DFARS コンプライアンスは、ここしばらくの間、プライム契約者だけでなく、防衛省のサプライヤーにとっても最重要事項となっています。 2017 年に作成された国防総省の契約の 87% 以上には、すでに DFARS 252.204-7012 の条項が書かれており、国防総省の契約者は、私たちの顧客ベースと同様に、NIST SP 800-171 の実装を介して「適切なセキュリティ」を証明することで受賞の利益を享受しているのです。 国防総省のサイバー・コンプライアンスの虹の反対側では、コンプライアンスを後回しにすることの暗黒面を経験し、賞を獲得するための障壁を取り除くための解決策を急いで探している人もいます。
国防総省の出版物『Assessing the State of a Contractor’s Internal Information System in a Procurement Action』によると、「行動計画、継続監視、システム セキュリティ計画 (NIST SP 800-171 セキュリティ要件 312.2-3.12.4) は、すべてのセキュリティ要件に対処しなければならない」のだそうです。
同文書によると、調達のために契約者を評価する目的の1つは、「適切なセキュリティ」に加えて、NIST SP 800-171 / DFARS 252.204-7012 の実施を別の技術要素として評価しているため、評価者は「システムセキュリティ計画(SSP)とアクションプランを契約に組み込む」こと自体を行うとのことです。 注意:まだSSPやPOAMがない場合は、CyberStrong Platformで自動化することを検討するとよいでしょう。
注意すべきもう1つの重要な目的は、契約を授与する組織が「契約授与後にNIST SP 800-171セキュリティ要件の実装を評価/追跡する」ことです。 この目的は、コンプライアンスを証明するためにスプレッドシートと戦っている組織に影響を及ぼします。彼らは、コンプライアンスの証明と進捗の追跡を簡単、シンプル、かつ分かりやすくする、サイバーストロングのような DFARS コンプライアンスのためのライブで継続的なコンプライアンスのプラットフォームの使用を検討する必要があります。 下請け業者はコンプライアンスを追跡し証明する必要があるだけでなく、元請け業者もそのすべての面やサプライヤーを追跡する必要がある。
それを念頭に置いて、DFARS 252.204-7012 コンプライアンスを後回しにしたり、スプレッドシートなどコンプライアンスの証明を困難にする方法で管理している場合に生じるリスクをリストアップしました。 これらのリスクは、National Law Reviewからの信頼できる情報源である。
入札。 前述の DoD のガイダンスは、SSP と POA&M が「適切なセキュリティ」の認定に関与することは明らかですが、入札抗議でどのように関与するのかはわかりません。 最初のドラフトガイダンス文書によると、国防総省はこれらの文書に基づいてこれらのアクションを実行できます。実装状況に基づいて許容/非許容の判断を下して契約を締結するかどうか、または「別の技術評価要因として」実装を評価することができるのです。 しかし、これは、NIST SP 800-171 で要求される最小限の要件よりも多くの要件が求められる可能性があることを示唆しています。
入札プロセスの組織として、SSP および POAM と NIST 800-171 に関するサイバー セキュリティの状態との間に矛盾があることが原因で拒否される可能性もあります。 落札者の NIST SP 800-171 の実装がその文書と矛盾している場合、DoD またはプライムはおそらく別の契約を選択するでしょう。 それにもかかわらず、彼らは、SSPとPOAMをレビューするために要求するでしょう。 過去に質問書を受け取ったことがある場合、その文書ではコンプライアンスを満たすことができず、これらのコンプライアンス文書があなたの成功にとって最も重要であることを知っておいてください。 SSP と POAM への準拠を評価するために、ガイダンスでは、契約には “契約締結後にシステム セキュリティ計画およびあらゆる行動計画の提出を求める” 契約データ要件 (CDRL) が含まれていなければならないと述べています。 繰り返しになりますが、新規契約のたびにこれらの文書を準備する、ライブで透明性のあるシンプルな方法がない場合は、自動化しましょう。 SSPとPOAMの正確さに加え、完全なコンプライアンスに向けて追跡していることを明確に示すことが、最も重要です。 SSP と POAM は契約に記載されるため、準拠しない場合、簡単に契約解除につながります。
DCMA
の監査。
DCMA の監査: 国防総省は、DCMA が請負業者が SSP と POA を持っていることを確認することを、プレゼンテーションやオンラインで明らかにしています。 NIST 800-171 に関して、まだ DCMA が組織とやりとりしていないのであれば、これは将来の話かもしれません。
False Claims Act (不正請求訴訟)。 このリスクは注意することが重要です。 セキュリティ対策を評価するために SSP を使用し、政府との契約に関連する成果物として使用すると、企業にとって虚偽請求法違反の潜在的なリスクが高まる可能性があります。 例 SSPは、契約者の実際のサイバーセキュリティの状態を偽って伝える可能性があり、国防総省は誘引の詐欺に基づく措置を取る可能性があります。 DoD は、請負業者のサイバーセキュリティの状況が発注の決定に含まれていたことを立証することができ、これにより、接触の下にあるすべての収益が危険にさらされる可能性があります
。