUI e FCI

Um glossário de termos-chave é fornecido no final desta lista de verificação de auditoria CMMC, mas dois termos que as organizações precisam entender para seguir esta lista são CUI e FCI:

  • CUI (informação não classificada controlada) — “Informação que o governo cria ou possui, ou que uma entidade cria ou possui em nome do governo, que uma lei, regulamento ou política governamental exige ou permite que uma agência manipule usando controles de proteção ou disseminação."
  • FCI (Informações de Contratos Federais) — "informações, não destinadas à divulgação pública, que são fornecidas por ou geradas para o Governo sob um contrato para desenvolver ou entregar um produto ou serviço ao Governo, mas não incluindo informações fornecidas pelo Governo ao público."

Para alcançar a conformidade com o CMMC, as organizações devem armazenar, transferir e processar CUI e FCI adequadamente, seguindo os controles necessários do CMMC.

Objetivos do CMMC

O CMMC é um programa de treinamento, certificação e avaliação em cibersegurança que visa garantir que os contratados do DIB manuseiem as CUI de forma segura. Isso inclui o fluxo de dados para subcontratados na cadeia de suprimentos.

Os requisitos principais incluem o seguinte:

  • Proteja informações sensíveis por meio de práticas adequadas de cibersegurança, frequentemente empregando um modelo de “confiar mas verificar” que está alinhado com a CMMC controls list.
  • Reforce continuamente as práticas de cibersegurança existentes para acompanhar o cenário de ameaças em constante mudança.
  • Garanta a responsabilidade em toda a organização para que falhas possam ser identificadas e resolvidas.
  • Facilite a conformidade com os requisitos do DoD.
  • Promova uma cultura colaborativa que priorize a cibersegurança e a resiliência cibernética.
  • Manter a confiança pública através dos mais altos padrões profissionais, éticos e de transparência.

O CMMC está alinhado com NIST SP 800-171 e NIST SP 800-172, portanto, as empresas que buscam a certificação CMMC devem se familiarizar com essas normas e revisar a lista de controles CMMC 2.0 com atenção.

CMMC 1.0 vs CMMC 2.0: Principais Diferenças

As principais diferenças entre CMMC 1.0 e CMMC 2.0 são:

  • Menos níveis — O nível de certificação CMMC que uma organização obtém pode determinar o tipo de contrato para o qual ela é elegível. O CMMC 1.0 definiu cinco níveis; o CMMC 2.0 possui apenas três: Nível 1 Fundamental, Nível 2 Avançado e Nível 3 Especialista.
  • Redução dos custos de avaliação — CMMC 2.0 permite que todas as organizações de Nível 1 e algumas de Nível 2 demonstrem conformidade por meio de autoavaliação, o que elimina os custos de avaliações por uma Organização de Avaliação de Terceiros Certificada (C3PAO).
  • Maior responsabilidade — As avaliações de terceiros agora devem atender a padrões profissionais e éticos mais elevados.
  • Maior flexibilidade — CMMC 2.0 permite que algumas empresas obtenham certificação por meio de um Plano de Ação e Marcos (POA&M). Também possibilita ao governo emitir dispensas em algumas circunstâncias.
  • Remoção das seções "Capacidades" e "Processos" — No CMMC 1.0, as Capacidades cobriam metas relacionadas à higiene cibernética, enquanto a seção de Processos abordava os fluxos de trabalho, políticas, controles de segurança e outros métodos para demonstrar progresso em direção a uma meta de cibersegurança.

Quando é exigida a conformidade com CMMC?

O CMMC 2.0 foi anunciado em novembro de 2021 e esperava-se que fosse implementado até novembro de 2023. A data foi adiada, mas o CMMC 2.0 está a caminho e pode chegar já em 2025, portanto, as organizações são aconselhadas a não atrasar as mudanças necessárias para obter a certificação CMMC 2.0 e atender aos requisitos da lista de verificação do nível 2 do CMMC.

A que organizações se aplica o CMMC?

O CMMC aplica-se principalmente a organizações dentro do DIB, que consiste em mais de 300.000 empresas e universidades que participam na fabricação de equipamentos das Forças Armadas dos Estados Unidos. Isso inclui, mas não se limita a:

  • Contratados
  • Subcontratados
  • Equipe de engenharia
  • Recursos da cadeia de suprimentos
  • Pesquisa e desenvolvimento (P&D)

Os contratados da DIB podem alcançar um determinado nível de certificação CMMC em toda a sua rede ou apenas em partes dela, dependendo dos seus processos de armazenamento de CUI e FCI. No entanto, geralmente é uma boa prática manter um nível uniforme de conformidade em toda a rede para que todos os segmentos possam se comunicar e compartilhar dados sem o risco de uma violação de conformidade, conforme descrito em uma lista de verificação de auditoria CMMC detalhada.

