Beancount.io LogoBeancount.io

CMMC 2.0 и NIST 800-171 в 2026 году: дорожная карта сертификации для малых оборонных подрядчиков

13 мин чтенияMike ThriftMike Thrift
CMMC 2.0 и NIST 800-171 в 2026 году: дорожная карта сертификации для малых оборонных подрядчиков

Если вы поставляете что-либо Министерству обороны США — от механически обработанных деталей до программного обеспечения, от логистических услуг до инженерных чертежей — для вашего бизнеса запущен обратный отсчет. Программа сертификации модели зрелости кибербезопасности (CMMC) официально начала включаться в контракты Минобороны с 10 ноября 2025 года, а этап сертификации третьей стороной, который последует 10 ноября 2026 года, незаметно дисквалифицирует тысячи мелких субподрядчиков, которые полагали, что у них еще есть время.

Самый неприятный факт о CMMC заключается в том, что это на самом деле не новый свод правил. Это механизм проверки требований кибербезопасности, которые были включены в Дополнение к Федеральному положению о закупках для нужд обороны (DFARS) еще с 2017 года. Отраслевые опросы по-прежнему показывают, что менее 15 процентов оборонных подрядчиков полностью внедрили эти базовые меры контроля NIST SP 800-171. Именно этот пробел призвана выявить CMMC — и именно этот пробел теперь имеет критическое значение для того, выиграете вы или проиграете тендер.

Это руководство предназначено для владельцев, операционных директоров и ИТ-руководителей малых предприятий, которым внезапно потребовалось перевести структуру из 110 мер контроля, руководство по оценке с 320 целями и трехэтапную модель сертификации в нечто, что они смогут заложить в бюджет, спланировать и реализовать до закрытия следующего приема заявок.

Три уровня простыми словами

CMMC 2.0 сокращает первоначальную пятиуровневую модель до трех. Необходимый вам уровень определяется типом правительственной информации, с которой вы работаете, а не размером вашей компании или стоимостью контракта.

Уровень 1 (Основополагающий) применяется, если ваша единственная информация, связанная с Минобороны, — это информация о федеральных контрактах (FCI), то есть непубличная информация, созданная в рамках или для контракта, которую правительство не предназначило для открытого доступа. Это могут быть заказы на закупку, графики поставок, базовые данные о техническом задании. Уровень 1 соответствует 17 базовым мерам защиты в пункте FAR 52.204-21 и подтверждается ежегодной самооценкой с заверением высокопоставленного должностного лица в Системе управления рисками эффективности поставщиков Минобороны (SPRS).

Уровень 2 (Продвинутый) применяется в тот момент, когда любая контролируемая несекретная информация (CUI) попадает в вашу среду. CUI — это более широкая категория, которая включает технические данные с экспортным контролем, контролируемую техническую информацию, информацию о морских ядерных силовых установках, определенные типы персональных данных и другие категории, определенные в реестре CUI. Уровень 2 требует внедрения всех 110 мер контроля NIST SP 800-171 (Редакция 2), оцениваемых по 320 целям оценки в NIST SP 800-171A. Большинство контрактов Уровня 2 требуют оценки раз в три года сертифицированной сторонней организацией-оценщиком (C3PAO). Небольшая часть контрактов с «некритичной CUI» может допускать ежегодную самооценку, но вам не следует предполагать, что ваш контракт подходит под эту категорию, если сотрудник по закупкам прямо не заявит об этом.

Уровень 3 (Экспертный) зарезервирован для подрядчиков, работающих с CUI, связанной с наиболее приоритетными программами Минобороны. Он добавляет 24 меры контроля из NIST SP 800-172 поверх 110 мер из 800-171 и оценивается Центром оценки кибербезопасности оборонной промышленной базы (DIBCAC). Если вы еще не знаете, что относитесь к Уровню 3, то вы почти наверняка к нему не относитесь.

