Mit jelent a DFARS?

Ha Ön ügyfél vagy olyan vállalkozás, amely a Védelmi Minisztériumot (DoD) szerződéses vagy alvállalkozóként kiszolgáló ügyfeleket támogat, valószínűleg hallott már a Defense Federal Acquisition Regulation Supplement (DFARS) kifejezésről. A szövetségi kormányzati szerződéseket támogató magánszervezetekkel megosztott, illetve azok által létrehozott és karbantartott érzékeny nemzetvédelmi információk védelme létfontosságú nemzetbiztonságunk szempontjából. A Védelmi Minisztérium azon vállalkozóinak, amelyek ellenőrzött, nem minősített információkat (Controlled Unclassified Information, CUI) dolgoznak fel, terjesztenek, tárolnak vagy továbbítanak, meg kell felelniük a DFARS minimális biztonsági előírásainak, különben a meglévő Védelmi Minisztérium szerződések és a jövőbeli szerződésekre való jogosultság elvesztését kockáztatják.

A DFARS biztonsági megfelelési követelményeit mind a vállalkozóknak, mind az alvállalkozóknak a National Institute of Standards and Technology (NIST) Special Publication 800-171 “Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations” című kiadványának útmutatása szerint kell alkalmazniuk. Szerencsére a DFARS megfelelési követelményei olyan szabványos biztonsági ellenőrzéseket tartalmaznak, amelyek az információbiztonság terén már alkalmazott legjobb gyakorlatokon alapulnak, így a megfelelés nem jelent ijesztő kihívást. A DFARS Cybersecurity Rule Subpart 204.73 (2017. december 28-án felülvizsgált), “Safeguarding Covered Defense Information and Cyber Incident Reporting” című alrészét itt találja: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm

A fedett védelmi információk védelme

A DFARS kiberbiztonsági megfelelés elérése érdekében a védelmi vállalkozó információs rendszereinek ugyanolyan védelmet kell nyújtaniuk, és ugyanazoknak a DFARS szövetségi adatokra vonatkozó megfelelési követelményeknek kell megfelelniük, mint egy belső szövetségi információs rendszernek. Az érintett védelmi információk (Covered Defense Information, CDI) védelme a DFARS egyik alapvető követelménye, és a CDI az ellenőrzött, nem minősített információk (Controlled Unclassified Information, CUI) egy alcsoportja. A CDI-t a Védelmi Minisztérium bocsátja a vállalkozó rendelkezésére, és a vállalkozó felelőssége az információk biztonságának és integritásának védelme. A CDI-nek négy alkategóriája van: ellenőrzött műszaki információk (CTI), műveletbiztonsági információk, exportellenőrzött információk és egyéb megjelölt, védelmet igénylő információk.

Értékelje DFARS-megfelelőségét

A CTI a katonai műveletekkel kapcsolatos műszaki információk, azonban nem minősül általános DoD-információnak. A CTI megtekintése nem igényel biztonsági engedélyt, azonban nem nyilvánosan hozzáférhető információ. A CTI a hozzáférés, a megjelenítés, a felhasználás, a közzététel, a reprodukció, a módosítás, a teljesítmény vagy a terjesztés ellenőrzése alá tartozik. A DFARS további meghatározást ad a KTI-kre vonatkozóan:

  • Mérnöki és kutatási adatok
  • Mérnöki rajzok és kapcsolódó adatok
  • Adatok
  • Datok Sets
  • Specifications
  • Standards
  • Manuals
  • Technical reports and orders
  • Studies, analyses and related information
  • Computer software code and source code
  • Process sheets

Minimum Requirements for Federal Contractors

DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. A DFARS 252.204-7012, “Az érintett védelmi információk védelme és a kiberbiztonsági incidensek jelentése” című pontja értelmében a DoD vállalkozóknak meg kell felelniük a NIST Special Publication 800-171 szabványnak, amely követelménykeretet biztosít a vállalkozók számára a nem minősített, nem szövetségi rendszereken lévő érzékeny védelmi információk védelmére és a kiberbiztonsági incidensek jelentésére.

