Co znamená zkratka DFARS?

Jestliže jste klientem nebo firmou, která podporuje klienty sloužící ministerstvu obrany (DoD) jako dodavatel nebo subdodavatel, pravděpodobně jste již slyšeli o Defense Federal Acquisition Regulation Supplement (DFARS). Ochrana citlivých informací o národní obraně sdílených se soukromými organizacemi, které podporují zakázky federální vlády a které jsou jimi vytvářeny a udržovány, je pro naši národní bezpečnost životně důležitá. Dodavatelé ministerstva obrany, kteří zpracovávají, šíří, uchovávají nebo přenášejí kontrolované neutajované informace (CUI), musí splňovat minimální bezpečnostní standardy DFARS, jinak riskují ztrátu stávajících smluv ministerstva obrany a způsobilosti k získání budoucích smluv.

Požadavky na dodržování bezpečnostních standardů DFARS musí dodavatelé i subdodavatelé uplatňovat podle pokynů uvedených ve zvláštní publikaci 800-171 Národního institutu pro standardy a technologie (NIST) „Ochrana kontrolovaných neutajovaných informací v nefederálních informačních systémech a organizacích“. Požadavky na shodu s DFARS jsou naštěstí souborem standardních bezpečnostních kontrolních mechanismů založených na osvědčených postupech, které se již pro zabezpečení informací používají, takže shoda nepředstavuje náročný úkol. Pravidla kybernetické bezpečnosti DFARS, podčást 204.73 (revidovaná 28. prosince 2017), „Zabezpečení krytých obranných informací a hlášení kybernetických incidentů“ naleznete zde: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm

Ochrana krytých obranných informací

Pro dosažení souladu s nařízením DFARS v oblasti kybernetické bezpečnosti musí informační systémy dodavatele v oblasti obrany poskytovat stejnou ochranu a splňovat stejné požadavky na soulad s nařízením DFARS pro federální data jako interní federální informační systém. Ochrana krytých obranných informací (CDI) je základním požadavkem DFARS a CDI je podmnožinou kontrolovaných neutajovaných informací (CUI). CDI jsou dodavateli poskytnuty ministerstvem obrany a dodavatel je odpovědný za ochranu bezpečnosti a integrity těchto informací. CDI má čtyři podkategorie: kontrolované technické informace (CTI), bezpečnostní informace o operacích, informace podléhající kontrole vývozu a další označené informace, které vyžadují ochranu.

Posuďte, zda splňujete požadavky DFARS

CTI jsou technické informace související s vojenskými operacemi, nejsou však považovány za obecné informace DoD. Prohlížení CTI nevyžaduje bezpečnostní prověrku, nejedná se však o veřejně dostupné informace. CTI podléhá kontrole přístupu k ní, jejímu zobrazování, používání, zveřejňování, reprodukci, úpravám, provádění nebo šíření. DFARS poskytuje další definici CTI, která zahrnuje:

  • Inženýrské a výzkumné údaje
  • Inženýrské výkresy a související údaje
  • Data Sets
  • Specifications
  • Standards
  • Manuals
  • Technical reports and orders
  • Studies, analyses and related information
  • Computer software code and source code
  • Process sheets

Minimum Requirements for Federal Contractors

DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. Podle ustanovení DFARS 252.204-7012 „Ochrana citlivých obranných informací a hlášení kybernetických incidentů“ musí dodavatelé DoD dodržovat speciální publikaci NIST 800-171, která poskytuje dodavatelům rámec požadavků na ochranu citlivých obranných informací v neutajovaných nefederálních systémech a hlášení kybernetických bezpečnostních incidentů.