Практический вывод: если ваш бизнес когда-либо получает технические чертежи, спецификации с пометкой CUI, данные под контролем ITAR или что-либо, что генеральный подрядчик описывает как «контролируемое», вы являетесь предприятием Уровня 2, и вам необходимо планировать бюджет соответствующим образом.

Что изменилось в окончательной версии правила

Поправка к DFARS, кодифицирующая CMMC, вступила в силу 10 ноября 2025 года с поэтапным четырехлетним внедрением. Две части правила заслуживают особого внимания, так как их часто понимают неправильно.

Во-первых, пункт DFARS 252.204-7019 — самостоятельное требование о проведении базовой самооценки NIST SP 800-171 и публикации баллов в SPRS — был включен в пункты CMMC и больше не существует как отдельное положение. Многие малые предприятия все еще работают, исходя из предположения, что публикации баллов самооценки достаточно для выполнения их обязательств по комплаенсу. После 10 ноября 2025 года это абсолютный минимум, необходимый для участия в торгах, а после 10 ноября 2026 года этого будет недостаточно для большинства контрактов с CUI в принципе.

Во-вторых, DFARS 252.204-7021 делает сертификацию CMMC условием присуждения контракта и требует от подрядчика поддерживать эту сертификацию на протяжении всего периода выполнения работ. Это означает, что срок действия вашей сертификации не может просто истечь в середине контракта; если это произойдет, у вас возникнет проблема с комплаенсом, которая передастся по цепочке поставок генеральному подрядчику.

В-третьих, DFARS 252.204-7012 — пункт об отчетности об инцидентах, действующий с 2017 года — остается в силе. У вас по-прежнему есть 72 часа, чтобы сообщить о киберинциденте, затронувшем охваченную оборонную информацию, и вы по-прежнему должны предоставлять носители для криминалистического анализа по запросу.

14 семейств мер контроля: разъяснение

110 мер контроля Уровня 2 организованы в 14 семейств, которые повторяют структуру NIST SP 800-171. Изучение их на понятном языке помогает понять, в чем именно заключается работа.

Управление доступом (Access Control, 22 меры контроля) определяет, кто может войти в систему, что они могут видеть и что им разрешено делать внутри. Будьте готовы провести инвентаризацию каждого пользователя, роли и общей учетной записи в вашей среде.

Осведомленность и обучение (Awareness and Training, 3 меры контроля) требует документально подтвержденного обучения по вопросам безопасности для всех пользователей и специализированного обучения для привилегированных пользователей. Одних лишь стандартных модулей по фишингу недостаточно.

Аудит и подотчетность (Audit and Accountability, 9 мер контроля) требует, чтобы ваши системы создавали, защищали и проверяли журналы (логи), достаточные для восстановления хронологии инцидента. Многие небольшие компании терпят неудачу здесь не потому, что не могут генерировать логи, а потому, что их никто не проверяет.

Управление конфигурацией (Configuration Management, 9 мер контроля) обязывает вас установить базовые конфигурации для каждой системы, работающей с CUI (контролируемой несекретной информацией), и управлять изменениями этих конфигураций. Именно здесь несанкционированное ПО и «теневые ИТ» становятся поводом для замечаний аудитора.

Идентификация и аутентификация (Identification and Authentication, 11 мер контроля) — это семейство, посвященное многофакторной аутентификации (МФА). МФА для привилегированных учетных записей не обсуждается. МФА для всех аккаунтов, имеющих доступ к CUI, — это практическая интерпретация, которую применяют аудиторы.

Реагирование на инциденты (Incident Response, 3 меры контроля) требует наличия проверенной способности реагировать на инциденты с документированными процедурами, обучением и отчетностью. 72-часовой лимит DFARS 7012 делает это требование предельно конкретным.

Техническое обслуживание (Maintenance, 6 мер контроля) регулирует то, как вы проводите обслуживание систем, обрабатывающих CUI, включая удаленное обслуживание и контроль за поставщиками, имеющими доступ к вашей среде.

Защита носителей информации (Media Protection, 9 мер контроля) охватывает маркировку, транспортировку, очистку и уничтожение носителей, содержащих CUI — да, включая тот самый USB-накопитель с резервными копиями инженерных данных.

Безопасность персонала (Personnel Security, 2 меры контроля) требует проверки сотрудников перед предоставлением доступа к CUI и гарантирует прекращение доступа при увольнении.

Физическая защита (Physical Protection, 6 мер контроля) регулирует физический доступ к помещениям, где обрабатывается CUI, включая журналы посещений и средства защиты оборудования.

Оценка рисков (Risk Assessment, 3 меры контроля) требует периодического проведения оценки рисков и сканирования на наличие уязвимостей в системах, входящих в область проверки.

Оценка безопасности (Security Assessment, 4 меры контроля) требует наличия задокументированного Плана безопасности системы (SSP) и Плана действий и контрольных точек (POA&M) — двух артефактов, которые любой аудитор открывает в первую очередь.

Защита систем и связи (System and Communications Protection, 16 мер контроля) охватывает защиту периметра, шифрование при передаче, шифрование при хранении и архитектурное отделение CUI от других данных.

Целостность систем и информации (System and Information Integrity, 7 мер контроля) охватывает устранение дефектов, защиту от вредоносного кода и мониторинг.

110 мер контроля развертываются в 320 целей оценки в NIST SP 800-171A. Каждая цель — это отдельный вопрос с ответом «да» или «нет», который задаст аудитор, и каждый требует доказательств: политики, скриншота конфигурации, образца лога, подписанного подтверждения. Разработчики репозиториев доказательств соответствия обычно оценивают количество необходимых документов в 600–1200 единиц для успешного прохождения аудита Уровня 2.

Во что это на самом деле обходится малому бизнесу

Собственный анализ регуляторного воздействия Министерства обороны США (DoD) показывает, что примерно 229 818 из 337 968 затронутых организаций являются малыми предприятиями. Реальная стоимость варьируется сильнее, чем признают поставщики в своих презентациях.

Оценка пробелов (Gap assessment) от независимых консультантов стоит от примерно $3,500 в бюджетном варианте до $20,000 за тщательный обзор (Rev. 2), включая проект SSP. Это лучшее вложение средств перед началом устранения нарушений, так как оно показывает реальный масштаб проекта.

Расходы на устранение несоответствий (Remediation) для малого бизнеса обычно составляют от $35,000 до $115,000 в зависимости от выявленных пробелов. Самые дорогие статьи расходов обычно включают: соответствующую среду Microsoft 365 GCC High (или аналог), системы обнаружения и реагирования на конечных точках (EDR), повсеместную многофакторную аутентификацию, управляемую службу мониторинга событий безопасности (SIEM), а также трудозатраты на написание и внедрение необходимых политик.

Сборы за аудит C3PAO для сертификации Уровня 2 обычно варьируются от $20,000 до $75,000 для небольшой ИТ-среды; для более крупных или сложных систем стоимость выше. Срок ожидания в настоящее время составляет от 3 до 6 месяцев и продолжает расти — существует менее 100 авторизованных организаций C3PAO, обслуживающих около 80 000 подрядчиков Уровня 2, и предложение пока не поспевает за спросом.

Текущие операционные расходы — управляемые услуги, обучение, инструменты, время внутренних сотрудников — обычно добавляют малым предприятиям от $10,000 до $20,000 в год, ежегодно и бессрочно.

Общая стоимость владения (TCO) для небольшой компании, стремящейся к Уровню 2, включая первый цикл сертификации, обычно составляет от $80,000 до $250,000 за три года. Уровень 1 обходится значительно дешевле, часто достижим менее чем за $10,000, если ваша ИТ-среда уже умеренно хорошо управляется.

Эти цифры могут пугать. Однако их можно закладывать в стоимость контрактов. Если ваши контракты не могут покрыть эти расходы, это стратегический вопрос, на который стоит ответить прежде, чем тратить еще один квартал на попытки получить заказы от Министерства обороны.

