CMMC(Cybersecurity Maturity Model Certification)

CMMC 2.0은 DoD의 CMMC 사이버 보안 모델의 다음 버전입니다. 기본, 고급 및 전문가의 세 가지 사이버 보안 수준에 대한 요구 사항을 간소화하고 각 수준의 요구 사항을 잘 알려져 있고 통용되는 NIST 사이버 보안 표준에 맞춥니다.

2021년 12월 3일, DoD는 CMMC 2.0 모델 개요를 발표했습니다. CMMC 2.0 모델은 연방조달규정(FAR) 52.204-21에 명시된 FCI에 대한 기본적인 안전 요구 사항과 미합중국 국방부 연방조달규정 추록(DFARS)의 252.204-7012항에 따라 NIST SP 800-171r2의 CUI에 대한 보안 요구 사항을 포함합니다.

• FCI만 해당되는 회사의 경우 CMMC Level 1(기본). 정보를 보호해야 하지만, 국가 안보에 중요하지 않으며, 17개 기본적인 안전 사례를 준수해야 하고, CMMC Level 1 범위 지침을 제공합니다.
• CUI에 해당되는 회사의 경우 CMMC Level 2(고급). NIST SP 800-171r2에서 규정한 110개의 사례를 준수해야 하고, 정보 유형에 따라 타사 또는 자체 평가를 요구할 수 있으며, CMMC Level 2 범위 지침을 제공합니다.
• CUI를 최우선시하는 프로그램의 경우 CMMC Level 3(전문). NIST SP 800-172 하위 조항이 적용되며, 공무원의 평가를 받습니다.

사이버 보안은 국방부의 최우선 과제입니다.

DIB(Defense Industrial Base)는 점점 더 빈번하고 복잡한 사이버 공격의 표적입니다. 미국의 독창성과 국가 안보 정보를 보호하고자 DoD는 진화하는 위협에 대응하고 정보를 보호하기 위해 DIB 사이버 보안을 동적으로 강화하는 CMMC 2.0을 개발했습니다.

CMMC가 완전히 구현되면 민감한 미분류 DoD 정보를 처리하는 특정 DoD 계약자는 계약 낙찰 조건으로 특정 CMMC 수준을 달성해야 합니다.

DoD는 CMMC 2.0 규칙 제정 프로세스가 완료되기 전에 계약에 CMMC 요구 사항을 포함하는 것을 승인할 의사가 없다고 밝혔습니다.  해당 프로세스에 대해 DoD가 예상하는 완료 날짜는 2021년 11월부터 9~24개월입니다.

CMMC 2.0이 구현되면 DoD는 요청 및 RFI(Requests for Information)에 필요한 CMMC 수준을 지정합니다.

DoD 공급망의 광범위한 조직, 프로그램 및 계약업체가 AWS를 이용하여 비즈니스와 운영을 혁신하고 있습니다. 이들은 AWS를 활용하여 Defense Federal Acquisition Regulation Supplement(DFARS), DoD Cloud Computing Security Requirements Guide(SRG), Federal Risk and Authorization Management Program(FedRAMP) 및 기타 연방 규정 준수 프로그램에 따라 미국 연방 정부의 데이터를 처리, 유지 및 저장하기 위한 안전한 환경을 조성합니다.

사례 연구를 검토하여 AWS가 미국 국방부 군수국, 미국 공군, 미국 해군 및 미국 특수 작전 사령부를 포함한 DoD와 Lockheed Martin, Raytheon 및 GDIT와 같은 DoD 계약업체를 어떻게 돕고 있는지 알아볼 수 있습니다. AWS가 DoD의 높은 보안 요구 사항을 충족하는 방법에 대한 자세한 내용은 Cloud Computing for Defense 웹 페이지를 참조하세요.

임시 DFARS 규칙은 OUSD(A&S)(Office of the Under Secretary of Defense for Acquisition and Sustainment)의 승인에 따라 일부 파일럿 계약에서만 CMMC 준수가 요구되는 5년의 단계적 도입 기간을 설정했습니다. DoD는 CMMC 2.0 규칙 제정 프로세스가 완료되기 전에 계약에 CMMC 요구 사항을 포함하는 것을 승인할 의사가 없다고 밝혔습니다.

CMMC 2.0이 규칙 제정을 통해 성문화되면 DoD는 기업이 수정된 CMMC 2.0 프레임워크를 준수하도록 요구할 것입니다.

아니요. CMMC는 특정 CMMC 레벨에 대한 요구 사항과 비교하여 DIB 계약업체의 사이버 보안 기능 및 프로세스를 측정합니다.

클라우드 서비스 제공업체(CSP)로서 AWS는 FedRAMP High의 FedRAMP와 SRG 영향 수준 2, 4 및 5의 DISA(Defense Information Systems Agency)의 승인을 받았습니다.

아니요. DoD는 FedRAMP 또는 ISO 27001 정보 보안 관리 등의 다른 규정 준수 프로그램이 CMMC 2.0 수준에 매핑되는 방식을 아직 정의하지 않았습니다.

AWS CMMC 고객 패키지는 고객이 AWS GovCloud(미국)에서 AWS Landing Zone Accelerator를 사용하여 AWS에서 상속할 수 있는 CMMC Level 2 / NIST SP 800-171 보안 제어에 대한 세부 사항을 제공합니다.

AWS CMMC 고객 패키지는 AWS 표준 리전과 AWS GovCloud(미국) 리전 모두에서 AWS Artifact를 통해 다운로드할 수 있습니다.

예. AWS Professional Services 컨설턴트는 AWS GovCloud(미국)에서 AWS Landing Zone Accelerator에 대한 교육을 이수했으므로 CMMC 규정 준수 관련 문제를 다루는 고객 구현을 지원할 수 있습니다.

AWS는 고객에게 비즈니스 및 DoD 프로그램 및 계약의 요구 사항에 따라 표준 및 제한된 리전(미국 동부/서부, AWS GovCloud(미국) 등)에서 AWS CMMC 2.0 솔루션을 배포하고 인증할 수 있는 유연성을 제공하고자 합니다.