A DFARS 252.204-7012 pont szerinti szabályozási keretrendszer megköveteli a védelmi vállalkozóktól, hogy konkrétan dokumentálják, hogyan teljesülnek a következő követelménykomponensek:

  • Az első komponens magában foglalja a nem szövetségi szintű, fedezett, nem szövetségi szintű vállalkozói információs rendszerek megfelelő biztonságának biztosítását. A megfelelő biztonságot olyan védelmi intézkedésekként határozzák meg, amelyek összhangban vannak azzal a kárral, amely az információkhoz való jogosulatlan hozzáférés, azok elvesztése, visszaélésszerű felhasználása vagy módosítása miatt bekövetkező biztonsági incidens miatt bekövetkezhet. A NIST SP 800-171 iránymutatásoknak való megfelelés hatékonyan biztosítja a “megfelelő biztonságot”
  • A második komponens a kiberbiztonsági incidensek jelentését foglalja magában. A kiberbiztonsági incidensről szóló jelentés minimálisan előírt elemei itt találhatók: http://dibnet.dod.mil. A DIBNet portál egy kapu a DoD vállalkozói és alvállalkozói számára a kiberincidensek bejelentésére és a DoD kiberbiztonsági programjában való önkéntes részvételre.

Ha megállapítást nyer, hogy a bejelentett incidensnek rosszindulatú szoftver is része, az esemény leírását a DoD Kiberbűnözési Központjához is be kell nyújtani. Az incidensjelentési útmutató előírja az összes ismert érintett információs rendszerről készült képek és az összes releváns felügyeleti/csomagfelvételi adat megőrzését és védelmét a kiberincidensről szóló jelentés benyújtásától számított legalább 90 napig. Ha a Védelmi Minisztérium úgy dönt, hogy hivatalos értékelést végez a kiberbiztonsági esemény által okozott károkról, a vállalkozónak be kell nyújtania az értékelést alátámasztó adathordozókat és egyéb anyagokat.

Understanding DFARS 252.204-7012 and NIST SP 800-171

A DFARS konkrét követelményeit az alábbiakban részletesebben vizsgáljuk.

Alvállalkozói és ellátási lánc menedzsment

ADFARS 252.204-7012 pontja úgy módosult, hogy a lefelé irányuló megfelelés az alvállalkozókra és beszállítókra korlátozódik, akiknek erőfeszítései CDI-vel kapcsolatosak vagy operatív szempontból kritikus támogatásnak minősülnek. A DoD fővállalkozói a DFARS értelmében kötelesek proaktívan eljárni a teljes ellátási lánc megerősítésével, biztosítva nemcsak a saját DFARS-megfelelésüket, hanem azt is, hogy az alvállalkozók is bizonyítsák a megfelelőséget. Következésképpen az alvállalkozók felelősek minden olyan gyakorlat bejelentéséért, amely eltérhet a DFARS és a NIST 800-171 irányelvektől, mielőtt bármilyen CDI-t megosztanának az alvállalkozóval. Fontos, hogy a fővállalkozó ellenőrizze, milyen információk jutnak el az alvállalkozókhoz a CDI-adatok alapján, amelyekhez az alvállalkozónak hozzá kell férnie a szövetségi szerződés alapján kijelölt munkája elvégzéséhez.

Kibiztonsági incidensek jelentése

A DFARS-szabványok értelmében a vállalkozó felelőssége az információ integritását vagy egy információs rendszert veszélyeztető kiberbiztonsági incidens esetén a gyors jelentés, amely szerint az incidenst 72 órán belül jelenteni kell a DoD-nek. A potenciális veszélyeztetettség mértékének meghatározásához értékelésre van szükség, amelynek legalább a veszélyeztetett rendszerek, műszaki adatok és felhasználók listáját, valamint az esetlegesen veszélyeztetett egyéb rendszerek listáját kell tartalmaznia. Az értékelésnek alapos rendszerfelülvizsgálatot is kell nyújtania, és módszereket kell tartalmaznia a jövőbeni incidensek megelőzésére.

Az alvállalkozók által tapasztalt kiberbiztonsági eseményeket jelenteni kell a fővállalkozónak vagy a következő szintű alvállalkozónak, a DFARS követelményei szerinti bizonyítékokkal együtt. A fővállalkozó felelős a DoD incidensek bejelentéséért, a fentiekben az alvállalkozókra vonatkozóan részletezett módon benyújtott bizonyítékokkal.

Felhőszolgáltatók

Ha egy vállalkozó felhőszolgáltatót használ a CDI tárolására, feldolgozására vagy továbbítására egy DoD-szerződéshez, három olyan biztonsági szabvány van, amely releváns lehet a DFARS-megfelelés szempontjából:

  • A DoD-szerződéshez adatok tárolására vagy feldolgozására felhőmegoldást használó vállalkozónak biztosítania kell, hogy a felhőszolgáltató megfeleljen a szövetségi kockázat- és engedélykezelési program (“FedRamp”) mérsékelt alapvonalában meghatározott biztonsági követelményeknek, és meg kell felelnie a DFARS egyedi követelményeinek, beleértve az incidensek jelentési követelményeit.
  • A NIST SP 800-171 szabványok akkor alkalmazandók, ha a vállalkozó belső felhőalapú számítástechnikát (nem harmadik féltől származó platformot) használ egy vállalati rendszerben a DoD-szerződés támogatásához szükséges adatok hosztolására vagy feldolgozására.
  • A DoD számára informatikai szolgáltatások nyújtásához felhőalapú számítástechnikát használó vállalkozónak meg kell felelnie a “Cloud Computing Security Requirements Guide” (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html követelményeinek. Az SRG egy olyan biztonsági modellt vázol fel, amely szolgáltatási és biztonsági szintű ellenőrzéseket és követelményeket biztosít a vállalkozók számára a felhőalapú szolgáltatások igénybevételéhez szükséges fizikai, adminisztratív és műszaki biztonsági ellenőrzések végrehajtásához és fenntartásához.

A DFARS-megfelelés bizonyítása

A DFARS-megfelelés bizonyításához jelenleg elegendőnek tekinthető az önellenőrzés, így harmadik fél által végzett audit nem követelmény. Egy jól dokumentált, a NIST 800-171 alapján készült SSP, amely összekapcsolja a kontrollokat azok végrehajtásával, vagy egy kompenzáló kontrollt, elegendő a felmerülő kérdések megoldásához. Egy kormányzati szerződési ajánlat technikai értékelése felhasználhatja az SSP-t, és kérhet egy cselekvési tervet és mérföldköveket (POA&M) is a megfelelés dokumentálására a DoD-szerződés odaítélésének megfontolása részeként.

A védelmi minisztérium számára ellátási láncokon belül termékeket szállító gyártók számára a NIST egy önértékelési kézikönyvet biztosít, a NIST Handbook 162, “NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements” című kézikönyvet. A kézikönyv lépésről lépésre útmutatót nyújt egy kis gyártó információs rendszereinek a NIST SP 800-171 biztonsági követelményei alapján történő értékeléséhez.

Készüljön fel – jönnek a megfelelőségi auditok

2019 januárjában a védelmi miniszterhelyettes kiadott egy emlékeztetőt, amelyben dokumentálta a védelmi minisztérium ellátási láncának DFARS-megfelelőségi auditálási szándékát. A feljegyzés a Védelmi Szerződéskezelési Ügynökséget (DCMA) bízza meg az összes első szintű vállalkozó auditálásával annak ellenőrzése érdekében, hogy a vállalkozók megfelelnek-e a DFARS 252.204-7012 pont követelményeinek. A CDI-vel DoD-szerződést kötött szervezet DCMA-auditja általában a következőket foglalja magában:

  • meggyőződik arról, hogy a vállalkozó rendelkezik SSP-vel
  • meggyőződik arról, hogy a vállalkozó benyújtotta a 30 napos értesítést, amely felsorolja a még nem végrehajtott biztonsági ellenőrzéseket.
  • meggyőződik arról, hogy a vállalkozó rendelkezik a kiberesemények jelentéséhez szükséges érvényes, közepes biztonságú nyilvános kulcsinfrastruktúra (PKI) tanúsítvánnyal (ECA tanúsítási politika https://iase.disa.mil/pki/eca/Pages/index.aspx).

Az ellenőrzési követelmények csak az első szintű beszállítók DCMA általi közvetlen értékelését írják elő, azonban ez várhatóan hatással lesz a DoD teljes ellátási láncára a vállalkozói üzleti partnerek esetében is. Ha egy szervezet versenyezni akar a DoD-szerződésekért az ellátási lánc piacán, és a DFARS beszállítói felmérésen egy egyszerű “Igen”-nel tudja bizonyítani az elszámoltathatóságot, legyen proaktív, és lépjen kapcsolatba egy szakértő, biztonságra összpontosító, harmadik féltől származó menedzselt biztonsági szolgáltatóval (MSSP). A DoD-vállalkozók DFARS-megfelelési követelményeivel kapcsolatos speciális szakértelemmel rendelkező MSSP segít az Ön szervezetének a szükséges értékelés és audit elvégzésében, valamint a DFARS-megfelelés eléréséhez szükséges javítási munkálatok elvégzésében.