Лазейка в Плане действий и контрольных точек (POA&M)

Финальная версия правил сохраняет ограниченный механизм POA&M для Уровня 2. Вы можете получить условную сертификацию с открытыми пунктами при условии, что:

  • Ваш общий балл SPRS составляет 88 или выше (из 110).
  • Открытые пункты не входят в список высокоприоритетных мер контроля, которые должны быть полностью выполнены на момент оценки (многофакторная аутентификация, криптография, валидированная по стандарту FIPS, непрерывный мониторинг безопасности и некоторые другие).
  • Вы закрываете каждый открытый пункт в течение 180 дней, после чего итоговая оценка переводит ваш статус из условного в окончательный.

POA&M полезны, но они не заменяют подготовку. Условная сертификация с проваленным 180-дневным сроком закрытия значительно хуже, чем отложенная первоначальная оценка, поскольку это может привести к потере сертификации в середине срока действия контракта.

90-дневный путь для малого подрядчика, начинающего сейчас

Если вы читаете это в середине 2026 года и еще не начали, вот реалистичный сжатый график. Предполагается, что вашей целью является Уровень 2, а ваша среда типична для малого бизнеса с количеством сотрудников от 10 до 50 человек.

Дни 1–14: Определение границ и инвентаризация. Идентифицируйте каждую систему, учетную запись пользователя и поток данных, которые касаются CUI (контролируемой несекретной информации). Большинство малых предприятий сильно переоценивают объем CUI в своей среде; цель — создать минимально возможный защищенный анклав, который по-прежнему соответствует контрактным обязательствам. Решите, будете ли вы использовать выделенный анклав CUI (отдельный теннант Microsoft 365 GCC High или аналогичный) или попытаетесь обеспечить соответствие на уровне всей компании. Для небольших фирм анклавы почти всегда обходятся дешевле.

Дни 15–30: Оценка пробелов. Привлеките зарегистрированную организацию-практика (RPO) или квалифицированного консультанта для проведения оценки пробелов по стандарту NIST SP 800-171 Rev. 2 по 110 мерам контроля и 320 целевым показателям. Настаивайте на письменном отчете с результатами по каждой мере контроля, рекомендациями по устранению и проектом плана безопасности системы (SSP).

Дни 31–60: Спринты по устранению нарушений. Сначала займитесь высокоприоритетными мерами контроля, так как они не могут быть включены в POA&M. Внедрите MFA для каждой учетной записи, имеющей доступ к CUI. Перенесите рабочие нагрузки с CUI в соответствующий требованиям теннант. Разверните системы EDR. Настройте централизованный сбор логов. Напишите или приобретите 14 политических документов, предусмотренных руководством по оценке.

Дни 61–75: Документирование и обучение. Завершите SSP, проведите обучение по безопасности на основе ролей, проведите свои первые внутренние учения по реагированию на инциденты и обновите свой балл SPRS. Сформируйте репозиторий доказательств, который запросит оценщик.

Дни 76–90: Предварительная оценка и бронирование. Проведите внутреннюю имитацию оценки, используя NIST SP 800-171A в качестве критерия. Закройте все оставшиеся пробелы. Подайте запрос на планирование оценки C3PAO — и примите тот факт, что фактическая оценка может состояться через 90–180 дней после даты запроса. Используйте время ожидания для эксплуатации мер контроля; оценщики ищут доказательства устойчивой работы, а не только что созданные политики.

Это агрессивный график. Он достижим для организации с поддержкой руководства, честным определением границ и готовностью к расходам. Организации, пытающиеся внедрить соответствие в разрозненную, недокументированную среду, обычно тратят на это от 9 до 12 месяцев.

Бухгалтерский учет проекта по соблюдению нормативных требований

Две ошибки в финансовом управлении регулярно усложняют проекты CMMC на малых предприятиях.

