Beancount.io LogoBeancount.io

CMMC 2.0 та NIST 800-171 у 2026 році: Дорожня карта сертифікації для малого оборонного підрядника

13 хв. читанняMike ThriftMike Thrift
CMMC 2.0 та NIST 800-171 у 2026 році: Дорожня карта сертифікації для малого оборонного підрядника

Якщо ви постачаєте щось Міністерству оборони США — від механічних деталей до програмного забезпечення, від логістичних послуг до інженерних креслень — час для вашого бізнесу вже спливає. Програма сертифікації моделі зрілості кібербезпеки (CMMC) офіційно з'явилася в контрактах Міноборони 10 листопада 2025 року, а етап сертифікації третьою стороною, що розпочнеться 10 листопада 2026 року, тихо дискваліфікує тисячі малих субпідрядників, які вважали, що мають більше часу.

Найнеприємнішим фактом щодо CMMC є те, що це насправді не новий звід правил. Це механізм перевірки вимог кібербезпеки, які були закріплені в Додатку до федеральних правил закупівель для оборонних відомств (DFARS) ще з 2017 року. Галузеві опитування досі показують, що менше 15 відсотків оборонних підрядників повністю впровадили ці базові заходи контролю NIST SP 800-171. Саме цю прогалину покликана виявити CMMC — і саме ця прогалина тепер є контрактно значущою для того, виграєте ви тендер чи програєте.

Цей посібник призначений для власників, операційних директорів та ІТ-керівників малих підприємств, яким раптово знадобилося перекласти фреймворк із 110 заходів контролю, посібник з оцінки з 320 цілями та трирівневу модель сертифікації на мову, зрозумілу для бюджетування, планування та виконання до завершення наступного збору пропозицій.

Три рівні простими словами

CMMC 2.0 скорочує оригінальну п'ятирівневу модель до трьох. Рівень, який вам потрібен, визначається типом урядової інформації, яку ви обробляєте, а не розміром вашої компанії чи вартістю вашого контракту в доларах.

Рівень 1 (Базовий) застосовується, якщо вашою єдиною інформацією, пов'язаною з Міноборони, є інформація про федеральні контракти (FCI) — непублічна інформація, створена в межах або для контракту, яку уряд не призначив для публічного оприлюднення. Подумайте про замовлення на закупівлю, графіки поставок, базові дані про технічне завдання. Рівень 1 відповідає 17 базовим заходам захисту в пункті FAR 52.204-21 і підтверджується шляхом щорічної самооцінки з афірмацією вищої посадової особи в Системі ризиків ефективності постачальників Міноборони (SPRS).

Рівень 2 (Розширений) застосовується в той момент, коли будь-яка контрольована нетаємна інформація (CUI) потрапляє у ваше середовище. CUI — це ширша категорія, яка включає технічні дані з обмеженням експорту, контрольовану технічну інформацію, інформацію про морські ядерні установки, певні типи персональних даних та інші категорії, визначені в Реєстрі CUI. Рівень 2 вимагає впровадження всіх 110 заходів контролю NIST SP 800-171 Revision 2, оцінених за 320 об'єктами оцінки в NIST SP 800-171A. Більшість контрактів Рівня 2 вимагають трирічної оцінки Сертифікованою сторонньою організацією-оцінювачем (C3PAO). Невелика частина контрактів на "некритичну CUI" може дозволяти щорічну самооцінку, але не варто припускати, що ваш контракт підпадає під це, якщо про це прямо не скаже відповідальний за закупівлі.

Рівень 3 (Експертний) зарезервований для підрядників, які працюють із CUI, пов'язаною з найпріоритетнішими програмами Міноборони США. Він додає 24 заходи контролю з NIST SP 800-172 до 110 заходів із 800-171 і оцінюється Центром оцінки кібербезпеки оборонно-промислової бази (DIBCAC). Якщо ви ще не знаєте, що вам потрібен Рівень 3, ви майже напевно на нього не претендуєте.

