Подготовка к внедрению CMMC: основные этапы защиты несекретной контролируемой информации

Министерство обороны США (DoD) в начале 2020 года представило CMMC — комплексную систему сертификации и оценки кибербезопасности. Она призвана усилить защиту военно-промышленной базы и гарантировать, что подрядчики, работающие с несекретной контролируемой информацией (CUI), соблюдают строгие стандарты кибербезопасности Национального института стандартов и технологий (NIST).

10 ноября 2025 года официально вступили в силу новые правила закупок Министерства обороны США. Теперь ведомство начнет включать в контракты обязательное требование о соответствии стандарту кибербезопасности CMMC. Новые правила будут вводить поэтапно в течение нескольких лет.

В программе CMMC предусмотрено три уровня, требования которых зависят от типа обрабатываемой информации. Первый уровень CMMC включает 15 защитных мер и обязателен для контрактов, которые содержат сведения о федеральных контрактах (FCI), но не касаются несекретной контролируемой информации (CUI). В этом случае подрядчику достаточно провести самооценку; проверка независимой стороной не требуется. Второй уровень CMMC включает 110 защитных мер и соответствует стандарту NIST SP 800-171. Он обязателен для работы с несекретной контролируемой информацией (CUI). Во многих случаях условия контракта требуют, чтобы подрядчик подтвердил соответствие этому уровню через независимый аудит. Такую проверку проводят аккредитованные центры оценки (C3PAO). Третий уровень CMMC предусматривает еще 24 усиленные меры безопасности. На этом уровне внешняя оценка обязательна для всех контрактов.

График внедрения CMMC

Министерство обороны США планирует внедрять программу CMMC в течение нескольких лет. Ниже приведены актуальные сроки и требования для подрядчиков, которые работают с CUI.

• Первый этап уже начался. Подрядчики, работающие с несекретной контролируемой информацией, должны самостоятельно оценить соответствие второму уровню CMMC. В отдельных случаях министерство может потребовать аудит от независимой организации.
• Второй этап начнется в ноябре 2026 года. Для контрактов второго уровня вместо самооценки потребуется сертификация от внешнего центра.
• Третий этап начнется в ноябре 2027 года. Если сроки не изменятся, сертификация третьего уровня станет обязательной для всех новых контрактов. Минобороны США может отложить введение требований 3 уровня для части контрактов до тех пор, пока не наступит период их продления.
• Четвертый этап — финальный, он начнется в ноябре 2028 года. С этого времени нормы CMMC станут обязательными для всех контрактов.

Что это значит для подрядчиков

Если ваша организация работает с CUI или FCI, будущие тендеры будут включать требования CMMC. Для подготовки сосредоточьтесь на следующих шагах.

• Проверка соответствия облачных сервисов. Стандарт CMMC обязывает использовать сервисы с сертификацией FedRAMP Moderate или её эквивалентом для любого облачного решения, которое хранит или обрабатывает CUI. Организациям, использующим услуги облачных провайдеров, следует оценить каждый контракт и убедиться, что поставщик прошел сертификацию FedRAMP Moderate.
• Идентификация среды CUI. Составьте карту расположения информации категории CUI. Определите, в каких хранилищах она находится, а также выявите все системы, сети, приложения и сотрудников, которые имеют к ней доступ.
• Изучите все 110 мер контроля для второго уровня. Найдите пробелы в защите, определите, какие категории требуют доработки, и решите, что исправить в первую очередь. Второй уровень включает управление доступом, обучение сотрудников, аудит, подотчетность и управление конфигурацией.
• Документируйте каждый шаг. Ведите подробный учет политик доступа, результатов аудита и всех настроек. Порядок в документах сэкономит время при подготовке к внутренним и внешним проверкам. Чем полнее записи, тем быстрее вы подтвердите соответствие стандарту CMMC.

Роль PAM-систем и возможности Keeper

Решения для управления привилегированным доступом (PAM) защищают учетные записи с расширенными правами. Такие системы контролируют доступ к критически важным ресурсам и данным, снижая риск кибератак. С помощью PAM проще выполнить требования CMMC, особенно в части контроля доступа, идентификации пользователей и защиты систем.

Сегодня специалистам по безопасности часто не хватает данных о надежности паролей в организации. Keeper Security Government Cloud (KSGC) устраняет этот пробел: решение позволяет отслеживать повторные пароли, выявлять скомпрометированные данные и настраивать политики безопасности. KSGC предупреждает администраторов об уязвимостях, помогая предотвращать кибератаки до того, как они нанесут ущерб.

KSGC имеет авторизацию FedRAMP High — это оптимальное решение для подрядчиков Минобороны США, которым нужно защищать конфиденциальные данные. Keeper помогает бизнесу адаптироваться к меняющимся требованиям CMMC. Система берет на себя ключевые задачи по защите паролей и управлению доступом, поэтому подтвердить соответствие стандарту становится гораздо проще.

Чтобы показать, как возможности Keeper вписываются в структуру CMMC, мы привлекли независимого эксперта — Джейкоба Хилла. Он возглавляет компанию TEKFused, которая занимается сертификацией в области управления рисками и нормативно-правового соответствия (GRC). Хилл обладает более чем 17-летним опытом, степенью магистра кибербезопасности университета WGU и рядом сертификатов, включая CMMC Certified Assessor, CMMC Provisional Instructor, CISSP-ISSEP и CySA+. Он занимался исследованием уязвимостей и публиковал CVE; его работу в сфере информационной безопасности освещали Брайан Кребс и журнал Infosecurity Magazine.

*Обратите внимание: кнопка выше запускает загрузку файла на компьютер.

Если совмещать грамотную кибербезопасность, строгий контроль доступа и платформы вроде KSGC, подрядчики смогут быстрее пройти проверки, соблюсти все требования и получить доступ к контрактам Минобороны США. Запросите демонстрацию, чтобы узнать подробности.