АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Сертификация по модели зрелости кибербезопасности

Сертификация по модели зрелости кибербезопасности (англ. Cybersecurity Maturity Model Certification, CMMC) — это система оценки и программа сертификации аудиторов, предназначенная для повышения доверия к процедурам проверки соответствия различным стандартам, опубликованным Национальным институтом стандартов и технологий США[1].

Модель и структура CMMC были разработаны Управлением заместителя Министра обороны США по вопросам закупок и устойчивого развития (OUSD(A&S)) в рамках действующих контрактов с Университетом Карнеги — Меллона, Лабораторией прикладной физики Университета Джонса Хопкинса и компанией Futures, Inc[1]. Программой руководит Орган по аккредитации CMMC на безвозмездной основе; в настоящее время контроль осуществляет департамент CIO Министерства обороны США[2].

Сертификация по модели зрелости кибербезопасности — как правило, с обязательной сторонней оценкой для подрядчиков, работающих с ограниченной неклассифицированной информацией (CUI), — затрагивает отрасль обороны с объёмом в 768 миллиардов долларов США (3,2 % внутреннего валового продукта США)[3].

Целью CMMC является проверка того, что информационные системы, используемые подрядчиками Министерства обороны США для обработки, передачи или хранения конфиденциальных данных, соответствуют обязательным требованиям информационной безопасности[4]. Основная задача — обеспечить адекватную защиту ограниченной неклассифицированной информации (CUI)[5] и информации федеральных контрактов (FCI), хранимой или обрабатываемой партнёрами и подрядчиками.

25 августа 2025 года нормативное правило CMMC по 48 CFR прошло регуляторную проверку; по информации ISI[6], оно было опубликовано 10 сентября 2025 года.

Модель

Рамочная система CMMC определяет модель для подрядчиков отрасли оборонно-промышленной базы, соответствующую требованиям стандарта NIST SP 800—171 Rev 3 по защите ограниченной неклассифицированной информации в нефедеральных системах и организациях. Некоторые контракты включают также отдельные требования стандарта NIST SP 800—172 — «Усиленные требования по защите ограниченной неклассифицированной информации», который является дополнением к NIST Special Publication 800—171[7].

Практики CMMC сгруппированы по доменам, напрямую соотносящимся с семействами требований из NIST SP 800—171 Rev 2 и NIST SP 800—172. В CMMC выделено три уровня: Уровень 1, Уровень 2 и Уровень 3[1].

Уровень Описание Практики Цели Оценка Область фокуса
1 Базовый 14, основанные на FAR 52.204-21, со ссылками на NIST SP 800—171 rev 2 59 Ежегодная самооценка Защита информации федеральных контрактов (FCI)
2 Продвинутый 110 практик, соответствующих NIST SP 800—171 320 Трёхлетняя сторонняя оценка для критически важной информации национальной безопасности; ежегодная самооценка по отдельным программам Защита ограниченной неклассифицированной информации (CUI)
3 Экспертный Более 110 практик на основе NIST SP 800—171 плюс часть требований из NIST SP 800—172 Более 320 (ожидаются окончательные руководства от Минобороны США по применению требований из NIST SP 800—172) Трёхлетняя оценка, проводимая государственными органами Усиленная защита ограниченной неклассифицированной информации (CUI)

До завершения финального rulemaking и внесения изменений в части 32 и 48 Кодекса федеральных нормативных актов США (CFR) требование о CMMC не распространяется на федеральные контракты[7].

Ожидается, что ближайшие рекомендательные письма CMMC помогут компаниям из оборонной промышленности определить, к какому уровню аккредитации им нужно стремиться — в зависимости от их роли (генеральный или субподрядчик) в конкретном контракте.

История

В 2002 году был принят Закон об управлении безопасностью федеральной информации (Federal Information Security Management Act), обязывающий федеральные ведомства США разрабатывать, документировать и внедрять унифицированную программу информационной безопасности.

В 2002 году закон о развитии исследований и разработок в области кибербезопасности (Cybersecurity Research and Development Act) выделил целевое финансирование Национальному научному фонду и Министерству торговли США (через NIST) на создание новых программ и развитие существующих направлений в сфере компьютерной и сетевой безопасности. Это дало толчок формированию требований к безопасности, закреплённых впоследствии в модели CMMC.