Практичне значення: якщо ваш бізнес коли-небудь отримує технічні креслення, специфікації з позначкою CUI, дані під контролем ITAR або будь-що, що генпідрядник описує як "контрольоване", ви працюєте за Рівнем 2 і повинні планувати свій бюджет відповідно до цього.

Що змінилося в остаточній редакції правила

Поправка до DFARS, яка кодифікує CMMC, набула чинності 10 листопада 2025 року з поетапним чотирирічним впровадженням. Дві частини правила заслуговують на увагу, оскільки їх часто неправильно розуміють.

По-перше, пункт DFARS 252.204-7019 — окрема вимога щодо проведення базової самооцінки NIST SP 800-171 та внесення балів у SPRS — була об'єднана з пунктами CMMC і більше не існує як окреме положення. Багато малих підприємств досі працюють, припускаючи, що внесення результатів самооцінки є завершенням їхніх зобов'язань щодо відповідності. Після 10 листопада 2025 року це лише мінімум, необхідний для участі в торгах, а після 10 листопада 2026 року цього буде недостатньо для більшості контрактів, що передбачають CUI.

По-друге, DFARS 252.204-7021 робить сертифікацію CMMC умовою для присудження контракту та вимагає від підрядника підтримувати цю сертифікацію протягом усього періоду виконання. Це означає, що термін дії вашої сертифікації не може просто закінчитися посеред контракту; якщо це станеться, у вас виникне проблема з відповідністю, яка передасться по всьому ланцюжку поставок до головного виконавця.

По-третє, DFARS 252.204-7012 — пункт про звітність про інциденти, що діє з 2017 року — залишається в силі. У вас все ще є 72 години на повідомлення про кіберінцидент, що впливає на захищену оборонну інформацію, і ви все одно повинні надати носії для форензичного аналізу за запитом.

14 родин заходів контролю: роз’яснення

110 заходів контролю Рівня 2 організовані у 14 родин, які повторюють структуру NIST SP 800-171. Ознайомлення з ними зрозумілою мовою допомагає побачити, де саме зосереджена основна робота.

Контроль доступу (22 заходи) визначає, хто може входити в систему, що вони можуть бачити та що можуть робити після входу. Будьте готові до інвентаризації кожного користувача, ролі та спільного облікового запису у вашому середовищі.

Обізнаність та навчання (3 заходи) вимагають документально підтвердженого навчання з питань кібербезпеки для всіх користувачів та рольового навчання для привілейованих користувачів. Самих лише стандартних модулів про фішинг недостатньо.

Аудит та підзвітність (9 заходів) вимагають, щоб ваші системи створювали, захищали та перевіряли журнали подій (логи), достатні для реконструкції того, що сталося під час інциденту. Багато малих підприємств зазнають невдачі тут не тому, що не можуть генерувати логи, а тому, що їх ніхто не перевіряє.

Управління конфігурацією (9 заходів) вимагає від вас встановлення базових конфігурацій для кожної системи, що обробляє CUI (контрольовану нетаємну інформацію), і управління змінами цих конфігурацій. Саме тут несанкціоноване програмне забезпечення та «тіньові ІТ» стають зауваженнями під час аудиту.

Ідентифікація та автентифікація (11 заходів) — це родина багатофакторної автентифікації. MFA для привілейованих облікових записів не підлягає обговоренню. MFA для всіх облікових записів, що мають доступ до CUI, — це практична інтерпретація, яку застосовують аудитори.

Реагування на інциденти (3 заходи) вимагає перевіреної спроможності реагування на інциденти з документованими процедурами, навчанням та звітністю. 72-годинний термін згідно з DFARS 7012 робить це конкретною вимогою.

Технічне обслуговування (6 заходів) контролює, як ви здійснюєте обслуговування систем, що обробляють CUI, включаючи дистанційне обслуговування та нагляд за постачальниками, які мають доступ до вашого середовища.

Захист носіїв (9 заходів) охоплює маркування, транспортування, санітарну обробку та знищення носіїв, що містять CUI — так, включаючи той USB-накопичувач, на якому зберігаються резервні копії інженерних даних.

