Als u een klant bent of een bedrijf dat klanten ondersteunt die het ministerie van Defensie (DoD) van dienst zijn als aannemer of onderaannemer, hebt u waarschijnlijk wel eens gehoord van het Defense Federal Acquisition Regulation Supplement (DFARS). De bescherming van gevoelige nationale defensie-informatie die wordt gedeeld met en gecreëerd en onderhouden door particuliere organisaties die contracten van de federale overheid ondersteunen, is van vitaal belang voor onze nationale veiligheid. DoD-contractanten die Controlled Unclassified Information (CUI) verwerken, verspreiden, opslaan of verzenden, moeten voldoen aan de minimale beveiligingsnormen van de DFARS of lopen het risico bestaande DoD-contracten te verliezen en in aanmerking te komen voor toekomstige contracten.
De beveiligingsnalevingseisen van de DFARS moeten worden toegepast door zowel contractanten als subcontractanten, volgens de richtlijnen in speciale publicatie 800-171 van het National Institute of Standards and Technology (NIST) “Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations”. Gelukkig bestaan de DFARS-nalevingseisen uit een reeks standaard beveiligingscontroles op basis van beste praktijken die al worden gebruikt voor informatiebeveiliging, zodat naleving geen ontmoedigende uitdaging is. De DFARS Cybersecurity Rule Subpart 204.73 (herzien op 28 december 2017), “Safeguarding Covered Defense Information and Cyber Incident Reporting” is hier te vinden: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm
- Bescherming van Covered Defense Information
- Minimum Requirements for Federal Contractors
- Onderaannemer- en toeleveringsketenbeheer
- Rapportage over cyberbeveiligingsincidenten
- Clouddienstverleners
- Het aantonen van DFARS Compliance
- Be Prepared – Compliance Audits are coming
- Wat contractanten kunnen doen om voorbereid te zijn
- RSI Security Aanbod:
Bescherming van Covered Defense Information
Om DFARS cybersecurity compliance te bereiken, moeten de informatiesystemen van een defensiecontractant dezelfde bescherming bieden en voldoen aan dezelfde DFARS compliance-eisen voor federale gegevens als een intern federaal informatiesysteem. Bescherming van Covered Defense Information (CDI) is een kernvereiste van de DFARS, en CDI is een subcategorie van Controlled Unclassified Information (CUI). CDI wordt door het DoD aan een contractant verstrekt, en het wordt de verantwoordelijkheid van de contractant om de beveiliging en de integriteit van de informatie te beschermen. CDI heeft vier subcategorieën, gecontroleerde technische informatie (CTI), operationele beveiligingsinformatie, exportgecontroleerde informatie, en andere gemarkeerde informatie die bescherming vereist.
Beoordeel uw DFARS-naleving
CTI is technische informatie met betrekking tot militaire operaties, maar het wordt niet beschouwd als algemene DoD-informatie. Voor het bekijken van CTI is geen veiligheidsmachtiging vereist, maar het is geen openbaar beschikbare informatie. CTI is onderworpen aan controles op de toegang, de weergave, het gebruik, de openbaarmaking, de reproductie, de wijziging, de uitvoering of de verspreiding ervan. Het DFARS geeft een aanvullende definitie van CTI:
|
|
|
|
|
|
|
|
|
|
Minimum Requirements for Federal Contractors
DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. Onder DFARS Clause 252.204-7012, “Safeguarding Covered Defense Information and Cyber Incident Reporting,” moeten DoD-contractanten voldoen aan NIST Special Publication 800-171 dat een vereiste kader biedt voor contractanten om gevoelige defensie-informatie op niet-geclassificeerde, niet-federale systemen te beschermen en cyberbeveiligingsincidenten te rapporteren.
