Cosa significa DFARS?

Se siete un cliente o un’azienda che supporta clienti che servono il Dipartimento della Difesa (DoD) come appaltatore o subappaltatore, probabilmente avete sentito parlare del Defense Federal Acquisition Regulation Supplement (DFARS). Proteggere le informazioni sensibili della difesa nazionale condivise con, e create e mantenute da organizzazioni private che supportano i contratti del governo federale è vitale per la nostra sicurezza nazionale. Gli appaltatori del DoD che elaborano, diffondono, conservano o trasmettono informazioni non classificate controllate (CUI) devono soddisfare gli standard minimi di sicurezza DFARS o rischiano di perdere i contratti DoD esistenti e l’idoneità per i contratti futuri.

I requisiti di conformità alla sicurezza DFARS devono essere applicati sia dagli appaltatori che dai subappaltatori, seguendo la guida del National Institute of Standards and Technology (NIST) Special Publication 800-171 “Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations”. Fortunatamente, i requisiti di conformità DFARS sono una serie di controlli di sicurezza standard basati sulle migliori pratiche che sono già in uso per la sicurezza delle informazioni, quindi la conformità non è una sfida scoraggiante. Il DFARS Cybersecurity Rule Subpart 204.73 (rivisto il 28 dicembre 2017), “Safeguarding Covered Defense Information and Cyber Incident Reporting” può essere trovato qui: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm

Proteggere le Covered Defense Information

Per ottenere la conformità alla sicurezza informatica DFARS, i sistemi informatici di un appaltatore della difesa devono fornire le stesse protezioni e soddisfare gli stessi requisiti di conformità DFARS per i dati federali di un sistema informativo federale interno. La protezione delle Covered Defense Information (CDI) è un requisito fondamentale di DFARS, e le CDI sono un sottoinsieme delle Controlled Unclassified Information (CUI). Le CDI sono fornite a un appaltatore dal DoD, e diventa responsabilità dell’appaltatore proteggere la sicurezza e l’integrità delle informazioni. CDI ha quattro sottocategorie, informazioni tecniche controllate (CTI), informazioni sulla sicurezza delle operazioni, informazioni controllate per l’esportazione e altre informazioni contrassegnate che richiedono protezione.

Valutate la vostra conformità DFARS

CTI sono informazioni tecniche relative alle operazioni militari, tuttavia non sono considerate informazioni generali del DoD. La visualizzazione di CTI non richiede un nulla osta di sicurezza, tuttavia non è un’informazione disponibile al pubblico. La CTI è soggetta a controlli sul suo accesso, visualizzazione, uso, divulgazione, riproduzione, modifica, esecuzione o diffusione. DFARS fornisce un’ulteriore definizione di CTI per includere:

  • Dati ingegneristici e di ricerca
  • Disegni ingegneristici e dati correlati
  • Dati Sets
  • Specifications
  • Standards
  • Manuals
  • Technical reports and orders
  • Studies, analyses and related information
  • Computer software code and source code
  • Process sheets

Minimum Requirements for Federal Contractors

DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. Sotto la clausola DFARS 252.204-7012, “Safeguarding Covered Defense Information and Cyber Incident Reporting”, gli appaltatori del DoD devono rispettare la NIST Special Publication 800-171 che fornisce un quadro di requisiti per gli appaltatori per proteggere le informazioni sensibili della difesa su sistemi non classificati e non federali e segnalare gli incidenti di cybersecurity.