Безпека персоналу (2 заходи) вимагає перевірки перед наданням доступу до CUI та гарантує припинення доступу після звільнення працівника.

Фізичний захист (6 заходів) регулює фізичний доступ до об’єктів, де обробляється CUI, включаючи журнали відвідувачів та засоби захисту обладнання.

Оцінка ризиків (3 заходи) вимагає періодичних оцінок ризиків та сканування на вразливості ваших систем, що входять в область перевірки.

Оцінка безпеки (4 заходи) вимагає наявності документованого Плану безпеки системи (SSP) та Плану дій і етапів (POA&M) — двох артефактів, які кожен оцінювач відкриває насамперед.

Захист систем та зв’язку (16 заходів) охоплює захист периметра, шифрування під час передачі, шифрування у стані спокою та архітектурне відокремлення CUI від інших даних.

Цілісність систем та інформації (7 заходів) охоплює усунення недоліків, захист від шкідливого коду та моніторинг.

110 заходів контролю розгортаються у 320 цілей оцінювання в NIST SP 800-171A. Кожна ціль — це окреме запитання «так чи ні», яке поставить оцінювач, і кожна потребує доказів — політики, скріншота конфігурації, зразка логу, підписаного підтвердження. Розробники репозиторіїв доказів відповідності зазвичай оцінюють обсяг у 600–1200 окремих одиниць доказів для успішного проходження оцінювання Рівня 2.

Скільки це насправді коштує малому бізнесу

Аналіз регуляторного впливу Міністерства оборони США (DoD) свідчить, що приблизно 229 818 із 337 968 залучених організацій є малими підприємствами. Реальна вартість варіюється сильніше, ніж обіцяє будь-яка презентація постачальника.

Оцінка розбіжностей (Gap assessment) від незалежних консультантів коштує приблизно від $3 500 на низькому рівні до $20 000 за ретельний огляд згідно з версією Rev. 2, включаючи чернетку SSP. Це найкраще вкладення грошей перед початком виправлень, оскільки воно показує реальний обсяг проекту.

Витрати на усунення недоліків для малого бізнесу зазвичай становлять від $35 000 до $115 000 залежно від виявлених розбіжностей. Найдорожчими елементами зазвичай є: сумісний хмарний сервіс Microsoft 365 GCC High (або еквівалент), рішення для виявлення та реагування на кінцевих точках (EDR), багатофакторна автентифікація всюди, керована служба управління інформацією та подіями безпеки (SIEM), а також оплата праці для розробки та впровадження необхідних політик.

Збори за оцінювання C3PAO для сертифікації Рівня 2 зазвичай варіюються від $20 000 до $75 000 для невеликого середовища, а для більших або складніших середовищ ця сума зростає. Термін очікування наразі становить від 3 до 6 місяців і збільшується — існує менше 100 авторизованих організацій C3PAO, які обслуговують приблизно 80 000 підрядників Рівня 2, і пропозиція поки що не встигає за попитом.

Поточні операційні витрати — керовані послуги, навчання, інструментарій, час внутрішнього персоналу — зазвичай додають від $10 000 до $20 000 на рік для малого бізнесу, щороку, на постійній основі.

Загальна вартість володіння для невеликої компанії Рівня 2, включаючи перший цикл сертифікації, зазвичай становить від $80 000 до $250 000 протягом трьох років. Рівень 1 коштує значно менше, його часто можна досягти за суму до $10 000, якщо ваше середовище вже помірно добре кероване.

Ці цифри можуть здатися завеликими. Але їх можна закладати в кошторис пропозицій. Якщо ваші контракти не можуть їх покрити — це стратегічне питання, на яке варто відповісти, перш ніж витратити ще один квартал на боротьбу за контракти Міністерства оборони.

Лазівка в Плані дій та віхах (POA&M)

Остаточне правило зберігає обмежений механізм POA&M для Рівня 2. Ви можете отримати умовну сертифікацію з відкритими пунктами за умови, що:

  • Ваш загальний бал SPRS становить 88 або вище (зі 110).
  • Відкриті пункти не входять до списку високовартісних засобів контролю, які мають бути повністю впроваджені на момент оцінювання (багатофакторна автентифікація, криптографія, сертифікована за FIPS, безперервний моніторинг безпеки та невелика кількість інших).
  • Ви закриєте кожен відкритий пункт протягом 180 днів, після чого перевірка виконання (closeout assessment) змінить ваш умовний статус на остаточний.

POA&M корисні, але вони не замінюють підготовку. Умовна сертифікація з невдалим закриттям протягом 180 днів суттєво гірша за відтерміноване початкове оцінювання, оскільки це може призвести до втрати сертифікації в розпал виконання контракту.

90-денний шлях для малого підрядника, що починає зараз

Якщо ви читаєте це в середині 2026 року і ще не почали, ось реалістичний стислий графік. Передбачається, що Рівень 2 є вашою метою, а ваше середовище типове для малого бізнесу з кількістю працівників від 10 до 50 осіб.

Дні 1–14: Визначення обсягу та інвентаризація. Визначте кожну систему, обліковий запис користувача та потік даних, що стосується CUI. Більшість малих підприємств суттєво переоцінюють обсяг CUI у своєму середовищі; мета полягає в створенні найменшого захищеного анклаву, який при цьому відповідає контрактним зобов’язанням. Вирішіть, чи будете ви використовувати виділений анклав CUI (окремий тенент Microsoft 365 GCC High або еквівалент), чи намагатиметеся забезпечити відповідність у межах усього підприємства. Для невеликих компаній анклави майже завжди обходяться дешевше.

Дні 15–30: Gap-аналіз (оцінка розривів). Залучіть зареєстровану організацію-практика (RPO) або кваліфікованого консультанта для проведення оцінки розривів згідно з NIST SP 800-171 Rev. 2 щодо 110 засобів контролю та 320 цілей. Наполягайте на письмовому звіті з висновками по кожному засобу контролю, рекомендаціями щодо усунення невідповідностей та проєктом плану безпеки системи (SSP).

Дні 31–60: Спринти з усунення невідповідностей. Спершу візьміться за високовартісні засоби контролю, оскільки вони не можуть бути внесені до POA&M. Налаштуйте MFA для кожного облікового запису, що має доступ до CUI. Перенесіть робочі навантаження CUI у відповідний тенент. Розгорніть EDR. Налаштуйте централізований збір логів. Напишіть або придбайте 14 політичних документів, передбачених посібником з оцінювання.

Дні 61–75: Документація та навчання. Завершіть розробку SSP, пройдіть навчання з безпеки на основі ролей, проведіть свої перші штабні навчання з реагування на інциденти та оновіть свій бал SPRS. Сформуйте репозиторій доказів, який вимагатиме аудитор.

Дні 76–90: Попереднє оцінювання та бронювання. Проведіть внутрішню імітацію оцінювання, використовуючи NIST SP 800-171A як критерій. Усуньте залишки розривів. Подайте запит на планування перевірки C3PAO — і будьте готові до того, що фактичне оцінювання може відбутися через 90–180 днів після дати запиту. Використовуйте час очікування для експлуатації засобів контролю; аудитори шукають докази стабільної роботи, а не щойно створені політики.

Цей графік є агресивним. Він цілком досяжний для організації, де керівництво зацікавлене в результаті, обсяг робіт визначено чесно, а компанія готова витрачати кошти. Організації, які намагаються впровадити комплаєнс у розгалужене, недокументоване середовище, зазвичай витрачають на це від 9 до 12 місяців.

Бухгалтерський облік для проєкту з комплаєнсу

Дві помилки у фінансовому управлінні зазвичай ускладнюють проєкти CMMC у малому бізнесі.