Het regelgevingskader DFARS-clausule 252.204-7012 vereist dat defensieaannemers specifiek documenteren hoe aan de volgende vereistecomponenten wordt voldaan:
- Eerste component betreft het bieden van adequate beveiliging voor alle niet-federale gedekte informatiesystemen van aannemers. Adequate beveiliging wordt gedefinieerd als beschermingsmaatregelen die in overeenstemming zijn met de schade die zou kunnen ontstaan door ongeoorloofde toegang, verlies, misbruik of wijziging van informatie als gevolg van een beveiligingsincident. Naleving van de NIST SP 800-171-richtlijnen biedt effectief “adequate beveiliging”
- Tweede component betreft de rapportage van cyberincidenten. De minimaal vereiste elementen van het cyberincidentenrapport zijn hier te vinden: http://dibnet.dod.mil. Het DIBNet-portaal is een toegangspoort voor DoD-aannemers en -onderaannemers om cyberincidenten te melden en vrijwillig deel te nemen aan het Cybersecurity-programma van het DoD.
Als wordt vastgesteld dat kwaadaardige software deel uitmaakt van het gemelde incident, moet ook een beschrijving van de gebeurtenis worden ingediend bij het Cyber Crime Center van het DoD. Richtlijnen voor het melden van incidenten vereisen het bewaren en beschermen van afbeeldingen van alle bekende getroffen informatiesystemen en alle relevante monitoring/packet capture-gegevens gedurende minimaal 90 dagen na het indienen van een cyberincidentrapport. Als het DoD besluit een formele beoordeling uit te voeren van de schade die door een cyberincident is veroorzaakt, moet een contractant media en andere materialen indienen die deze beoordeling ondersteunen.
Specifieke DFARS-vereisten worden hieronder nader toegelicht.
Onderaannemer- en toeleveringsketenbeheer
DFARS-clausule 252.204-7012 is gewijzigd om de naleving van de flow-downbepalingen te beperken tot onderaannemers en leveranciers wier inspanningen CDI betreffen of als operationeel kritische ondersteuning worden beschouwd. Hoofdaannemers van het DoD die onder het DFARS vallen, zijn verplicht proactief te zijn door de hele toeleveringsketen te versterken en er niet alleen voor te zorgen dat hun eigen DFARS wordt nageleefd, maar ook dat de onderaannemers aantonen dat zij de regels naleven. Bijgevolg zijn onderaannemers verantwoordelijk voor het melden van praktijken die zouden kunnen afwijken van de DFARS- en NIST 800-171-richtlijnen voordat een CDI met de onderaannemer wordt gedeeld. Het is belangrijk dat een hoofdaannemer controleert welke informatie naar onderaannemers stroomt op basis van de CDI-gegevens waartoe een onderaannemer toegang moet hebben om het hem toegewezen werk in het kader van een federaal contract uit te voeren.
Rapportage over cyberbeveiligingsincidenten
De verantwoordelijkheid van een contractant volgens de DFARS-normen in het geval van een cyberbeveiligingsincident waarbij de integriteit van informatie of een informatiesysteem in gevaar wordt gebracht, is snelle rapportage, wat inhoudt dat het incident binnen 72 uur aan het DoD moet worden gemeld. Om de omvang van een mogelijke compromittering te bepalen, is een beoordeling vereist die ten minste een lijst moet omvatten van gecompromitteerde systemen, technische gegevens en gebruikers, en een lijst van alle andere systemen die mogelijk gecompromitteerd zijn. De beoordeling moet ook een grondige systeembeoordeling omvatten en methoden aanreiken om eventuele toekomstige incidenten te voorkomen.
Cybersecurity-incidenten bij onderaannemers moeten worden gerapporteerd aan de hoofdaannemer of aan de eerstvolgende onderaannemer, met bewijsmateriaal volgens de DFARS-vereisten. De hoofdaannemer is verantwoordelijk voor de DoD-incidentenrapportage met overlegging van bewijsmateriaal zoals hierboven beschreven voor aannemers.
Clouddienstverleners
Als een contractant een clouddienstverlener gebruikt om CDI voor een DoD-contract op te slaan, te verwerken of te verzenden, zijn er drie beveiligingsnormen die relevant kunnen zijn voor DFARS-naleving:
- Een contractant die een cloudoplossing gebruikt om gegevens voor een DoD-contract te hosten of te verwerken, moet ervoor zorgen dat de clouddienstverlener voldoet aan de beveiligingsvereisten die zijn vastgelegd in de gematigde baseline van het Federal Risk and Authorization Management Program (“FedRamp”) en moet voldoen aan specifieke DFARS-vereisten, waaronder vereisten voor incidentenrapportage.