A DFARS/NIST SP 800-171 megfelelés elérése nem egyszeri megoldás. Ez egy folyamatos értékelési, ellenőrzési és fejlesztési folyamat, amely biztosítja, hogy az Ön szervezete továbbra is megfeleljen a folyamatosan fejlődő biztonsági követelményeknek, és ezáltal a DoD szerződő félként való jogosultságának. Egy olyan MSSP, mint az RSI Security, amely speciális szakértelemmel rendelkezik a DFARS-megfelelésre és a felügyelt kiberbiztonságra kötelezett DoD-vállalkozóknak nyújtott megfelelőségi szolgáltatások terén, segít szervezetének a szükséges értékelés és audit elvégzésében, valamint a DFARS/NIST SP 800-171 megfelelés eléréséhez szükséges javítási munkálatok elvégzésében. Vegye fel velünk még ma a kapcsolatot, ha személyes segítségre van szüksége a megfelelőségi tanácsadási szolgáltatásokkal kapcsolatban.

A DoD által auditált és nem megfelelőnek talált védelmi vállalkozót valószínűleg munkabeszüntetés fenyegeti. Ez azt jelentené, hogy a DoD-szerződés keretében végzett bármilyen munkát felfüggesztenének mindaddig, amíg a CDI hatékony védelme érdekében megfelelő biztonsági intézkedéseket nem hajtanak végre. A Védelmi Minisztérium pénzügyi szankciókat is kiszabhat, amelyek magukban foglalhatják a szerződésszegésért vagy hamis állításokért járó kártérítést is. Súlyos szabálysértések esetén a Védelmi Minisztérium felmondhatja a szerződéseket, vagy akár fel is függesztheti a vállalkozót, hogy soha többé ne dolgozzon együtt a Védelmi Minisztériummal.

Mit tehetnek a vállalkozók a felkészülés érdekében

A jelenlegi és a jövőben változó DFARS-követelményekre való felkészülés érdekében a vállalkozók a következőkkel lehetnek proaktívak:

  • A NIST SP 800-171 biztonsági ellenőrzések áttekintése annak ellenőrzése érdekében, hogy a szervezet biztonsági ellenőrzései megfelelő védelmet nyújtanak a lehetséges kibertámadások széles köre ellen.
  • Végezzen hiányfelmérést annak megállapítására, hogy az előírt biztonsági ellenőrzések nem teljesülnek-e, és orvosolja az azonosított hiányosságokat SSP és POA&M
  • Ha szervezete alvállalkozókkal és beszállítókkal dolgozik, dolgozzon ki tervet a megfelelőségük értékelésére és annak biztosítására, hogy az alvállalkozók felé áramló összes CDI megfelelő biztonsági ellenőrzésekkel legyen védve.
  • Készítsen tervet az alvállalkozókkal és beszállítókkal való információmegosztásra vonatkozó CDI-leáramlási követelmények nyomon követésére a teljes ellátási láncon keresztül.

A DFARS-megfelelési ellenőrzőlista szintén hasznos eszköz lehet a DFARS-megfelelésre való felkészülésben.

Egy olyan MSSP, mint az RSI Security, amely speciális szakértelemmel rendelkezik a DoD-vállalkozóknak nyújtott megfelelési szolgáltatások terén, segíthet szervezetének a jelenlegi megfelelés értékelésében és a DFARS/NIST SP 800-171 megfelelés eléréséhez szükséges javítási munkák elvégzésében. Vegye fel velünk még ma a kapcsolatot, és kérjen személyes segítséget minden értékelési és megfelelési igényével kapcsolatban.

RSI Security ajánlatai:

Az RSI Security már 10 éve segít a vállalatoktól az egyéni vállalkozókig mindenkinek a DFARS-megfelelőség elérésében. A digitális biztonság és a tanácsadás egyik vezetője vagyunk. Jól ismerjük a biztonsági megfelelés minden aspektusát, és időben elintézzük, hogy Ön megfeleljen a DFARS-szabványnak. Pozitív kapcsolatunk van a DoD-vel is, amely megkönnyítheti az ilyen bonyolult vállalkozással járó akadályok némelyikét.

Biztonsági szolgáltatásaink végig első osztályúak, a legjobb eszközöket, rendelkezéseket és gyakorlatokat használjuk, hogy vállalatát biztonságban tartsuk a zavaró biztonsági adatok megsértésétől. Sebezhetőségi felmérések, valós idejű viselkedésfigyelés, behatolásérzékelés, kifinomult digitális mintakövetés és a hackerek működésének eredendő megértése csak néhány ok, amiért az RSI Security vezető szerepet tölt be a digitális kiberbiztonsági megoldások terén.

Nézze meg weboldalunkat további információkért és az általunk kínált különböző szolgáltatások megismeréséért.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük