Chat with us, powered by LiveChat

Certificação de modelo de maturidade de segurança cibernética (CMMC) e informações não classificadas controladas (CUI)

A certificação do modelo de maturidade da segurança cibernética (CMMC) é o método que o governo dos EUA usa para auditar a conformidade com o NIST SP 800-171. Vários órgãos governamentais, incluindo os contratados do Departamento de Defesa (DoD), precisam atender a esses requisitos. O CMMC substitui a Base Industrial de Defesa (DIB), que não foi amplamente adotada.

Estimativas conservadoras revelam que até 300.000 organizações estarão no escopo do CMMC. Muitos deles não são contratantes tradicionais de defesa. Muitas organizações potencialmente afetadas são devido ao efeito de arrastamento de terceiros que pode afetar a confidencialidade das Informações Não Classificadas Controladas (CUI) onde são armazenadas, transmitidas ou processadas.

Existem cinco níveis de CMMC, e cada um tem seu próprio conjunto específico de práticas que estarão no escopo durante uma auditoria CMMC.

CMMC Nível 1: 17 controles

CMMC Nível 2: 72 controles (inclui os controles de Nível 1)

CMMC Nível 3: 130 controles (inclui os controles de Nível 2)

CMMC Nível 4: 156 controles (inclui os controles de Nível 3)

CMMC Nível 5: 171 controles (inclui os controles de Nível 4)

Domínios de capacidade CMMC

Controle de acesso (AC) Resposta a Incidentes (IR) Gestão de Risco (RM)
Gestão de Ativos (AM) Manutenção (MA) Avaliação de Segurança (CA)
Conscientização e Treinamento (AT) Proteção de mídia (MP) Consciência Situacional (SA)
Auditoria e Responsabilidade (AU) Segurança de Pessoal (PS) Proteção de Sistema e Comunicações (SC)
Gerenciamento de Configuração (CM) Proteção Física (PE) Sistema e Integridade da Informação (SI)
Identificação e autenticação (IA) Recuperação (RE)

CMMC não é NIST 800-171

O NIST 800-171 contém 110 CUI e 63 controles da Organização Não Federal (NFO). Os controles NFO estão incluídos no Apêndice E. Para se tornarem compatíveis com o NIST 800-171, as organizações precisam estar em conformidade com os controles CUI e NFO.

O CMMC se concentra apenas nos controles CUI. Se o NIST 800-171 for necessário, o CMMC não cumpre o requisito. Organizações que alegam conformidade com o NIST 800-171 incorretamente violam a Lei de Reivindicações Falsas (FCA). CMMC é uma validação de terceiros para o nível necessário de conformidade.

O CMMC requer uma auditoria de terceiros para obter a certificação. NIST 800-171 é uma 'autocertificação'.

O mapeamento CMMC para vários padrões de segurança está disponível nas Referências.

Níveis CMMC

Níveis CMMC

Nível 1

Os 17 controles que compõem o CMMC Nível 1 são mapeados diretamente para o Regulamento de Aquisição Federal (FAR) 52.204-21. Uma auditoria CMMC Nível 1 cobrirá 15% dos controles NIST 800-171. O Nível 1 cria um padrão básico de higiene cibernética, como o uso de software antivírus e a alteração regular de senhas. O Nível 1 pode ser aplicado a Federal Contract Information (FCI), que não é uma informação destinada à divulgação pública.

Nível 2 

Existem 72 controles que compõem o CMMC Nível 2. Isso inclui os controles CMMC Nível 1. Uma auditoria CMMC Nível 2 cobrirá 65% dos controles NIST 800-171. O Nível 2 estabeleceu um padrão de higiene cibernética intermediário para proteger qualquer CUI.

Nível 3

Existem 130 controles que compõem o CMMC Nível 3, incluindo os controles CMMC Nível 1 e 2. Uma auditoria CMMC Nível 3 cobrirá 100% dos controles CUI do NIST 800-171 e 21 controles de várias fontes. O Nível 3 estabeleceu um bom padrão de higiene cibernética para proteger qualquer CUI.

Nível 4 e 5

Existem 156 controles para CMMC Nível 4. Existem 171 controles para CMMC Nível 5. O número total de controles é maior do que NIST 800-171. Os controles de nível 4 e 5 do CMMC incluem todos os controles de nível 1, 2, 3 anteriores mais os controles de outras estruturas.

A certificação de nível 4 deve incluir processos para revisar e medir a eficácia dos controles, bem como estabelecer práticas para detectar e responder às mudanças de táticas, técnicas e procedimentos de Ameaças Persistentes Avançadas (APT). Um APT é um adversário que possui níveis sofisticados de especialização e recursos significativos para criar vários vetores de ataque.

A certificação de nível 5 deve ter processos padronizados e otimizados em vigor em toda a organização e práticas aprimoradas adicionais para fornecer recursos mais sofisticados para detectar e responder a APTs.

As organizações de nível 4 e 5 do CMMC também precisam atender ao CMMC C034-P1163 para criar, manter e alavancar uma estratégia e um roteiro de segurança documentados. Planos e estratégias de negócios de segurança cibernética estarão no escopo da auditoria CMMC.

NIST 800-171 NFO Controls

Os controles adicionais NIST 800-171 NFO são divididos em quatro critérios de adaptação. Existem mais de 63 controles listados na tabela abaixo porque alguns controles têm subcontroles adicionais.