Contratados e CMMC 2.0

O CMMC 2.0 exige que os principais contratados do DoD realizem uma autoavaliação da implementação das práticas NIST SP 800-171. Eles podem fazer isso através da NIST SP 800-171 DoD Assessment Methodology.

Para manter a continuidade em toda a cadeia de suprimentos, eles podem solicitar que quaisquer subcontratados façam o mesmo. A avaliação gera uma pontuação que os contratados devem submeter ao Supplier Performance Risk System (SPRS). Para que uma avaliação receba uma classificação de "médio" ou "alto", ela deve ser realizada pelo DoD em vez de uma autoavaliação.

O que são domínios e práticas CMMC?

Os requisitos de cibersegurança do CMMC se enquadram nos seguintes 17 domínios, cada um com controles específicos do CMMC a seguir:

  • Controle de Acesso (AC)
  • Resposta a Incidentes (IR)
  • Gestão de Riscos (RM)
  • Access Management (AM)
  • Manutenção (MA)
  • Avaliação de Segurança (CA)
  • Conscientização e Treinamento (AT)
  • Proteção de Mídia (MP)
  • Auditoria e Responsabilidade (AU)
  • Segurança de Pessoal (PS)
  • Sistema e Comunicações (SC)
  • Gerenciamento de Configuração (CM)
  • Proteção Física (PE)
  • Integridade de Sistema e Informação (SI)
  • Identificação e Autenticação (IA)
  • Recuperação (RE)
  • Consciência Situacional (SA)

As normas NIST SP 800-171 e NIST SP 800-172 listam as práticas de cibersegurança para esses domínios. Aqueles que buscam um nível específico de certificação CMMC devem seguir as práticas estabelecidas dentro do padrão correspondente.

Quais são os níveis de conformidade do CMMC?

O seu nível de conformidade com o CMMC determina a sua elegibilidade para determinados contratos governamentais. O CMMC 2.0 define três níveis:

CMMC Nível 1: Fundamental

Este nível geralmente é o mais adequado para empresas que lidam com FCI ou outros dados que requerem proteção, mas não são essenciais para a segurança nacional. Uma lista de verificação do CMMC Nível 1 inclui garantir que sua empresa adere às 17 práticas definidas no NIST SP 800-171 e pode demonstrar que está em conformidade por meio de autoavaliações.

CMMC Nível 2: Avançado

Este nível é para organizações que lidam com CUI além de informações de contrato (FCI). Uma lista de verificação CMMC Nível 2 envolve a implementação de 110 (não apenas 17) práticas NIST SP 800-171 e passar por avaliações trienais de um C3PAO.

CMMC Nível 3: Especialista

O nível de certificação mais alto no CMMC 2.0 é para empresas envolvidas em programas governamentais de alto nível e visa proteger suas CUI de ameaças persistentes avançadas (APTs). Uma lista de verificação de nível 3 do CMMC inclui seguir as 110+ práticas avançadas da NIST SP 800-172 e passar por avaliações trienais do governo em vez de um C3PAO.

Recapitulação

A tabela a seguir resume as principais diferenças entre os três níveis no CMMC 2.0:

Requisitos

Para empresas com

Avaliações

Nível 1: Fundamental

17 práticas

FCI (não crítico para a segurança nacional)

Avaliação anual própria

Nível 2: Avançado

110 práticas alinhadas com NIST SP 800-171

CUI

Trienal por C3PAO

Nível 3: Especialista

Mais de 110 práticas baseadas no NIST SP 800-172

CUI, programas mais sensíveis

Trienal Pelo governo

Como minha organização pode começar com a conformidade CMMC?

O primeiro passo crítico na sua jornada de conformidade com o Modelo de Maturidade de Cibersegurança é descobrir onde o CUI existe no seu ambiente, quem pode acessá-lo e como você o utiliza. Soluções como Netwrix Auditor e Netwrix Data Classification podem ajudá-lo a realizar essas tarefas críticas de forma precisa e eficiente.

Para mais informações, consulte as perguntas frequentes no site do Secretary of Defense. Você também pode enviar perguntas lá, e o escritório relevante responderá por e-mail.

Glossário

  • AB — Organismo de Acreditação
  • C3PAO — Organização de Avaliação de Terceiros Certificada
  • CUI — Informação Controlada Não Classificada
  • DFARS — Suplemento do Regulamento Federal de Aquisição de Defesa
  • DIB — Base Industrial de Defesa
  • FCI — Informações de Contrato Federal
  • OSC — Organização Buscando Certificação
  • POAM — Plano de Ações e Marcos
  • RPO — Organização de Provedores Registrados
  • SSP — Plano de Segurança do Sistema

FAQ

O que é Informação Controlada Não Classificada (CUI)?

CUI é informação que o governo cria ou possui, ou que uma entidade cria ou possui em nome do governo, que uma lei, regulamento ou política governamental exige ou permite que uma agência manipule usando controles de proteção ou disseminação.

O que é CMMC?

A Certificação de Maturidade em Cibersegurança (CMMC) é um padrão para implementação de cibersegurança em toda a base industrial de defesa e para quantificar o nível de maturidade em cibersegurança de uma organização. O framework CMMC oferece maior garantia ao DoD de que uma empresa da DIB implementou práticas de cibersegurança apropriadas para proteger FCI e CUI.

Por que o CMMC 2.0 foi criado?

O DoD está migrando para a nova estrutura CMMC para aprimorar e avaliar melhor a postura de cibersegurança das organizações DIB.

Existe um CMMC 3.0?

Uma terceira versão do framework CMMC está em desenvolvimento.

Os contratos que não são do DoD utilizarão o CMMC?

A implementação inicial do CMMC 2.0 será apenas dentro do DoD e seguirá através da cláusula DFARS 252.204-7021.

Qual é a relação entre NIST e CMMC?

O CMMC 2.0 Nível 2 exige que as empresas cumpram os 110 requisitos de segurança especificados em NIST SP 800-171. O Nível 3 requer um subconjunto das práticas de NIST SP 800-172.

O que é uma Organização de Avaliação de Terceiros CMMC (C3PAO)?

Os C3PAOs são responsáveis por conduzir determinadas avaliações CMMC e emitir os certificados CMMC apropriados com base nos resultados. Os C3PAOs autorizados e acreditados estão listados no site do CMMC-AB Marketplace.

Como uma organização se torna certificada usando um C3PAO?

A empresa seleciona um dos C3PAOs no site do CMMC-AB Marketplace e trabalha com eles para planejar a avaliação CMMC. O C3PAO fornecerá um relatório de avaliação; se não houver deficiências, emitirá um certificado CMMC para o nível de certificação apropriado. O C3PAO também enviará uma cópia do relatório de avaliação e do certificado CMMC para o DoD.

Com que frequência uma organização precisa ser reavaliada?

Em geral, um certificado CMMC é válido por três anos.

Se a minha organização tem uma certificação CMMC e a minha rede não classificada for comprometida, eu perco a minha certificação?

Um incidente de cibersegurança não causará automaticamente a perda da certificação CMMC de uma empresa DIB. Dependendo das circunstâncias do incidente, o gerente do programa DoD pode direcionar uma reavaliação.

Minha organização não lida com CUI. Ainda assim, preciso ser certificado?

Se uma empresa DIB não possui, armazena ou transmite CUI, mas possui FCI, deve atender à cláusula FAR 52.204-21 e obter a certificação CMMC Nível 1 como mínimo.

Empresas que produzem apenas produtos comerciais prontos para uso (COTS) não necessitam de uma certificação CMMC.

Se a minha organização for uma subcontratada em um contrato do DoD, ela precisa ser certificada?

Se o contrato do DoD tiver um requisito CMMC e sua empresa não produzir exclusivamente produtos COTS, você precisará de um certificado CMMC. O nível do certificado CMMC depende do tipo e natureza das informações provenientes do seu contratante principal.

Como saberei qual nível CMMC é necessário para um contrato?

O DoD especificará o nível CMMC necessário em cada Solicitação de Informações (RFI) e Solicitação de Propostas (RFP).

Mapeamento de Conformidade CMMC da Netwrix

Identifique, priorize e mitigue riscos ao CUI e FCI para fortalecer a segurança dos dados regulados pelo CMMC

Obter um mapeamento de conformidade CMMC

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management