CMMC
Что такое CMMC?
CMMCПрограмма сертификации Министерства обороны США, подтверждающая наличие достаточных мер кибербезопасности у подрядчиков оборонной промышленной базы.
Cybersecurity Maturity Model Certification (CMMC) — программа DoD, обязывающая подрядчиков Defense Industrial Base (DIB), которые работают с Federal Contract Information (FCI) или Controlled Unclassified Information (CUI), подтверждать соответствие требованиям кибербезопасности до заключения контракта. CMMC 2.0 включает три уровня: Level 1 (Foundational, 17 практик на основе FAR, ежегодная самооценка), Level 2 (Advanced, 110 практик NIST SP 800-171, для большинства контрактов с CUI требуется оценка сторонней организации C3PAO) и Level 3 (Expert, дополняется контролями NIST SP 800-172, оценивается DIBCAC). Требования внедряются через оговорку DFARS 252.204-7021 и распространяются на контракты DoD поэтапно.
● Примеры
- 01
Оборонный субподрядчик проходит оценку C3PAO, чтобы получить CMMC Level 2 перед участием в тендере по контракту с CUI.
- 02
Небольшой поставщик деталей проводит самооценку CMMC Level 1 для контракта только с FCI.
● Частые вопросы
Что такое CMMC?
Программа сертификации Министерства обороны США, подтверждающая наличие достаточных мер кибербезопасности у подрядчиков оборонной промышленной базы. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает CMMC?
Программа сертификации Министерства обороны США, подтверждающая наличие достаточных мер кибербезопасности у подрядчиков оборонной промышленной базы.
Как защититься от CMMC?
Защита от CMMC обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия CMMC?
Распространённые альтернативные названия: Cybersecurity Maturity Model Certification.