Il quadro normativo DFARS Clausola 252.204-7012 richiede agli appaltatori della difesa di documentare specificamente come vengono soddisfatti i seguenti componenti del requisito:

  • Il primo componente comporta la fornitura di un’adeguata sicurezza per qualsiasi sistema informativo non federale dell’appaltatore. La sicurezza adeguata è definita come misure di protezione in linea con i danni che potrebbero verificarsi a causa di accesso non autorizzato, perdita, uso improprio o modifica delle informazioni a causa di un incidente di sicurezza. La conformità con le linee guida NIST SP 800-171 fornisce effettivamente una “sicurezza adeguata”
  • Il secondo componente coinvolge la segnalazione di incidenti di cybersecurity. Gli elementi minimi richiesti per i rapporti sugli incidenti informatici possono essere trovati qui: http://dibnet.dod.mil. Il portale DIBNet è un gateway per gli appaltatori e subappaltatori del DoD per segnalare incidenti informatici e partecipare volontariamente al programma di cybersecurity del DoD.

Se il software maligno è determinato a far parte dell’incidente segnalato, una descrizione dell’evento deve anche essere presentata al Cyber Crime Center del DoD. La guida per la segnalazione degli incidenti richiede la conservazione e la protezione delle immagini di tutti i sistemi informativi conosciuti interessati e di tutti i dati rilevanti di monitoraggio/acquisizione dei pacchetti per un minimo di 90 giorni dall’invio del rapporto di un incidente informatico. Se il DoD decide di condurre una valutazione formale dei danni causati da un evento di cybersecurity, un appaltatore sarebbe tenuto a presentare media e altri materiali che supportano tale valutazione.

Understanding DFARS 252.204-7012 and NIST SP 800-171

I requisiti specifici del DFARS sono esplorati più in dettaglio qui sotto.

Gestione dei subappaltatori e della catena di fornitura

La clausola 252.204-7012 del DFARS è stata modificata per limitare la conformità del flusso verso il basso ai subappaltatori e ai fornitori i cui sforzi coinvolgono CDI o sono considerati supporto operativo critico. Gli appaltatori primari del DoD in base al DFARS sono obbligati ad essere proattivi rafforzando l’intera catena di fornitura, assicurando non solo la propria conformità al DFARS, ma assicurando che anche i subappaltatori dimostrino la conformità. Di conseguenza, i subappaltatori hanno la responsabilità di segnalare qualsiasi pratica che potrebbe deviare dal DFARS e dalle linee guida NIST 800-171 prima che qualsiasi CDI sia condiviso con il subappaltatore. È importante che un appaltatore principale controlli quali informazioni arrivano ai subappaltatori in base ai dati CDI a cui un subappaltatore dovrà accedere per eseguire il lavoro assegnatogli nell’ambito di un contratto federale.

Relazione di un incidente di cybersecurity

La responsabilità di un appaltatore secondo gli standard DFARS in caso di un incidente di cybersecurity che compromette l’integrità delle informazioni o un sistema informativo è la segnalazione rapida, che richiede la segnalazione dell’incidente al DoD entro 72 ore. Per determinare la portata di una potenziale compromissione, è richiesta una valutazione che, come minimo, deve includere un elenco di sistemi compromessi, dati tecnici e utenti, e un elenco di qualsiasi altro sistema che potrebbe essere stato compromesso. La valutazione deve anche fornire una revisione completa del sistema e fornire metodi per prevenire eventuali incidenti futuri.

Gli eventi di cybersecurity vissuti dai subappaltatori devono essere segnalati al primo contraente o al subappaltatore di livello successivo, con prove fornite secondo i requisiti DFARS. L’appaltatore principale è responsabile della segnalazione degli incidenti DoD con le prove presentate come specificato sopra per gli appaltatori.

