Сертификация модели зрелости кибербезопасности (CMMC)

Сертификация модели зрелости кибербезопасности (CMMC) — это программа, созданная Министерством обороны (DoD) США в целях безопасности и защиты федеральной контрактной информации (FCI) и контролируемой несекретной информации (CUI) посредством сертификации внешних подрядчиков в 14 различных областях, для каждой из которых существует три уровня сертификации.

CMMC — это единый стандарт для внедрения кибербезопасности в контрактной сети Министерства обороны, которая включает более 300 000 компаний в цепочке поставок. CMMC — это реакция Министерства обороны на значительные угрозы для конфиденциальной оборонной информации, хранимой в информационных системах подрядчиков.

• Дата выхода — 1 января 2020 года.
• Министерство обороны начало включать требования CMMC в отдельные запросы предложений и запросы информации с 30 ноября 2020 года.
• К 1 октября 2025 года все присуждения контрактов DoD потребуют, по крайней мере, некоторого уровня сертификации CMMC. И хотя катализатором для CMMC было Министерство обороны, в настоящее время эта сертификация набирает обороты по всей оборонной промышленной базе (DIB), включая Министерство национальной безопасности и другие федеральные правительственные департаменты и агентства, особенно после SolarWinds.

В прошлом подрядчики отвечали за внедрение, мониторинг и сертификацию безопасности своих информационно-технологических систем и любой конфиденциальной информации DoD, хранящейся в этих системах или передаваемой ими.

Начиная с 30 ноября 2020 года Министерство обороны начало включать требования CMMC в отдельные запросы предложений, запросы информации и исследовательские контракты. К 1 октября 2025 года все присуждения контрактов DoD потребуют по крайней мере некоторого уровня сертификации CMMC. Модель состоит из 3 уровней зрелости: базового, продвинутого и экспертного. Выбор уровня зависит от типа обрабатываемой информации. На каждом уровне установлены различные требования к оценке: это либо самооценка, либо оценка третьей стороной, либо оценка государственными органами. Портфолио цифровой безопасности Entrust, включая решения по идентификации, сертификации и защите данных, облегчает соблюдение 9 областей CMMC на трех возможных уровнях сертификации.

Обрабатывает ли организация основную информацию, такую как федеральная контрактная информация (FCI)? Или это контролируемая несекретная информация (CUI)? FCI требует сертификации уровня 1, но CUI требует как минимум уровня 2.

Где имеются несоответствия между текущей позицией организации в области кибербезопасности и желаемым уровнем CMMC? Оценка пробелов будет иметь неоценимое значение для определения плана действий и этапов на пути к достижению зрелости кибербезопасности CMMC.

CMMC охватывает требования безопасности, указанные в NIST SP 800-171, а также дополнительные требования из других стандартов и источников, которые варьируются в зависимости от уровня сертификации. Что покажет оценка пробелов в текущем уровне гигиены кибербезопасности в организации?

Помните о конечной цели CMMC — защита FCI и CUI злоумышленников в сфере кибербезопасности.