Открыть сервис

CMMC

CMMC (Cybersecurity Maturity Model Certification, рус. Модель сертификации зрелости кибербезопасности) — это стандарт оценки и сертификации уровня кибербезопасности организаций, работающих с информацией Министерства обороны США (DoD). Разработанный для защиты Controlled Unclassified Information (CUI, рус. контролируемая несекретная информация), CMMC объединяет существующие требования к кибербезопасности в единую систему уровней зрелости, обязательную для всех участников цепочки поставок Министерства обороны США.

История

Предпосылки создания

До появления CMMC подрядчики Министерства обороны США были обязаны соблюдать требования NIST SP 800-171 (Защита контролируемой несекретной информации в нефедеральных системах и организациях). Однако практика показала, что самооценка и декларативное соблюдение норм приводили к многочисленным утечкам данных. По данным DoD, в период с 2015 по 2020 год было зафиксировано более 200 инцидентов, связанных с кражей CUI из систем подрядчиков.

Разработка и внедрение

Стандарт CMMC был разработан Управлением кибербезопасности Министерства обороны США (Office of the Under Secretary of Defense for Acquisition and Sustainment) совместно с Институтом инженеров по электротехнике и электронике (IEEE) и другими организациями. Первая версия (CMMC 1.0) была опубликована в январе 2020 года. В ноябре 2021 года вышла версия 2.0, которая упростила структуру и снизила количество уровней с пяти до трёх.

Текущий статус

По состоянию на 2024 год CMMC 2.0 находится в стадии обязательного внедрения. Министерство обороны США планирует включить требования CMMC во все контракты, начиная с 2025 года. В России стандарт не применяется, но его изучение актуально для организаций, работающих в сфере международного оборонного сотрудничества.

Структура и уровни

CMMC 2.0 делится на три уровня зрелости, каждый из которых соответствует определённому типу обрабатываемой информации и объёму требований.

Уровень 1 (Foundational, рус. Базовый)

  • Цель: защита Federal Contract Information (FCI, рус. федеральная контрактная информация).
  • Требования: 17 практик из FAR 52.204-21 (Основные требования к защите информации).
  • Проверка: ежегодная самооценка.
  • Примеры: хранение данных о контрактах, платежные документы.

Уровень 2 (Advanced, рус. Продвинутый)

  • Цель: защита Controlled Unclassified Information (CUI).
  • Требования: 110 практик из NIST SP 800-171.
  • Проверка: сертификация сторонним аудитором (C3PAO) каждые три года.
  • Примеры: технические спецификации, инженерные чертежи, результаты испытаний.

Уровень 3 (Expert, рус. Экспертный)

  • Цель: защита CUI от наиболее сложных угроз (APT, рус. продвинутые постоянные угрозы).
  • Требования: все практики уровня 2 плюс дополнительные из NIST SP 800-172 (Улучшенные требования безопасности).
  • Проверка: сертификация правительственным аудитором (DoD) каждые три года.
  • Примеры: данные о разработке вооружений, системы управления войсками.

Ключевые компоненты

Практики (Practices)

Каждый уровень включает набор конкретных действий, которые организация должна выполнять. Например, для уровня 2 обязательны:

Процессы (Processes)

CMMC оценивает не только технические меры, но и организационные процессы:

Аккредитация

Сертификацию проводят аккредитованные организации:

  • C3PAO (Certified Third-Party Assessment Organization) — для уровня 2.
  • DoD — для уровня 3.
  • CMMC Accreditation Body (CMMC-AB) — орган, аккредитующий аудиторов.

Применение

Обязательность

CMMC обязательна для всех организаций, участвующих в цепочке поставок Министерства обороны США, включая:

  • Генеральных подрядчиков (prime contractors).
  • Субподрядчиков (subcontractors).
  • Поставщиков услуг (например, облачных провайдеров).

Исключения

  • Организации, работающие только с общедоступной информацией.
  • Малые предприятия, обрабатывающие только FCI (уровень 1).

Влияние на контракты

С 2025 года DoD планирует включать требования CMMC во все новые контракты. Отсутствие сертификации может привести к:

  • Отказу в заключении контракта.
  • Расторжению действующего контракта.
  • Штрафным санкциям.

Критика и ограничения

Сложность внедрения

Малые и средние предприятия (SME) часто жалуются на высокую стоимость сертификации (от 50 000 до 200 000 долларов США) и сложность выполнения требований NIST SP 800-171. По данным опроса 2023 года, около 40% SME не смогли пройти сертификацию уровня 2 в установленные сроки.

Неоднозначность требований

Некоторые практики CMMC трактуются неоднозначно. Например, требование «шифрование данных в состоянии покоя» может быть выполнено как на уровне диска, так и на уровне базы данных, что приводит к разным оценкам аудиторов.

Геополитические аспекты

Стандарт CMMC не является международным, но его требования могут быть включены в контракты с зарубежными подрядчиками. Для российских организаций, работающих с DoD, соблюдение CMMC может быть затруднено из-за санкционных ограничений и требований к использованию американских технологий.

Интересные факты

  • Название «CMMC» часто путают с «CMMI» (Capability Maturity Model Integration), но это разные стандарты: CMMI касается управления процессами разработки, а CMMC — кибербезопасности.
  • В 2022 году DoD провело пилотный проект с участием 50 подрядчиков, который показал, что среднее время подготовки к сертификации уровня 2 составляет 12–18 месяцев.
  • Согласно отчёту CMMC-AB, на конец 2023 года было аккредитовано всего 120 аудиторов C3PAO, что недостаточно для массовой сертификации.

Источники

  • Cybersecurity Maturity Model Certification (CMMC) Version 2.0, Department of Defense, 2021.
  • NIST Special Publication 800-171, Revision 2, National Institute of Standards and Technology, 2020.
  • NIST Special Publication 800-172, National Institute of Standards and Technology, 2021.
  • Federal Acquisition Regulation (FAR) 52.204-21, Basic Safeguarding of Covered Contractor Information Systems.
  • Отчёт CMMC Accreditation Body (CMMC-AB) о состоянии сертификации, 2023.
  • Исследование «Small Business Challenges in CMMC Compliance», Cybersecurity Maturity Model Certification Center, 2023.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →