CMMC
CMMC (Cybersecurity Maturity Model Certification, рус. Модель сертификации зрелости кибербезопасности) — это стандарт оценки и сертификации уровня кибербезопасности организаций, работающих с информацией Министерства обороны США (DoD). Разработанный для защиты Controlled Unclassified Information (CUI, рус. контролируемая несекретная информация), CMMC объединяет существующие требования к кибербезопасности в единую систему уровней зрелости, обязательную для всех участников цепочки поставок Министерства обороны США.
История
Предпосылки создания
До появления CMMC подрядчики Министерства обороны США были обязаны соблюдать требования NIST SP 800-171 (Защита контролируемой несекретной информации в нефедеральных системах и организациях). Однако практика показала, что самооценка и декларативное соблюдение норм приводили к многочисленным утечкам данных. По данным DoD, в период с 2015 по 2020 год было зафиксировано более 200 инцидентов, связанных с кражей CUI из систем подрядчиков.
Разработка и внедрение
Стандарт CMMC был разработан Управлением кибербезопасности Министерства обороны США (Office of the Under Secretary of Defense for Acquisition and Sustainment) совместно с Институтом инженеров по электротехнике и электронике (IEEE) и другими организациями. Первая версия (CMMC 1.0) была опубликована в январе 2020 года. В ноябре 2021 года вышла версия 2.0, которая упростила структуру и снизила количество уровней с пяти до трёх.
Текущий статус
По состоянию на 2024 год CMMC 2.0 находится в стадии обязательного внедрения. Министерство обороны США планирует включить требования CMMC во все контракты, начиная с 2025 года. В России стандарт не применяется, но его изучение актуально для организаций, работающих в сфере международного оборонного сотрудничества.
Структура и уровни
CMMC 2.0 делится на три уровня зрелости, каждый из которых соответствует определённому типу обрабатываемой информации и объёму требований.
Уровень 1 (Foundational, рус. Базовый)
- Цель: защита Federal Contract Information (FCI, рус. федеральная контрактная информация).
- Требования: 17 практик из FAR 52.204-21 (Основные требования к защите информации).
- Проверка: ежегодная самооценка.
- Примеры: хранение данных о контрактах, платежные документы.
Уровень 2 (Advanced, рус. Продвинутый)
- Цель: защита Controlled Unclassified Information (CUI).
- Требования: 110 практик из NIST SP 800-171.
- Проверка: сертификация сторонним аудитором (C3PAO) каждые три года.
- Примеры: технические спецификации, инженерные чертежи, результаты испытаний.
Уровень 3 (Expert, рус. Экспертный)
- Цель: защита CUI от наиболее сложных угроз (APT, рус. продвинутые постоянные угрозы).
- Требования: все практики уровня 2 плюс дополнительные из NIST SP 800-172 (Улучшенные требования безопасности).
- Проверка: сертификация правительственным аудитором (DoD) каждые три года.
- Примеры: данные о разработке вооружений, системы управления войсками.
Ключевые компоненты
Практики (Practices)
Каждый уровень включает набор конкретных действий, которые организация должна выполнять. Например, для уровня 2 обязательны:
- Многофакторная аутентификация (MFA) для удалённого доступа.
- Шифрование данных в состоянии покоя и при передаче.
- Регулярное резервное копирование и тестирование восстановления.
- Управление уязвимостями и патчами.
Процессы (Processes)
CMMC оценивает не только технические меры, но и организационные процессы:
- Планирование: документирование политик и процедур.
- Выполнение: реализация мер безопасности.
- Проверка: мониторинг и аудит.
- Улучшение: корректирующие действия на основе анализа.
Аккредитация
Сертификацию проводят аккредитованные организации:
- C3PAO (Certified Third-Party Assessment Organization) — для уровня 2.
- DoD — для уровня 3.
- CMMC Accreditation Body (CMMC-AB) — орган, аккредитующий аудиторов.
Применение
Обязательность
CMMC обязательна для всех организаций, участвующих в цепочке поставок Министерства обороны США, включая:
- Генеральных подрядчиков (prime contractors).
- Субподрядчиков (subcontractors).
- Поставщиков услуг (например, облачных провайдеров).
Исключения
- Организации, работающие только с общедоступной информацией.
- Малые предприятия, обрабатывающие только FCI (уровень 1).
Влияние на контракты
С 2025 года DoD планирует включать требования CMMC во все новые контракты. Отсутствие сертификации может привести к:
- Отказу в заключении контракта.
- Расторжению действующего контракта.
- Штрафным санкциям.
Критика и ограничения
Сложность внедрения
Малые и средние предприятия (SME) часто жалуются на высокую стоимость сертификации (от 50 000 до 200 000 долларов США) и сложность выполнения требований NIST SP 800-171. По данным опроса 2023 года, около 40% SME не смогли пройти сертификацию уровня 2 в установленные сроки.
Неоднозначность требований
Некоторые практики CMMC трактуются неоднозначно. Например, требование «шифрование данных в состоянии покоя» может быть выполнено как на уровне диска, так и на уровне базы данных, что приводит к разным оценкам аудиторов.
Геополитические аспекты
Стандарт CMMC не является международным, но его требования могут быть включены в контракты с зарубежными подрядчиками. Для российских организаций, работающих с DoD, соблюдение CMMC может быть затруднено из-за санкционных ограничений и требований к использованию американских технологий.
Интересные факты
- Название «CMMC» часто путают с «CMMI» (Capability Maturity Model Integration), но это разные стандарты: CMMI касается управления процессами разработки, а CMMC — кибербезопасности.
- В 2022 году DoD провело пилотный проект с участием 50 подрядчиков, который показал, что среднее время подготовки к сертификации уровня 2 составляет 12–18 месяцев.
- Согласно отчёту CMMC-AB, на конец 2023 года было аккредитовано всего 120 аудиторов C3PAO, что недостаточно для массовой сертификации.
Источники
- Cybersecurity Maturity Model Certification (CMMC) Version 2.0, Department of Defense, 2021.
- NIST Special Publication 800-171, Revision 2, National Institute of Standards and Technology, 2020.
- NIST Special Publication 800-172, National Institute of Standards and Technology, 2021.
- Federal Acquisition Regulation (FAR) 52.204-21, Basic Safeguarding of Covered Contractor Information Systems.
- Отчёт CMMC Accreditation Body (CMMC-AB) о состоянии сертификации, 2023.
- Исследование «Small Business Challenges in CMMC Compliance», Cybersecurity Maturity Model Certification Center, 2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →