A DFARS-megfelelőség már jó ideje a fővállalkozók és a védelmi minisztérium beszállítói számára is kiemelt jelentőséggel bír. A 2017-ben írt DoD-szerződések több mint 87%-a már tartalmazta a DFARS 252.204-7012 záradékot, és a DoD nagy és kis vállalkozói a NIST SP 800-171 végrehajtásával a “megfelelő biztonság” bizonyításának odaítélési előnyeit élvezik, ahogy azt mi is látjuk az ügyfélkörünknél. A DoD kibermegfelelőségi szivárványának másik végén egyesek a megfelelés eltolásának sötét oldalát tapasztalják, és jelenleg sietnek megoldást találni arra, hogy megszüntessék a díjnyerés akadályát. Első kézből láttuk ezt a beszámolót, mivel segítettünk ügyfeleinknek a CyberStrong használatával gyorsan megfelelni.”
A DoD Assessing the State of a Contractor’s Internal Information System in a Procurement Action című kiadványa szerint “az intézkedési terveknek, a folyamatos felügyeletnek és a rendszerbiztonsági tervnek (NIST SP 800-171 Security Requirements 312.2-3.12.4) minden biztonsági követelményre ki kell térnie”.
Az ugyanezen dokumentum szerint a vállalkozó közbeszerzési értékelésének egyik célja a NIST SP 800-171 / DFARS 252.204-7012 végrehajtásának értékelése a “megfelelő biztonság” mellett külön műszaki tényezőként, ezért az értékelő “a rendszerbiztonsági tervet (SSP) és az intézkedési tervet maga is beépíti a szerződésbe”. Vegye figyelembe: Ha még nincs SSP vagy POAM, érdemes megfontolni ezek automatizálását a CyberStrong Platform segítségével.
Egy másik fontos célkitűzés, amelyet figyelembe kell venni, hogy a szerződést odaítélő szervezet “A NIST SP 800-171 biztonsági követelmények végrehajtásának értékelése/követése a szerződés odaítélése után”. Ez a célkitűzés hatással van azokra a szervezetekre, amelyek táblázatokkal küzdenek a megfelelés bizonyítására – fontolóra kell venniük egy élő, folyamatos megfelelési platform használatát a DFARS megfeleléshez, mint például a CyberStrong, amely könnyűvé, egyszerűvé és egyértelművé teszi a megfelelés bizonyítását és az előrehaladás nyomon követését. Nemcsak az alvállalkozónak kell nyomon követnie és bizonyítania a megfelelést, hanem a fővállalkozónak is nyomon kell követnie az összes aspektusát és beszállítóját. A CyberStrong megkönnyíti mind a beszállítók, mind a fővállalkozók számára, hogy lássák a megfelelés állapotát és nyomon kövessék a fejlődésüket, hogy bizonyítsák a kellő gondosságot és bizonyítsák a “megfelelő biztonságot”, ha nem jobbat.
Ezt szem előtt tartva, itt van egy lista a kockázatokról, amelyeket akkor vállal, ha eltolja a DFARS 252.204-7012 megfelelőséget, vagy olyan módon kezeli azt, amely megnehezíti a megfelelés bizonyítási szempontját, például táblázatkezeléssel. Ezek a kockázatok a National Law Review hiteles forrásai.
Ajánlatok: A DoD fent említett iránymutatása egyértelmű, hogy az SSP-k és a POA&M-k szerepet játszanak a “megfelelő biztonság” minősítésében, de nem tudjuk, milyen szerepet fognak játszani az ajánlati óvásokban. Az első útmutató dokumentumtervezet szerint a DoD ezen dokumentumok alapján hajthatja végre ezeket az intézkedéseket: a megvalósítás állapota alapján elfogadható/nem elfogadható döntést hozhat a szerződés odaítéléséről vagy elutasításáról, vagy értékelheti a megvalósítást “külön műszaki értékelési tényezőként”. Ez azonban arra utal, hogy a NIST SP 800-171-ben előírt minimumnál több követelményre lehet szükség.”
Az ajánlattételi folyamatban lévő szervezetet elutasíthatják az SSP és a POAM, valamint a kiberbiztonság NIST 800-171-gyel kapcsolatos állapota közötti ellentmondások miatt. Ha az ajánlattevő NIST SP 800-171 megvalósítása nincs összhangban a dokumentumaival, a DoD vagy a Prime valószínűleg egy másik szerződést fog választani. Ettől függetlenül megkövetelik az SSP-t és a POAM-ot felülvizsgálatra, mivel ezek teszik a szállítói megbízást 2018-ra. Ha a múltban kapott egy kérdőívet, tudja, hogy ez a dokumentum nem teszi Önt megfelelővé, és ezek a megfelelőségi dokumentumok kiemelten fontosak az Ön sikeréhez.
Felmondás: Az SSP-nek és a POAM-nak való megfelelés értékeléséhez az iránymutatás szerint a szerződésnek tartalmaznia kell a szerződéses adatokra vonatkozó követelményeket (CDRL), amelyek “a szerződés odaítélése után megkövetelik a rendszerbiztonsági terv és az esetleges intézkedési tervek átadását”. Ismétlem, ha nincs élő, átlátható és egyszerű módja arra, hogy ezeket a dokumentumokat minden új szerződéshez elkészítse – automatizálja őket! Az SSP és a POAM pontossága, valamint annak egyértelmű kimutatása, hogy a teljes megfelelés felé halad, kiemelkedő fontosságú. Az SSP és a POAM benne lesz a szerződésében, így a megfelelés elmulasztása könnyen felmondáshoz vezethet.
DCMA-ellenőrzések: A DoD az előadásokon és az interneten világossá tette, hogy a DCMA ellenőrizni fogja, hogy a vállalkozó rendelkezik-e SSP-vel és POA-val&M. Ha a DCMA még nem lépett kapcsolatba a szervezetével a NIST 800-171 kapcsán, akkor ez lehet, hogy az önök jövője lesz.
False Claims Act: Ezt a kockázatot fontos tudomásul venni. Az SSP használata az Ön biztonsági intézkedéseinek értékelésére és annak kormányzati szerződéssel kapcsolatos teljesítményeként való felhasználása növelheti a False Claims Act megsértésének potenciális kockázatát az Ön vállalatára nézve. Példa: Az SSP félrevezetheti a vállalkozó tényleges kiberbiztonsági állapotát, és a DoD eljárást indíthat a csalásra való ösztönzés alapján. A DoD megállapíthatja, hogy a vállalkozó kiberbiztonsági státuszát figyelembe vették a szerződés odaítéléséről szóló döntésben, és ez potenciálisan veszélybe sodorhatja a kapcsolattartó összes bevételét.