Перша — це розгляд витрат на комплаєнс як однієї загальної категорії. Чіткий план рахунків відокремлює одноразові витрати на усунення невідповідностей (які в багатьох випадках можна капіталізувати), регулярні підписки на програмне забезпечення (операційні витрати), трудовитрати внутрішнього персоналу (часто розподіляються між кількома програмами) та витрати на оцінювання (витрати на рівні контракту, які можуть бути дозволені за ставками непрямих витрат для робіт із відшкодуванням витрат). Оборонним підрядникам, чиї системи обліку підпадають під вимоги DCAA, особливо важливо точно відстежувати ці категорії; неправильна класифікація може виявитися через роки як сумнівні витрати.

Друга помилка — відсутність відстеження витрат на CMMC у розрізі контрактів. Якщо ваші інвестиції в комплаєнс були зумовлені вимогами конкретного контракту, ви зможете відшкодувати частину коштів через дозволені витрати або врахувати їх у ціні наступних замовлень. Якщо ви не можете вказати, який саме контракт підтримав певний долар витрат, ви не зможете довести свою позицію.

Текстовий бухгалтерський облік із контролем версій ідеально підходить для такого середовища саме тому, що він залишає слід, придатний для аудиту. Кожна транзакція зрозуміла людині, кожна зміна зафіксована в системі контролю версій, а самі книги можуть бути перевірені аудитором DCAA без спеціалізованих інструментів від вендорів. Кілька засобів контролю в NIST SP 800-171 — особливо в родинах «Аудит та підзвітність» та «Керування конфігурацією» — вимагають подібних властивостей від ІТ-систем, і в тому, щоб фінансові записи відповідали тим самим стандартам, є певна витончена логіка.

Типові сценарії невдач, яких слід уникати

Кілька патернів повторюються серед малих підрядників, які провалюють своє перше оцінювання.

Розгляд MFA як необов'язкового заходу. Багатофакторна автентифікація для привілейованих облікових записів — найпоширеніша причина відмови у сертифікації. Це також найдешевше виправлення. Вирішіть це питання в перший же тиждень.

Неправильна класифікація CUI. Або маркування занадто великої кількості даних як CUI (невиправдане розширення обсягу та вартості), або маркування занадто малої кількості (створення реальних ризиків). Вимагайте від свого контрактного офіцера чітких роз'яснень щодо категорій CUI до того, як визначите обсяг проєкту.

Змішування ІТ-безпеки з комплаєнсом кібербезпеки. Провайдер керованих послуг (MSP), який оновлює ваші ноутбуки, — це не те саме, що RPO або C3PAO. Навички перетинаються, але документація, доказова база та робота з підготовки до оцінювання — це зовсім інша дисципліна.

Недооцінювання документації. Аудитори не враховують усні пояснення. Кожен засіб контролю потребує доказів, які існують вже сьогодні, а не тих, які компанія могла б надати за запитом. Формуйте репозиторій доказів у процесі усунення невідповідностей.

Віра в те, що генпідрядник про все подбає. Генпідрядники передають свої вимоги щодо відповідності через субпідряди. Вони не є вашими оцінювачами чи аудиторами, але вони без вагань відмовляться від субпідрядника, який ставить під загрозу їхню власну сертифікацію.

Зберігайте витрати на комплаєнс прозорими та придатними для аудиту

Комплаєнс у сфері кібербезпеки тепер є окремою статтею витрат, яку кожен оборонний підрядник нестиме протягом усього життєвого циклу програми. Чітке відстеження цих витрат — за контрактом, за сімейством заходів контролю, за витратами на усунення невідповідностей порівняно з операційними витратами — це різниця між проєктом, який ви можете захистити під час аудиту DCAA, і проєктом, який непомітно зменшує вашу маржу. Beancount.io пропонує облік у текстовому форматі (plain-text accounting), що забезпечує повну прозорість і контроль версій кожного фінансового запису без прив'язки до вендора та закритих звітів. Почніть безкоштовно і забезпечте таку ж готовність до аудиту у вашій бухгалтерії, якої CMMC вимагає від вашого ІТ-середовища.