Анкета по определению области применения CMMC

Данная анкета предназначена для Альянс Лазаря, чтобы Аккредитованная CMMC независимая организация по оценке (C3PAO), документировать и подтверждать граница в рамках области действия Организация, стремящаяся получить сертификацию (OSC), должна пройти эту сертификацию до проведения полной оценки безопасности. Это соответствует требованиям CMMC в отношении определения границ конфиденциальной информации (CUI), потоков данных, внешних зависимостей и других ключевых элементов определения области действия.

Анкета структурирована по разделам для обеспечения всестороннего определения масштаба проблемы. Ее следует заполнять на основе предоставленной OSC документации, интервью, схем и доказательств.

Об этой анкете

Компания Lazarus Alliance, аккредитованная сторонняя организация по оценке соответствия требованиям CMMC (C3PAO), будет напрямую координировать действия с вашей организацией для подготовки и планирования официальной оценки соответствия требованиям CMMC. Наши опытные оценщики и консультанты C3PAO помогут определить соответствующий уровень воздействия (L1, L2 или L3) и путь сертификации в зависимости от требований вашего федерального заказчика. После успешного завершения независимой оценки C3PAO и выдачи сертификата или предварительного сертификата.

Компания Lazarus Alliance, аккредитованная сторонней организацией по оценке соответствия стандартам CMMC (C3PAO), исторически работает примерно на 46% быстрее, чем традиционные фирмы C3PAO, а это значит, что вы можете получить сертификат за 2-5 месяцев. — Майкл Питерс, генеральный директор и основатель.

Источник информации:

https://lazarusalliance.com/services/audit-compliance/cmmc/

Раздел 1: Общая информация

Раздел 2: Описание системы и границы конфиденциальной информации

Раздел 3: Потоки данных и внешние соединения

Раздел 4: Компоненты и активы

Раздел 5: Оборудование и физическая инфраструктура

Раздел 6: Кадры и роли

Раздел 7: Документация и подтверждение готовности

Раздел 8: Дальнейшие шаги

Благодарим вас за заполнение этой анкеты. Вскоре с вами свяжется специалист Lazarus Alliance CMMC C3PAO Cybervisor.

Официальные шаблоны FedRAMP (включая SSP и RAR) можно найти на веб-сайте FedRAMP (fedramp.gov) и в Руководстве по составлению отчета об оценке готовности 3PAO.

Часто задаваемые вопросы

CMMC — это система, созданная Министерством обороны США для оценки и укрепления мер кибербезопасности организаций, входящих в состав оборонно-промышленной базы (DIB), включая подрядчиков и субподрядчиков. Она обеспечивает защиту конфиденциальной несекретной информации, такой как Информация о федеральных контрактах (FCI) и контролируемая несекретная информация (CUI)В отличие от предыдущих методов самоаттестации, CMMC требует проверки третьей стороной для подтверждения соответствия таким стандартам, как НИСТ СП 800-171.

Типичный срок: 3–6 месяцев от начала до сертификации. Анализ пробелов (4–8 недель) + исправление недостатков + финальное тестирование. C3PAO Оценка (2–4 недели). Lazarus Alliance проводит сертификацию 2-го уровня всего за 10 недель для хорошо подготовленных клиентов.

Стоимость оценки CMMC уровня 2 обычно составляет от... От 25,000 до 85,000 долларов Сроки зависят от размера организации, ее сложности, количества филиалов и текущего уровня соответствия нормативным требованиям. Как правило, сроки составляют... 3-9 месяца От анализа пробелов до окончательной сертификации, с возможностью получения более быстрых результатов для организаций, использующих инструменты автоматизации, такие как Continuum GRC. Как авторизованный C3PAO, мы предлагаем фиксированную стоимость, определение объема работ и четкие сроки выполнения проекта на этапе первоначальной консультации. Свяжитесь с нами для получения индивидуального предложения, учитывающего специфику вашей среды.

  • Уровень 1: Только информация о федеральных контрактах (FCI) → ежегодная самооценка
  • Уровень 2: Контролируемая несекретная информация (CUI) → третья сторона C3PAO сертификация (наиболее распространенная)
  • Уровень 3: Программы высокого риска CUI → под руководством правительства (DIBCAC) Lazarus Alliance проводит бесплатный предварительный звонок для подтверждения вашего точного уровня.

сертифицированная организация по оценке третьей стороны CMMC (C3PAO)Lazarus Alliance координирует аттестацию, определяет необходимый уровень сертификации в соответствии с потребностями вашего бизнеса и проводит аттестацию с привлечением опытных команд Cybervisor™. После успешной демонстрации зрелости в области кибербезопасности и соответствующих процессов мы выдаем сертификат сроком на три года с обязательным ежегодным подтверждением.

Процесс включает в себя: (1) Определение вашего уровня на основе обработанных данных; (2) Внедрение необходимых элементов управления (с планами действий и контрольными точками для незначительных пробелов на уровнях 2/3); (3) Прохождение оценки C3PAO (например, Lazarus Alliance) для уровней 1–2 или DIBCAC для уровня 3; (4) публикация результатов и подтверждений в Системе оценки рисков деятельности поставщиков (SPRS); и (5) ежегодное обеспечение соответствия требованиям. Сертификации выдаются на три года, а полное внедрение будет осуществляться поэтапно до 2028 года.

Требования CMMC будут появляться в заявках Министерства обороны с октября 2025 года с поэтапным внедрением в течение трех лет:

  • 2025 (Этап 1): 5–15 % контрактов с упором на самооценку для Уровня 1 и частично для Уровня 2.
  • 2026 (Этап 2): 20–50 % контрактов, увеличение числа сторонних оценок уровня 2.
  • 2027+ (Этап 3): Полная интеграция со всеми применимыми контрактами, включая Уровень 3. Несоблюдение требований приведет к отстранению организаций от участия в соответствующих торгах.

Все генеральные подрядчики и субподрядчики Министерства обороны США, работающие с FCI или CUI в DIB, должны соответствовать установленным требованиям. Это касается большинства предприятий оборонной промышленности, но исключения могут применяться к готовым коммерческим товарам (COTS). Если ваша организация работает с конфиденциальными данными Министерства обороны США, даже косвенно через цепочку поставок, сертификация крайне важна.

CMMC 2.0 — это обязательная программа сертификации Министерства обороны США по кибербезопасности, которая защищает FCI и CUI. Требования начнут появляться в контрактах Министерства обороны США в конце 2025 года, а их полное исполнение для всех соответствующих контрактов вступит в силу к 2028 году. Несоблюдение требований приведет к дисквалификации вас от участия в торгах.

Continuum GRC — наша собственная платформа, включающая в себя: А.ITAMBot — аудитор на основе искусственного интеллекта.Это значительно сокращает время и затраты на обеспечение соответствия требованиям CMMC за счет автоматизации сбора доказательств, сопоставления контрольных мер, непрерывного мониторинга, оценки рисков и управления планами действий и менеджмента. Для клиентов по всей стране и за рубежом это обеспечивает совместную работу в режиме реального времени, наследование контрольных мер и упрощение документооборота, часто сокращая время подготовки на 40-60%. Это дает нашему процессу оценки C3PAO значительное преимущество в эффективности по сравнению с традиционными ручными подходами.