- NIST SP 800-171-normen zijn van toepassing wanneer een contractant gebruikmaakt van interne cloudcomputing (geen platform van derden) in een bedrijfssysteem om gegevens te hosten of te verwerken ter ondersteuning van een DoD-contract.
- Een contractant die cloudcomputing gebruikt om IT-diensten aan het DoD te leveren, moet voldoen aan de vereisten in de “Cloud Computing Security Requirements Guide” (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html. De SRG schetst een beveiligingsmodel dat service- en beveiligingsniveaucontroles en vereisten voor contractanten biedt bij het implementeren en onderhouden van fysieke, administratieve en technische beveiligingscontroles die nodig zijn voor het gebruik van cloud-gebaseerde diensten.
Het aantonen van DFARS Compliance
Zelf-attestatie wordt momenteel als voldoende beschouwd om DFARS compliance aan te tonen, dus een audit door een derde partij is geen vereiste. Een goed gedocumenteerd SSP op basis van NIST 800-171 dat controles verbindt met de uitvoering ervan, of een compenserende controle, is voldoende om eventuele vragen op te lossen. De technische evaluatie van een voorstel voor een overheidscontract kan gebruikmaken van het SSP en kan ook vragen om een Plan van Aanpak en Mijlpalen (POA&M) om de naleving te documenteren als onderdeel van de overweging om een DoD-contract te gunnen.
Voor fabrikanten die producten leveren binnen toeleveringsketens voor het DoD, biedt NIST een handboek voor zelfbeoordeling, NIST Handbook 162, “NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements.” Het handboek biedt een stapsgewijze handleiding voor het beoordelen van de informatiesystemen van een kleine fabrikant aan de hand van de beveiligingseisen in NIST SP 800-171.
Be Prepared – Compliance Audits are coming
In januari 2019 heeft de Under Secretary of Defense een memo uitgegeven waarin de intentie wordt gedocumenteerd om de DoD supply chain te auditen op DFARS compliance. De memo draagt het Defense Contract Management Agency (DCMA) op om alle tier one contractanten te auditen om te valideren of contractanten voldoen aan de vereisten van DFARS clausule 252.204-7012. Een DCMA-audit voor een organisatie met een DoD-contract met CDI omvat in het algemeen het volgende:
- Verifiëren of de aannemer een SSP heeft
- Verifiëren of de aannemer een 30-dagenmelding heeft ingediend waarin alle nog niet geïmplementeerde beveiligingscontroles worden vermeld.
- Verifiëren of de aannemer een geldig PKI-certificaat (Public Key Infrastructure) met gemiddelde zekerheid heeft, dat vereist is voor het melden van cyberincidenten (ECA-certificaatbeleid https://iase.disa.mil/pki/eca/Pages/index.aspx).
De auditvereisten vereisen alleen een directe beoordeling van Tier 1-leveranciers door de DCMA, maar dit zal naar verwachting ook gevolgen hebben voor de hele DoD-toeleveringsketen voor zakelijke partners van aannemers. Als een organisatie wil concurreren om DoD-contracten in de toeleveringsketen en in staat wil zijn om verantwoording aan te tonen met een eenvoudig “Ja” op een DFARS-leveranciersenquête, wees dan proactief en neem contact op met een deskundige, op beveiliging gerichte derde partij, Managed Security Service Provider (MSSP). Een MSSP met gespecialiseerde expertise in de DFARS-nalevingseisen voor DoD-aannemers zal uw organisatie helpen bij het uitvoeren van de vereiste beoordeling en audit, en bij het uitvoeren van alle herstelwerkzaamheden die nodig zijn om DFARS-naleving te bereiken.