В 2003 году проект по FISMA (ныне Проект по управлению рисками) был инициирован и привёл к публикации стандартов FIPS 199, FIPS 200 и специальных публикаций NIST 800-53, 800-59, 800-60, а затем NIST 800-37, 800-39, 800—171, 800-53A.

В 2010 году указ президента № 13556 «Ограниченная неклассифицированная информация» (Executive Order 13556) отменил прежний порядок и создал унифицированную систему маркировки данных для ведомств.

В 2011 году в дополнении к федеральному регламенту по оборонным закупкам (DFARS) была предложена поправка 7000, устанавливающая требования к защите неклассифицированной информации в сфере фундаментальных исследований (Case 2011-D039).

В 2013 году вступило в силу правило DFARS 252.204-7000, требующее обязательной защиты конфиденциальных данных в нефедеральных системах.

В 2016 году предложена и введена в действие оговорка DFARS 7012, требующая от всех держателей контрактов самооценки соответствия требованиям NIST SP 800—171.

В 2019 году Министерство обороны объявило о создании CMMC для перехода от механизма самозаверения базовой кибергигиены, действовавшего при регулировании оборонной промышленности. С 2017 года все подрядчики обязаны проводить самооценку и отчитываться о готовности кибербезопасности в соответствии со NIST SP 800—171.

После ряда инцидентов в цепочке поставок[8] Министерство обороны США совместно с индустрией разработали модель CMMC.

В 2019 году был опубликован промежуточный нормативный акт, разрешающий внедрение требований CMMC в контракты — правило DFARS 2019-D041, обнародованное 29 сентября 2020 года с вступлением в силу 30 ноября 2020 года[9].

8 декабря 2020 года Совет по аккредитации CMMC и Министерство обороны опубликовали актуализированный график[10] с полной реализацией модели к сентябрю 2021 года.

8 декабря 2020 года Министерство обороны предоставило семь пилотных грантов, для реализации которых требуется привлечение сертифицированного стороннего аудитора для проверки соответствия подрядчика CMMC[11].

31 декабря 2020 года Управление общих служб США (GSA) выпустило запрос предложений по программе Polaris, отметив, что хотя пока CMMC применяется только к Министерству обороны, все правительственные подрядчики должны готовиться к выполнению её требований[12].

4 ноября 2021 года Министерство обороны объявило о выпуске CMMC версии 2.0[13]. Эта версия разработана для оптимизации требований.

29 сентября 2022 года аккредитационный орган Cyber AB (орган по аккредитации CMMC для Министерства обороны США) создал дочернюю структуру — Организацию по сертификации аудиторов и инструкторов кибербезопасности (Cybersecurity Assessor and Instructor Certification, CAICO)[14].

25 октября 2022 года Организация по сертификации аудиторов и инструкторов кибербезопасности (CAICO)[15] анонсировала запуск экзамена Certified CMMC Professional (CCP), подтверждающего знание кандидатом структуры CMMC и полномочий ключевых позиций в рамках этой системы[16].

5 января 2023 года RedSpin, сторонний аудитор CMMC, сообщил об успешной независимой сертификации компании-клиента в программе добровольной оценки совместного надзора (JSVAP)[17].

26 декабря 2023 года Министерство обороны выпустило проект обновлённых требований CMMC 2.0[18] для опубликования в Federal Register.

Критика

Профессиональное сообщество выражает обеспокоенность отсутствием централизованных официальных коммуникаций и ускоренными сроками развёртывания требований. Количество компаний, работавших в оборонно-промышленной базе, создаёт большой объём задач для сторонних организаций по аудиту CMMC (C3PAO), что может сделать сроки реализации нереалистичными; ситуация активно обсуждается в LinkedIn[19][20]. Отмечается, что взаимное признание с существующими программами сертификации (такими как FedRAMP и FIPS 140) может минимизировать дублирующую работу для компаний, уже находящихся в соответствии с ними[21].

Председатель совета по аккредитации CMMC Тай Шибер (Ty Schieber) покинул свой пост (вместе с директором по коммуникациям Марком Берманом) после публикации на официальном сайте спонсорской программы, не получившей одобрения совета; временно руководителем совета стал Карлтон Джонсон[22][23].

Примечания

  1. 1 2 3 Cybersecurity Maturity Model Certification (CMMC) Model Overview (англ.). acq.osd.mil. Дата обращения: 1 апреля 2022.
  2. Chief Information Officer Department of Defense (англ.). dodcio.defense.gov. Дата обращения: 17 апреля 2023.
  3. Stockholm International Peace Research Institute. "Trends in World Military Expenditure, 2019", pp. 2–3 (англ.). sipri.org. Дата обращения: 7 декабря 2020.
  4. Strategic Direction for Cybersecurity Maturity Model Certification (CMMC) Program (англ.). U.S. Department of Defense. Дата обращения: 27 декабря 2022.
  5. Ross, Ron; Pillitteri, Victoria; Dempsey, Kelley; Riddle, Mark; Guissanie, Gary Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (англ.) (28 января 2021). Дата обращения: 1 июня 2024.
  6. CMMC 48 CFR Clears Regulatory Review: What Defense Contractors Need to Know (англ.). isidefense.com (31 августа 2025). Дата обращения: 4 сентября 2025.
  7. 1 2 Cybersecurity Maturity Model Certification (CMMC) (англ.). acq.osd.mil. Дата обращения: 1 июня 2024.
  8. FBI Strategy Addresses Evolving Cyber Threat – Federal Bureau of Investigation. Federal Bureau of Investigation (16 сентября 2020). Дата обращения: 8 января 2021.
  9. Defense Federal Acquisition Regulation Supplement: Assessing Contractor Implementation of Cybersecurity Requirements (DFARS Case 2019-D041). Federal Register (29 сентября 2020). Дата обращения: 9 января 2021.
  10. Update on the CMMC Timeline. CyberDI (5 января 2021). Дата обращения: 9 января 2021.
  11. Serbu, Jared Pentagon reveals first contracts to serve as pathfinders for CMMC. Federal News Network (15 декабря 2020). Дата обращения: 8 января 2021.
  12. Boyd, Aaron GSA Releases Draft of New Government IT Services Contract Polaris. Nextgov.com (4 января 2021). Дата обращения: 8 января 2021.
  13. OUSD (4 ноября 2021). Архивировано 4 ноября 2021 года.
  14. The Cyber AB Forms Cybersecurity Assessor and Instructor Certification Organization (англ.). GovCon Wire (29 сентября 2022). Дата обращения: 21 февраля 2023.
  15. Организация по сертификации аудиторов и инструкторов кибербезопасности (CAICO)
  16. The Cybersecurity Assessor and Instructor Certification Organization Launches Certified CMMC Professional Exam (англ.). Business Wire (25 октября 2022). Дата обращения: 21 февраля 2023.
  17. Redspin Becomes the First C3PAO to Perform a Successful JSVAP Assessment (англ.). businesswire.com (5 января 2023). Дата обращения: 17 апреля 2023.
  18. Сертификация по модели зрелости кибербезопасности (CMMC), 88 °F.R. 89058 (предложено 26 декабря 2023) (будет зафиксировано в 32 °C.F.R. § 170). Federal Register.
  19. Tech companies tell DoD its new cyber standards are missing the mark. Federal News Network (27 марта 2020). Дата обращения: 9 января 2021.
  20. DoD warns vendors about fake third-party CMMC certifiers. Federal News Network (24 февраля 2020). Дата обращения: 9 января 2021.
  21. Williams, Lauren C. CMMC reciprocity guidelines are still a work in progress. FCW (8 сентября 2020). Дата обращения: 9 января 2021.
  22. Cybersecurity Maturity Model Certification Issues. Fedscoop (28 июля 2020). Дата обращения: 9 января 2021. Архивировано 28 июля 2020 года.
  23. CMMC AB Ousts Chairman Ty Schieber and Mark Berman. Fedscoop (16 сентября 2020). Дата обращения: 9 января 2021. Архивировано 1 октября 2020 года.

Литература

  • Ross, Ron; Pillitteri, Victoria; Dempsey, Kelley; Riddle, Mark; Guissanie, Gary (2021-01-28). “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations”. NIST Special Publication 800-171 Rev.2 [англ.]. Дата обращения 2024-06-01.

Ссылки

Категории