CMMC - Сертифікація моделі зрілості кібербезпеки

Сертифікація моделі зрілості кібербезпеки

Сертифікація моделі зрілості кібербезпеки (Cybersecurity Maturity Model Certification, або CMMC) - це стандарт впровадження кібербезпеки, покликаний забезпечити підвищену впевненість Міністерства оборони (МО) в тому, що підрядник оборонної промислової бази (ОПБ) може адекватно захистити контрольовану несекретну інформацію (КНІ або CUI - Controlled Unclassified Information) на рівні, що відповідає ризику, враховуючи потік інформації до його субпідрядників у багаторівневому ланцюгу поставок.

Рівень 1 CMMC: 17 засобів контролю.

Рівень 2 CMMC: 72 засоби контролю (включає засоби контролю рівня 1)

Рівень 3 CMMC: 130 засобів контролю (включаючи засоби контролю рівня 2)

Рівень 4 CMMC: 156 засобів контролю (включаючи засоби контролю рівня 3)

Рівень 5 CMMC: 171 засіб контролю (включаючи засоби контролю рівня 4)

Що таке CMMC?

Сертифікація моделі зрілості кібербезпеки (Cybersecurity Maturity Model Certification, CMMC) - це стандарт для впровадження кібербезпеки в оборонно-промисловому комплексі.

Для кого призначена CMMC?

CMMC був створений для підрядників Оборонно-промислового комплексу (ОПК) для захисту КНІ.

Які існують рівні CMMC?

CMMC має п'ять рівнів і узгоджує набір процесів і практик з типом і чутливістю інформації, що підлягає захисту, а також з відповідним спектром загроз.

Рівень 1 CMMC: 17 засобів контролю.
Рівень 2 CMMC: 72 засоби контролю (включає засоби контролю рівня 1)
Рівень 3 CMMC: 130 засобів контролю (включаючи засоби контролю рівня 2)
Рівень 4 CMMC: 156 елементів керування (включно з елементами керування рівня 3)
Рівень 5 CMMC: 171 засіб контролю (включаючи засоби контролю рівня 4)

Як відбувається сертифікація CMMC?

Після того, як ваша система менеджменту створена, ви можете розпочати процес її сертифікації в DQS. Ми обговоримо з вами цілі сертифікації CMMC і надамо вам детальну пропозицію, адаптовану до потреб вашої компанії.

Планування проекту починається з узгодженого графіка проведення початкової оцінки (оцінок) і координації роботи на декількох ділянках, якщо це необхідно. Також може бути запланована додаткова оцінка прогалин (GAP-аналіз), яка допоможе вам заздалегідь визначити сильні сторони і точки для поліпшення вашої системи менеджменту.

Сам процес сертифікації починається з аналізу та оцінки системної документації, цілей, результатів аналізу з боку керівництва та внутрішніх аудитів. Аудит Етапу 2 відбувається після успішного проведення Етапу 1. Призначена аудиторська група оцінює систему менеджменту клієнта на місці виробництва або надання послуг. Застосовуючи визначені стандарти та специфікації системи менеджменту, аудиторська група оцінює ефективність усіх функціональних областей, а також усіх процесів системи менеджменту на основі спостережень, інтерв'ю, аналізу відповідних документів і записів, а також інших методів оцінки.

Функція незалежної сертифікації DQS Inc. оцінює процес аудиту та його результати, а також приймає незалежне рішення про видачу сертифіката. Клієнт отримує звіт про оцінку, що документує результати оцінки. Коли всі застосовні вимоги виконані, клієнт отримує сертифікат.

Скільки коштує сертифікація CMMC?

Вартість сертифікації CMMC залежить від багатьох факторів, таких як розмір і складність вашої організації. Тому кожна ціна розраховується індивідуально на основі інформації про компанію, яка подає заявку на сертифікацію.

Чому сертифікуватися на відповідність CMMC з допомогою DQS?

У рамках підготовки до впровадження сертифікації CMMC компанія DQS створила DQS Cyber Security Inc. (DQS CSI), дочірню компанію DQS Inc., яка повністю належить DQS Inc. для надання послуг з оцінки систем управління третьою стороною та сертифікації кібербезпеки, орієнтованої на ринок CMMC. DQS CSI подала заявку в C3PAO в якості постачальника органів сертифікації і в даний час може надавати послуги з GAP-оцінки для компаній, які готуються до сертифікації CMMC.