Fornitori di servizi cloud

Se un appaltatore utilizza un fornitore di servizi cloud per archiviare, elaborare o trasmettere CDI per un contratto DoD, ci sono tre standard di sicurezza che possono essere rilevanti per la conformità DFARS:

  • Un appaltatore che utilizza una soluzione cloud per ospitare o elaborare i dati per un contratto DoD deve garantire che il fornitore di servizi cloud soddisfi i requisiti di sicurezza stabiliti nel Federal Risk and Authorization Management Program (“FedRamp”) moderato baseline e deve rispettare i requisiti specifici DFARS compresi i requisiti di segnalazione degli incidenti.
  • Le norme NIST SP 800-171 sono applicabili quando un appaltatore utilizza il cloud computing interno (non una piattaforma di terze parti) in un sistema aziendale per ospitare o elaborare i dati a sostegno di un contratto DoD.
  • Un appaltatore che utilizza il cloud computing per fornire servizi IT al DoD deve rispettare i requisiti nella “Cloud Computing Security Requirements Guide” (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html. La SRG delinea un modello di sicurezza che fornisce controlli sui livelli di servizio e di sicurezza e requisiti per gli appaltatori nell’implementazione e nel mantenimento dei controlli di sicurezza fisici, amministrativi e tecnici necessari per l’utilizzo di servizi basati sul cloud.

Provare la conformità DFARS

L’auto-attestazione è attualmente considerata sufficiente per dimostrare la conformità DFARS, quindi un audit di terze parti non è un requisito. Un SSP ben documentato basato su NIST 800-171 che collega i controlli alla loro implementazione, o un controllo compensativo, è sufficiente per risolvere qualsiasi domanda che dovesse sorgere. La valutazione tecnica di una proposta di contratto governativo può utilizzare la SSP e può anche richiedere un Piano d’Azione e Pietre Miliari (POA&M) per documentare la conformità come parte della considerazione per l’aggiudicazione di un contratto DoD.

Per i produttori che forniscono prodotti all’interno delle catene di fornitura per il DoD, NIST fornisce un manuale di autovalutazione, NIST Handbook 162, “NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements”. Il manuale fornisce una guida passo dopo passo per valutare i sistemi informativi di un piccolo produttore rispetto ai requisiti di sicurezza in NIST SP 800-171.

Be Prepared – Compliance Audits are coming

Nel gennaio 2019, il Sottosegretario della Difesa ha emesso un memo che documenta l’intenzione di controllare la catena di approvvigionamento del DoD per la conformità DFARS. Il memo incarica la Defense Contract Management Agency (DCMA) di controllare tutti gli appaltatori di primo livello per convalidare la conformità dell’appaltatore ai requisiti della clausola DFARS 252.204-7012. Un audit DCMA per un’organizzazione con un contratto DoD con CDI includerà generalmente quanto segue:

  • Verificare che l’appaltatore abbia un SSP
  • Verificare che l’appaltatore abbia presentato una notifica di 30 giorni che elenca tutti i controlli di sicurezza non ancora implementati.
  • Verificare che l’appaltatore abbia un valido certificato PKI (Public Key Infrastructure) a media garanzia, necessario per la segnalazione di incidenti informatici (ECA Certificate Policy https://iase.disa.mil/pki/eca/Pages/index.aspx).

I requisiti di audit richiedono solo la valutazione diretta di DCMA per i fornitori di primo livello, tuttavia questo dovrebbe avere un impatto sull’intera catena di fornitura DoD anche per i partner commerciali dell’appaltatore. Se un’organizzazione vuole competere per i contratti DoD nel mercato della catena di fornitura ed essere in grado di dimostrare la responsabilità con un facile “Sì” in un sondaggio sui fornitori DFARS, siate proattivi e contattate un fornitore di servizi di sicurezza gestito da terzi (MSSP) esperto in sicurezza. Un MSSP con esperienza specializzata nei requisiti di conformità DFARS per gli appaltatori del DoD assisterà la vostra organizzazione nell’esecuzione della valutazione e dell’audit richiesti e nella conduzione di qualsiasi lavoro di rimedio necessario per ottenere la conformità DFARS.