Předpisový rámec DFARS Clause 252.204-7012 vyžaduje, aby dodavatelé v oblasti obrany konkrétně zdokumentovali, jak jsou splněny následující složky požadavku:

  • První složka zahrnuje zajištění odpovídajícího zabezpečení všech nefederálních krytých informačních systémů dodavatele. Adekvátní zabezpečení je definováno jako ochranná opatření odpovídající škodám, které by mohly vzniknout v důsledku neoprávněného přístupu, ztráty, zneužití nebo modifikace informací v důsledku bezpečnostního incidentu. Soulad s pokyny NIST SP 800-171 účinně zajišťuje „přiměřenou bezpečnost“
  • Druhá složka zahrnuje hlášení kybernetických bezpečnostních incidentů. Minimální požadované prvky hlášení kybernetických incidentů naleznete zde: http://dibnet.dod.mil. Portál DIBNet je bránou pro dodavatele a subdodavatele ministerstva obrany, kteří mohou hlásit kybernetické incidenty a dobrovolně se zapojit do programu kybernetické bezpečnosti ministerstva obrany.

Jestliže se zjistí, že součástí hlášeného incidentu je škodlivý software, je třeba popis události zaslat také Centru kybernetické kriminality DoD. Pokyny pro hlášení incidentů vyžadují uchování a ochranu obrazů všech známých zasažených informačních systémů a všech relevantních dat z monitorování/ zachycení paketů po dobu minimálně 90 dnů od podání zprávy o kybernetickém incidentu. Pokud se ministerstvo obrany rozhodne provést formální posouzení škod způsobených kybernetickou bezpečnostní událostí, bude dodavatel povinen předložit média a další materiály, které toto posouzení podporují.

Understanding DFARS 252.204-7012 and NIST SP 800-171

Konkrétní požadavky DFARS jsou podrobněji prozkoumány níže.

Řízení subdodavatelů a dodavatelského řetězce

Doložka 252.204-7012 DFARS byla změněna tak, aby omezovala dodržování flow-down na subdodavatele a dodavatele, jejichž úsilí zahrnuje CDI nebo je považováno za kritickou podporu provozu. Hlavní dodavatelé DoD podle DFARS jsou povinni být proaktivní tím, že posílí celý dodavatelský řetězec a zajistí nejen vlastní soulad s DFARS, ale zajistí, aby soulad prokázali i subdodavatelé. V důsledku toho jsou subdodavatelé odpovědní za nahlášení jakýchkoli postupů, které by se mohly odchylovat od pokynů DFARS a NIST 800-171, a to předtím, než je jakákoli CDI sdílena se subdodavatelem. Je důležité, aby hlavní dodavatel kontroloval, jaké informace se dostávají k subdodavatelům na základě údajů CDI, ke kterým bude subdodavatel potřebovat přístup, aby mohl vykonávat přidělenou práci v rámci federální zakázky.

Hlášení kybernetických bezpečnostních incidentů

Odpovědností dodavatele podle standardů DFARS v případě kybernetického bezpečnostního incidentu, který ohrožuje integritu informací nebo informační systém, je rychlé hlášení, které vyžaduje nahlášení incidentu DoD do 72 hodin. Pro určení rozsahu potenciálního ohrožení se vyžaduje posouzení, které musí obsahovat minimálně seznam ohrožených systémů, technických dat a uživatelů a seznam všech dalších systémů, které mohly být ohroženy. Posouzení musí rovněž poskytnout důkladný přehled systému a metody prevence případných budoucích incidentů.

Kybersecurity events experienced by subcontractors must be reported to the prime contractor or to the next tier subcontractor, with evidence provided per DFARS requirements. Hlavní dodavatel je odpovědný za hlášení incidentů DoD s předložením důkazů podle výše uvedených podrobností pro dodavatele.

Poskytovatelé cloudových služeb

Pokud dodavatel využívá poskytovatele cloudových služeb k ukládání, zpracování nebo přenosu informací CDI pro zakázku DoD, existují tři bezpečnostní standardy, které mohou být relevantní pro soulad s DFARS:

  • Dodavatel, který využívá cloudové řešení k ukládání nebo zpracování dat pro zakázku DoD, musí zajistit, aby poskytovatel cloudových služeb splňoval bezpečnostní požadavky stanovené v mírném základu Federálního programu řízení rizik a autorizace („FedRamp“), a musí splňovat specifické požadavky DFARS včetně požadavků na hlášení incidentů.
  • NIST SP 800-171 standardy jsou použitelné, pokud dodavatel používá interní cloud computing (nikoli platformu třetí strany) v podnikovém systému k hostování nebo zpracování dat pro podporu zakázky DoD.
  • Dodavatel, který používá cloud-computing k poskytování IT služeb pro DoD, musí splňovat požadavky uvedené v „Cloud Computing Security Requirements Guide“ (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html. SRG popisuje bezpečnostní model, který poskytuje kontroly a požadavky na úroveň služeb a zabezpečení pro dodavatele při zavádění a udržování fyzických, administrativních a technických bezpečnostních kontrol nezbytných pro využívání služeb založených na cloudu.

Prokázání souladu s DFARS

V současné době je za dostatečné prokázání souladu s DFARS považováno vlastní osvědčení, takže audit třetí stranou není vyžadován. K vyřešení případných otázek postačí dobře zdokumentovaný SSP založený na standardu NIST 800-171, který propojuje kontroly s jejich implementací, nebo kompenzační kontrola. Při technickém hodnocení návrhu státní zakázky lze využít SSP a lze také požadovat plán opatření a milníků (POA&M) k doložení shody v rámci zvažování udělení zakázky DoD.

Pro výrobce, kteří dodávají výrobky v rámci dodavatelských řetězců pro DoD, poskytuje NIST příručku pro sebehodnocení, NIST Handbook 162, „NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements“. Příručka poskytuje návod, jak krok za krokem posoudit informační systémy malého výrobce z hlediska bezpečnostních požadavků uvedených v dokumentu NIST SP 800-171.

Buďte připraveni – audity shody se blíží

V lednu 2019 vydal náměstek ministra obrany memorandum, které dokumentuje záměr provést audit dodavatelského řetězce ministerstva obrany z hlediska shody s DFARS. Toto memorandum pověřuje Agenturu pro řízení obranných smluv (DCMA), aby provedla audit u všech dodavatelů prvního stupně a ověřila, zda dodavatelé splňují požadavky ustanovení 252.204-7012 DFARS. Audit DCMA u organizace se smlouvou DoD s CDI bude obecně zahrnovat následující:

  • Ověření, že dodavatel má SSP
  • Ověření, že dodavatel předložil 30denní oznámení se seznamem všech dosud nezavedených bezpečnostních kontrol.
  • Ověření, že dodavatel má platný certifikát PKI (Public Key Infrastructure) se střední zárukou, který je vyžadován pro hlášení kybernetických incidentů (ECA Certificate Policy https://iase.disa.mil/pki/eca/Pages/index.aspx).

Požadavky na audit vyžadují přímé posouzení DCMA pouze u dodavatelů prvního stupně, očekává se však, že to bude mít dopad na celý dodavatelský řetězec DoD i u obchodních partnerů dodavatele. Pokud chce organizace soutěžit o zakázky DoD na trhu dodavatelského řetězce a být schopna prokázat odpovědnost snadným „ano“ v průzkumu dodavatelů podle DFARS, buďte aktivní a obraťte se na odborníka zaměřeného na bezpečnost – externího poskytovatele řízených bezpečnostních služeb (MSSP). MSSP se specializovanými odbornými znalostmi v oblasti požadavků na shodu s DFARS pro dodavatele DoD pomůže vaší organizaci s provedením požadovaného posouzení a auditu a provede veškeré nápravné práce nezbytné k dosažení shody s DFARS.

Dosažení shody se standardy DFARS/NIST SP 800-171 není jednorázové řešení. Jedná se o nepřetržitý proces hodnocení, monitorování a zlepšování, který zajistí, že si vaše organizace udrží soulad s neustále se vyvíjejícími bezpečnostními požadavky, a tím i způsobilost jako dodavatel DoD. MSSP, jako je RSI Security, se specializovanými odbornými znalostmi v oblasti služeb zajišťování shody pro dodavatele DoD, kteří musí splňovat požadavky DFARS a sledovat kybernetickou bezpečnost, pomůže vaší organizaci při provádění požadovaného hodnocení a auditu a při provádění veškerých nápravných prací nezbytných k dosažení shody s DFARS/NIST SP 800-171. Obraťte se na nás ještě dnes a získejte osobní pomoc se všemi svými potřebami v oblasti poradenských služeb týkajících se shody s předpisy.