Het bereiken van DFARS/NIST SP 800-171 compliance is geen eenmalige oplossing. Het is een continu proces van beoordeling, monitoring en verbetering om ervoor te zorgen dat uw organisatie blijft voldoen aan de voortdurend veranderende beveiligingsvereisten, en dus in aanmerking komt als een DoD contractor. Een MSSP zoals RSI Security met gespecialiseerde expertise in compliance-services voor DoD-aannemers die moeten voldoen aan DFARS-naleving en bewaakte cyberbeveiliging zal uw organisatie helpen bij het uitvoeren van de vereiste beoordeling en audit, en het uitvoeren van eventuele herstelwerkzaamheden die nodig zijn om DFARS/NIST SP 800-171-naleving te bereiken. Neem vandaag nog contact met ons op voor persoonlijke hulp bij al uw behoeften op het gebied van compliance advisory services.
Een defensieaannemer die door het DoD wordt geauditeerd en niet in compliance blijkt te zijn, krijgt waarschijnlijk te maken met een stop-work order. Dit zou betekenen dat al het werk dat voor een DoD-contract wordt gedaan, wordt opgeschort totdat de juiste beveiligingsmaatregelen zijn geïmplementeerd om CDI effectief te beschermen. Het DoD kan ook financiële sancties opleggen, waaronder schadevergoeding wegens contractbreuk of valse claims. In ernstige gevallen van niet-naleving kan het DoD contracten beëindigen of een contractant zelfs verbieden ooit nog met het DOD samen te werken.
Wat contractanten kunnen doen om voorbereid te zijn
Om voorbereid te zijn op de huidige en toekomstige DFARS-vereisten kunnen contractanten proactief te werk gaan door het volgende te doen:
- Overloop NIST SP 800-171-beveiligingscontroles om te controleren of de beveiligingscontroles van uw organisatie voldoende bescherming bieden tegen een breed scala aan potentiële cyberaanvallen.
- Voer een gap assessment uit om te bepalen of niet aan alle vereiste beveiligingscontroles wordt voldaan en verhelp alle geïdentificeerde hiaten door een SSP en POA te ontwikkelen&M
- Als uw organisatie met onderaannemers en leveranciers werkt, ontwikkel dan een plan om hun compliance te beoordelen en ervoor te zorgen dat alle CDI die naar onderaannemers wordt doorgesluisd, met adequate beveiligingscontroles wordt beschermd.
- Ontwikkel een plan voor het traceren van CDI flow down vereisten voor het delen van informatie met onderaannemers en leveranciers door de gehele toeleveringsketen.
De DFARS Compliance Checklist kan ook een nuttig hulpmiddel zijn bij de voorbereiding op DFARS compliance.
Een MSSP zoals RSI Security die gespecialiseerde expertise heeft in compliance services voor DoD contractors kan uw organisatie helpen bij het beoordelen van de huidige compliance en het uitvoeren van eventuele herstelwerkzaamheden die nodig zijn om DFARS/NIST SP 800-171 compliance te bereiken. Neem vandaag nog contact met ons op voor persoonlijke hulp bij al uw assessment en compliance behoeften.
RSI Security Aanbod:
RSI Security helpt al 10 jaar lang iedereen, van corporaties tot individuele contractors, DFARS compliance te halen. Wij zijn een van de leiders op het gebied van digitale beveiliging en consultancy. Wij zijn goed thuis in alle aspecten van security compliance en zullen u snel DFARS compliant maken. We hebben ook een positieve relatie met het DoD dat een aantal van de hindernissen kan verlichten die zo’n gecompliceerde onderneming met zich meebrengt.
Onze beveiligingsdiensten zijn van topklasse, gebruikmakend van de beste tools, voorzieningen en praktijken om uw bedrijf veilig te houden tegen verstorende inbreuken op beveiligingsgegevens. Kwetsbaarheidsbeoordelingen, real-time gedragsmonitoring, inbraakdetectie, geavanceerde digitale patroonopsporing en een inherent begrip van hoe hackers te werk gaan, zijn slechts enkele van de redenen waarom RSI Security toonaangevend is op het gebied van digitale cyberbeveiligingsoplossingen.
Kijk op onze website voor meer informatie en om meer te weten te komen over de verschillende diensten die wij aanbieden.