SÍMBOLO Critérios de Adaptação Nº de controles do Apêndice E
NCO Não diretamente relacionado à proteção da confidencialidade do CUI 32
FED Exclusivamente federal, principalmente de responsabilidade do governo federal 14
NFO Espera-se que seja rotineiramente satisfeito por organizações não federais sem especificação 16
QUE O requisito de segurança CUI básico ou derivado é refletido e rastreável ao controle de segurança, aprimoramento de controle ou elementos específicos do controle / aprimoramento 60

Domínio CMMC e mapeamento de capacidade e prática

Abordagem SecureCircle para CMMC e segurança de dados 

A segurança de dados persistente do SecureCircle e o impacto sem atrito sobre os usuários e aplicativos permitem que o SecureCircle aplique a segurança a amplos segmentos de dados, em vez de apenas proteger os dados mais críticos. Para conseguir isso, o SecureCircle permite controle granular e permissões para usuários, administradores, grupos, dispositivos, aplicativos, e redes. A combinação de amplos recursos e controles granulares permite que as organizações configurem o SecureCircle para atender aos requisitos de segurança e conformidade.

O SecureCircle permite que as organizações atendam aos controles e práticas CMMC configurando as políticas do Círculo, funções de administrador e usuário, políticas de rede, grupos de administradores e usuários e integração com soluções de identidade central e agregação Syslog ou soluções de Gerenciamento de Informações e Eventos de Segurança (SIEM).

SecureCircle é uma arquitetura cliente-servidor e funcionará enquanto a comunicação cliente-servidor for possível. Conexões VPN e proxy são suportadas. O uso offline é configurável para equilibrar os requisitos de segurança e conformidade com a produtividade. Não há limitações para o tamanho do arquivo, tipo de arquivo, aplicativo ou sistema operacional host.

Como os dados são protegidos de forma persistente, o SecureCircle não precisa bloquear a transferência de dados. Qualquer transferência de dados, incluindo dispositivos removíveis ou soluções de nuvem de terceiros, apenas transfere dados protegidos. As organizações retêm o controle dos dados, independentemente da localização.

SecureCircle está ciente de novos aplicativos que estão tentando acessar dados protegidos em arquivos. As políticas padrão impedem que novos aplicativos acessem dados protegidos. Os administradores têm controle total sobre quais aplicativos podem acessar dados protegidos. Os administradores também podem aplicar regras de entrada e saída semelhantes a firewall aos aplicativos.

Como a descoberta ou classificação tradicional não é necessária, os clientes implementam em dias e não em meses. Finalmente, o SecureCircle removeu a sobrecarga operacional que normalmente vem com ferramentas legadas de prevenção de perda de dados (DLP). Como todos os dados são protegidos por padrão e a segurança segue os dados independentemente da localização, não há necessidade de criar e manter regras de DLP complexas e sujeitas a erros.

Mapeamento SecureCircle Direct

Para cada domínio (folha), a primeira coluna define o conjunto de recursos esperados. Cada capacidade é atribuída a um C ## exclusivo. As próximas cinco colunas dividem os cinco níveis definidos de CMMC e as práticas associadas. Cada prática recebe um número exclusivo P1 ###. Nem todo recurso possui práticas em todos os níveis. No entanto, uma vez que uma prática é introduzida, ela se aplica ao nível em que se encontra e a todos os níveis superiores. Alguns níveis podem ter mais de uma prática por capacidade.

Abaixo de cada prática, há uma lista com marcadores de referências que informaram o desenvolvimento da prática. Essas fontes não são requisitos adicionais para o modelo e servidor para fornecer informações adicionais. Algumas práticas possuem múltiplas referências. Algumas práticas, particularmente aquelas referenciadas a 'CMMC', foram desenvolvidas pela equipe de trabalho CMMC ou através da colaboração com a indústria.

SecureCircle aborda as práticas em fundo de amora (roxo) e células de texto brancas. As práticas que o SecureCircle não aborda têm um fundo branco.

O mapeamento de controle de acesso (AC) está disponível aqui. Para um mapeamento detalhado de todos os controles de domínio de capacidade e CMMC >> Baixe o white paper SecureCircle CMMC

Controle de acessoMapeamento padrão CMMC

Mapeamento SecureCircle

Todas as práticas de Nível 1, 2, 3 são destacadas. Os itens de fundo preto são aqueles que o SecureCircle pode ajudar a atingir a conformidade.

Mapeamento SecureCircle

aviso Legal

A conformidade raramente é alcançada apenas por meio de sistemas e ferramentas. A SecureCircle não oferece garantia ou afirma que os requisitos de conformidade específicos podem ser atendidos. Consulte um diretor de conformidade ou auditor externo para avaliar seu fluxo de trabalho, configuração, processo, treinamento e outros fatores específicos.

Pronto para começar?

Proteja seu código-fonte

Proteja seu código-fonte

Saiba mais sobre como o SecureCircle protege o código-fonte para os clientes.

Leia o estudo de caso
Ícone de reserva de demonstração

Reserve uma demonstração

Proteja seus dados em trânsito, em repouso e em uso. O SecureCircle é simples de implantar e nenhuma alteração é necessária em seu fluxo de trabalho atual.

Reserve uma demonstração
Ícone CMMC

Certificação de modelo de maturidade de cibersegurança

O SecureCircle ajuda as organizações a atender a mais de 40 controles e práticas para obter a certificação de Nível 3.

Saber mais