Dodavateli v oblasti obrany, u něhož by ministerstvo obrany provedlo audit a zjistilo, že není v souladu s předpisy, by pravděpodobně hrozil příkaz k zastavení činnosti. To by znamenalo, že veškeré práce prováděné pro zakázku DoD by byly pozastaveny, dokud nebudou zavedena vhodná bezpečnostní opatření k účinné ochraně CDI. Ministerstvo obrany by také mohlo uložit finanční sankce, které by mohly zahrnovat náhradu škody za porušení smlouvy nebo falešná tvrzení. V závažných případech nedodržení předpisů by ministerstvo obrany mohlo ukončit smlouvy nebo dokonce pozastavit dodavateli další spolupráci s ministerstvem obrany.

Co mohou dodavatelé udělat, aby byli připraveni

Chcete-li být připraveni podle současných a budoucích vyvíjejících se požadavků DFARS, mohou dodavatelé aktivně postupovat následujícím způsobem:

  • Prohlédněte si bezpečnostní kontroly NIST SP 800-171 a ověřte, zda bezpečnostní kontroly vaší organizace poskytují odpovídající ochranu proti široké škále potenciálních kybernetických útoků.
  • Provedete posouzení nedostatků, abyste zjistili, zda nejsou splněny některé požadované bezpečnostní kontroly, a zjištěné nedostatky odstraníte vypracováním SSP a POA&M
  • Pracuje-li vaše organizace se subdodavateli a dodavateli, vypracujte plán posouzení jejich shody a zajistěte, aby všechny informace CDI, které proudí k subdodavatelům, byly chráněny odpovídajícími bezpečnostními kontrolami.
  • Vypracujte plán sledování požadavků na tok informací CDI směrem dolů pro sdílení informací se subdodavateli a dodavateli v rámci celého dodavatelského řetězce.

Kontrolní seznam shody s DFARS může být také užitečným nástrojem při přípravě na dosažení shody s DFARS.

Služba MSSP, jako je RSI Security, která má specializované odborné znalosti v oblasti služeb shody pro dodavatele DoD, může vaší organizaci pomoci při posuzování současné shody a provádění nápravných prací nezbytných k dosažení shody s DFARS/NIST SP 800-171. Obraťte se na nás ještě dnes a získejte osobní pomoc se všemi potřebami v oblasti hodnocení a dodržování předpisů.

Nabídka společnosti RSI Security:

Společnost RSI Security již 10 let pomáhá všem, od korporací až po jednotlivé dodavatele, projít souladem s předpisy DFARS. Patříme ke špičce v oblasti digitálního zabezpečení a poradenství. Jsme dobře obeznámeni se všemi aspekty shody se zabezpečením a zajistíme vám včasnou shodu se směrnicí DFARS. Máme také pozitivní vztahy s ministerstvem obrany, které mohou zmírnit některé překážky, jež přicházejí při tak komplikovaném úsilí.

Naše bezpečnostní služby jsou prvotřídní po celou dobu a využívají nejlepší nástroje, ustanovení a postupy, aby byla vaše společnost v bezpečí před rušivým narušením bezpečnosti dat. Posouzení zranitelnosti, monitorování chování v reálném čase, detekce narušení, sofistikované sledování digitálních vzorů a neodmyslitelné porozumění tomu, jak pracují hackeři, jsou jen některé z důvodů, proč je společnost RSI Security lídrem v oblasti řešení digitální kybernetické bezpečnosti.

Podívejte se na naše webové stránky, kde najdete další informace a seznámíte se s různými službami, které nabízíme.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *