В конце прошлого года Министерство обороны опубликовало долгожданное предлагаемое правило для своей программы сертификации модели зрелости в области кибербезопасности. Предлагаемое правило представляет собой наш первый всесторонний обзор последней версии программы CMMC (именуемой CMMC 2.0), которая вступит в силу после внесения окончательных изменений в правила Министерства обороны для подрядчиков. Программа направлена на оптимизацию различных требований Министерства обороны к кибербезопасности и обеспечение большей гибкости в процессе сертификации.
Как многим известно, программа CMMC – это метод Министерства обороны, позволяющий гарантировать, что оборонные подрядчики и их поставщики услуг реализуют необходимые меры кибербезопасности. В рамках программы компаниям необходимо будет достичь уровня сертификации (либо путем самооценки, либо оценки третьей стороной) на основе конфиденциальности информации, относящейся к программе Министерства обороны, прежде чем они смогут получать контракты.
CMMC 2.0 представила многоуровневую модель (с тремя уровнями). Согласно предлагаемому правилу, также будет четырехэтапный 2,5-летний подход к реализации программы, начиная с базовых требований и переходя к наиболее строгим требованиям. Как только программа начнет вступать в силу, компаниям необходимо будет соответствовать требованиям, связанным с текущей фазой, и уровню CMMC, связанному с их контрактами.
Для комментариев к предлагаемому правилу предусмотрен 60-дневный период, который должен быть представлен 26 февраля 2024 года. Комментарии можно отправлять здесь. Мы ожидаем значительного количества комментариев, представленных в ответ на предлагаемое правило. В связи с этим предлагаемым правилом Министерство обороны также обновляет правила Министерства обороны для подрядчиков посредством отдельного нормотворчества, что является спусковым механизмом для вступления в силу программы CMMC. Это создает неопределенность относительно того, когда официально начнется реализация программы, но мы ожидаем, что первый этап реализации может начаться уже в конце 2024 года, но, скорее всего, в 2025 году.
Воплощение этого в жизнь: Учитывая, что требования для каждого уровня CMMC вряд ли изменятся, оборонные подрядчики и компании, обслуживающие оборонную промышленность, должны приступить к реализации своих планов по выполнению обязательств CMMC 2.0. Даже за пределами оборонной промышленности стандарты CMMC заслуживают рассмотрения. Они могут служить ориентиром для передовых практик и обосновывать требования к безопасности данных для компаний, работающих в критически важной инфраструктуре и других секторах.