Первая — это отношение к расходам на соблюдение требований как к одной общей корзине. Грамотный план счетов разделяет разовые затраты на устранение нарушений (во многих случаях капитализируемые), периодические подписки на ПО (операционные расходы), трудозатраты внутреннего персонала (часто распределяемые по нескольким программам) и сборы за оценку (стоимость на уровне контракта, которая может быть допустимой в рамках ставок косвенных затрат для работ с возмещением расходов). Подрядчикам Министерства обороны с системами учета, соответствующими требованиям DCAA, особенно важно точно отслеживать эти категории; неправильная классификация может всплыть спустя годы как сомнительные расходы.

Вторая ошибка — неспособность отслеживать расходы на CMMC в привязке к контракту. Если ваши инвестиции в соблюдение требований были обусловлены конкретными требованиями контракта, вы сможете возместить часть средств через допустимые затраты или ценообразование в последующих заказах. Если вы не можете указать, какой контракт поддержал конкретный потраченный доллар, вы не сможете обосновать свои требования.

Текстовый бухгалтерский учет с контролем версий (Plain-text accounting) идеально подходит для такой среды именно потому, что он оставляет аудируемый след. Каждая транзакция читаема человеком, каждое изменение находится в системе контроля версий, а сами книги могут быть проверены аудитором DCAA без специализированных инструментов от вендоров. Несколько мер контроля в NIST SP 800-171 — особенно в семействах «Аудит и подотчетность» и «Управление конфигурацией» — требуют аналогичных свойств от ИТ-систем, и в том, что финансовые записи соответствуют тому же стандарту, есть определенное изящество.

Распространенные ошибки, которых следует избегать

Несколько паттернов повторяются у малых подрядчиков, которые проваливают свою первую оценку.

Отношение к MFA как к необязательному элементу. Отсутствие многофакторной аутентификации на привилегированных учетных записях — самая частая причина провала проверки контроля. Это также и самая дешевая в исправлении проблема. Решите это на первой же неделе.

Неправильная классификация CUI. Либо пометка слишком большого объема данных как CUI (излишнее расширение границ и стоимости), либо слишком малого (создание реальных рисков). Требуйте от своего контрактного офицера ясности по категориям CUI до того, как определите границы проекта.

Смешивание ИТ-безопасности с соблюдением кибербезопасности. Поставщик управляемых услуг (MSP), который обновляет ваши ноутбуки, — это не то же самое, что RPO или C3PAO. Навыки пересекаются, но работа с документацией, доказательствами и готовностью к оценке — это другая дисциплина.

Недооценка документации. Оценщики не принимают устные объяснения. Каждая мера контроля нуждается в доказательствах, существующих на сегодняшний день, а не в доказательствах, которые компания могла бы предоставить по запросу. Формируйте репозиторий доказательств в процессе устранения нарушений.

Вера в то, что генподрядчик все уладит. Генподрядчики транслируют свои требования по соблюдению норм через субподряды. Они не ваши оценщики и не ваши аудиторы, но они определенно откажутся от субподрядчика, который ставит под угрозу их собственную сертификацию.

Сделайте ваши затраты на соответствие стандартам прозрачными и проверяемыми

Соответствие требованиям кибербезопасности теперь является статьей расходов, которую каждый оборонный подрядчик будет нести на протяжении всего жизненного цикла программы. Точное отслеживание этих затрат — по контрактам, по семействам мер контроля, по расходам на устранение несоответствий в сравнении с операционными расходами — это то, что отличает проект, который можно защитить в ходе аудита DCAA, от проекта, который незаметно съедает вашу маржу. Beancount.io предлагает учет в текстовом формате, обеспечивающий полную прозрачность и контроль версий каждой финансовой записи без привязки к вендору и закрытых отчетов. Начните бесплатно и привнесите в свою бухгалтерию ту же готовность к проверкам, которую CMMC требует от вашей ИТ-инфраструктуры.