Raggiungere la conformità DFARS/NIST SP 800-171 non è una soluzione una tantum. Si tratta di un processo continuo di valutazione, monitoraggio e miglioramento per garantire che la vostra organizzazione mantenga la conformità ai requisiti di sicurezza in costante evoluzione, e quindi l’idoneità come appaltatore DoD. Un MSSP come RSI Security, con competenze specializzate nei servizi di conformità per gli appaltatori del DoD che devono soddisfare la conformità DFARS e la cybersicurezza monitorata, assisterà la vostra organizzazione nell’esecuzione della valutazione e dell’audit richiesti e nell’esecuzione di qualsiasi intervento correttivo necessario per ottenere la conformità DFARS/NIST SP 800-171. Contattateci oggi stesso per un aiuto personale per tutte le vostre esigenze di servizi di consulenza sulla conformità.

Un appaltatore della difesa che viene controllato dal DoD e che risulta non essere in regola dovrebbe affrontare un ordine di arresto del lavoro. Questo significherebbe che qualsiasi lavoro fatto per un contratto DoD verrebbe sospeso fino a quando le misure di sicurezza appropriate sono implementate per proteggere efficacemente i CDI. Il DoD potrebbe anche imporre sanzioni finanziarie che possono includere danni per violazione del contratto o false richieste. In casi gravi di non conformità, il DoD potrebbe rescindere i contratti o addirittura sospendere un appaltatore dal lavorare ancora con il DOD.

Cosa possono fare gli appaltatori per essere preparati

Per essere preparati ai requisiti DFARS attuali e futuri in evoluzione gli appaltatori possono essere proattivi con quanto segue:

  • Rivedere i controlli di sicurezza NIST SP 800-171 per verificare che i controlli di sicurezza della vostra organizzazione forniscano una protezione adeguata contro una vasta gamma di potenziali attacchi informatici.
  • Eseguire una valutazione delle lacune per determinare se i controlli di sicurezza richiesti non sono soddisfatti e porre rimedio alle lacune identificate sviluppando un SSP e un POA&M
  • Se la vostra organizzazione lavora con subappaltatori e fornitori, sviluppare un piano per valutare la loro conformità e garantire che tutte le CDI che arrivano ai subappaltatori siano protette con adeguati controlli di sicurezza.
  • Sviluppare un piano per tracciare i requisiti di flusso verso il basso delle CDI per la condivisione delle informazioni con subappaltatori e fornitori attraverso l’intera catena di fornitura.

La DFARS Compliance Checklist può anche essere uno strumento utile nella preparazione alla conformità DFARS.

Un MSSP come RSI Security, che ha esperienza specializzata nei servizi di conformità per appaltatori del DoD, può assistere la vostra organizzazione nella valutazione della conformità attuale e nell’esecuzione di qualsiasi lavoro di riparazione necessario per ottenere la conformità DFARS/NIST SP 800-171. Contattateci oggi stesso per un aiuto personale con tutte le vostre esigenze di valutazione e conformità.

Offerte di sicurezza della RSI:

RSI Security ha aiutato tutti, dalle aziende ai singoli appaltatori, a superare la conformità DFARS per 10 anni. Siamo uno dei leader nella sicurezza digitale e nella consulenza. Siamo ben versati in tutti gli aspetti della conformità alla sicurezza e vi renderemo conformi a DFARS in modo tempestivo. Abbiamo anche un rapporto positivo con il DoD che può facilitare alcuni degli ostacoli che vengono un tale sforzo complicato.

I nostri servizi di sicurezza sono di prima classe fino in fondo, utilizzando i migliori strumenti, disposizioni e pratiche per mantenere la vostra azienda al sicuro da violazioni di dati di sicurezza dirompenti. Valutazioni di vulnerabilità, monitoraggio comportamentale in tempo reale, rilevamento delle intrusioni, sofisticato tracciamento dei modelli digitali e una comprensione intrinseca di come operano gli hacker sono solo alcune delle ragioni per cui RSI Security è leader nelle soluzioni di cybersecurity digitale.

Guarda il nostro sito web per maggiori informazioni e per conoscere i vari servizi che offriamo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *