Co oznacza skrót DFARS?

Jeśli jesteś klientem lub firmą, która wspiera klientów, którzy służą Departamentowi Obrony (DoD) jako wykonawca lub podwykonawca, prawdopodobnie słyszałeś o DFARS (Defense Federal Acquisition Regulation Supplement). Ochrona poufnych informacji z zakresu obrony narodowej, udostępnianych, tworzonych i przechowywanych przez organizacje prywatne, które obsługują kontrakty rządu federalnego, ma kluczowe znaczenie dla naszego bezpieczeństwa narodowego. Wykonawcy DoD, którzy przetwarzają, rozpowszechniają, przechowują lub przekazują Controlled Unclassified Information (CUI) są zobowiązani do spełnienia minimalnych standardów bezpieczeństwa DFARS lub ryzykują utratę istniejących kontraktów DoD i możliwości ubiegania się o przyszłe kontrakty.

Wymogi bezpieczeństwa DFARS muszą być stosowane zarówno przez wykonawców, jak i podwykonawców, zgodnie z wytycznymi zawartymi w publikacji specjalnej National Institute of Standards and Technology (NIST) 800-171 „Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations”. Na szczęście wymogi zgodności z DFARS to zestaw standardowych kontroli bezpieczeństwa opartych na najlepszych praktykach, które są już stosowane w zakresie bezpieczeństwa informacji, więc zgodność nie jest zniechęcającym wyzwaniem. DFARS Cybersecurity Rule Subpart 204.73 (zmieniony 28 grudnia 2017 r.), „Safeguarding Covered Defense Information and Cyber Incident Reporting” można znaleźć tutaj: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm

Ochrona Covered Defense Information

Aby osiągnąć zgodność z DFARS w zakresie cyberbezpieczeństwa, systemy informatyczne kontrahenta obronnego muszą zapewniać taką samą ochronę i spełniać te same wymogi zgodności z DFARS dla danych federalnych, co wewnętrzny federalny system informacyjny. Ochrona Informacji Obronnych objętych klauzulą tajności (CDI) jest podstawowym wymogiem DFARS, a CDI jest podzbiorem Kontrolowanych Informacji Niejawnych (CUI). CDI są przekazywane wykonawcy przez DoD i to na wykonawcy spoczywa odpowiedzialność za ochronę bezpieczeństwa i integralności tych informacji. CDI ma cztery podkategorie, kontrolowane informacje techniczne (CTI), informacje dotyczące bezpieczeństwa operacji, informacje kontrolowane przy eksporcie oraz inne oznaczone informacje wymagające ochrony.

Oceń swoją zgodność z DFARS

CTI to informacje techniczne związane z operacjami wojskowymi, jednak nie są one uważane za ogólne informacje DoD. Przeglądanie CTI nie wymaga poświadczenia bezpieczeństwa, jednak nie są to informacje publicznie dostępne. CTI podlega kontroli w zakresie dostępu, wyświetlania, wykorzystania, ujawniania, reprodukcji, modyfikacji, wykonywania lub rozpowszechniania. DFARS zawiera dodatkową definicję CTI, która obejmuje:

  • Dane inżynierskie i badawcze
  • Rysunki inżynierskie i związane z nimi dane
  • Zestawy danych
  • Dane dotyczące. Sets
  • Specifications
  • Standards
  • Manuals
  • Technical reports and orders
  • Studies, analyses and related information
  • Computer software code and source code
  • Process sheets

Minimum Requirements for Federal Contractors

DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. Zgodnie z klauzulą DFARS 252.204-7012, „Zabezpieczanie objętych informacji obronnych i zgłaszanie incydentów cybernetycznych”, wykonawcy DoD muszą stosować się do specjalnej publikacji NIST 800-171, która zapewnia ramy wymagań dla wykonawców w zakresie ochrony wrażliwych informacji obronnych w jawnych systemach niefederalnych i zgłaszania incydentów cybernetycznych.

Ramy regulacyjne DFARS Clause 252.204-7012 wymagają od wykonawców usług obronnych udokumentowania, w jaki sposób spełnione są następujące składniki wymagań:

  • Pierwszy składnik obejmuje zapewnienie odpowiedniego bezpieczeństwa dla wszelkich niefederalnych systemów informacyjnych wykonawcy. Odpowiednie bezpieczeństwo jest definiowane jako środki ochronne odpowiadające szkodom, które mogą wystąpić w wyniku nieuprawnionego dostępu, utraty, niewłaściwego wykorzystania lub modyfikacji informacji w wyniku zdarzenia naruszającego bezpieczeństwo. Zgodność z wytycznymi NIST SP 800-171 skutecznie zapewnia „odpowiednie bezpieczeństwo”
  • Drugi komponent obejmuje raportowanie incydentów związanych z bezpieczeństwem cybernetycznym. Minimalne wymagane elementy raportu o incydencie cybernetycznym można znaleźć tutaj: http://dibnet.dod.mil. Portal DIBNet jest bramą dla wykonawców i podwykonawców DoD do zgłaszania incydentów cybernetycznych i dobrowolnego uczestnictwa w programie bezpieczeństwa cybernetycznego DoD.

Jeśli złośliwe oprogramowanie zostanie uznane za część zgłoszonego incydentu, opis zdarzenia należy również przesłać do centrum ds. cyberprzestępczości DoD. Wytyczne dotyczące zgłaszania incydentów wymagają zachowania i ochrony obrazów wszystkich znanych dotkniętych systemów informatycznych oraz wszystkich istotnych danych z monitorowania/przechwytywania pakietów przez co najmniej 90 dni od zgłoszenia incydentu cybernetycznego. Jeśli DoD zdecyduje się na przeprowadzenie formalnej oceny szkód spowodowanych zdarzeniem związanym z bezpieczeństwem cybernetycznym, wykonawca będzie zobowiązany do przedłożenia nośników i innych materiałów wspierających tę ocenę.

Understanding DFARS 252.204-7012 and NIST SP 800-171

Szczególne wymogi DFARS zostały omówione bardziej szczegółowo poniżej.

Zarządzanie podwykonawcami i łańcuchem dostaw

Klauzula 252.204-7012 DFARS została zmieniona w celu ograniczenia zgodności z zasadą flow-down do podwykonawców i dostawców, których działania obejmują CDI lub są uważane za wsparcie o krytycznym znaczeniu operacyjnym. Główni wykonawcy DoD zgodnie z DFARS są zobowiązani do proaktywnej postawy poprzez wzmocnienie całego łańcucha dostaw, zapewniając nie tylko własną zgodność z DFARS, ale także zapewniając, że podwykonawcy również wykażą zgodność. W związku z tym, podwykonawcy są odpowiedzialni za zgłaszanie wszelkich praktyk, które mogłyby odbiegać od wytycznych DFARS i NIST 800-171, zanim jakikolwiek CDI zostanie udostępniony podwykonawcy. Ważne jest, aby główny wykonawca kontrolował, jakie informacje spływają do podwykonawców w oparciu o dane CDI, do których podwykonawca będzie musiał uzyskać dostęp, aby wykonać powierzone mu zadania w ramach umowy federalnej.

Raportowanie incydentów związanych z bezpieczeństwem cybernetycznym

Odpowiedzialność wykonawcy zgodnie ze standardami DFARS w przypadku incydentu związanego z bezpieczeństwem cybernetycznym, który narusza integralność informacji lub systemu informatycznego, polega na szybkim zgłoszeniu, co wymaga zgłoszenia incydentu do DoD w ciągu 72 godzin. W celu określenia zakresu potencjalnego zagrożenia wymagana jest ocena, która musi zawierać co najmniej wykaz zagrożonych systemów, danych technicznych i użytkowników, a także wykaz wszelkich innych systemów, które mogły zostać zagrożone. Ocena musi również zawierać dokładny przegląd systemu oraz przedstawiać metody zapobiegania przyszłym incydentom.

Zdarzenia związane z bezpieczeństwem cybernetycznym, których doświadczyli podwykonawcy, muszą zostać zgłoszone głównemu wykonawcy lub podwykonawcy wyższego szczebla, z podaniem dowodów zgodnie z wymaganiami DFARS. Główny wykonawca jest odpowiedzialny za zgłaszanie incydentów DoD z przedstawieniem dowodów, jak opisano powyżej dla wykonawców.

Dostawcy usług w chmurze

Jeśli wykonawca korzysta z dostawcy usług w chmurze do przechowywania, przetwarzania lub przekazywania CDI w ramach umowy DoD, istnieją trzy standardy bezpieczeństwa, które mogą być istotne dla zgodności z DFARS:

  • Wykonawca, który korzysta z rozwiązania w chmurze do hostowania lub przetwarzania danych w ramach umowy DoD, musi zapewnić, że dostawca usług w chmurze spełnia wymagania bezpieczeństwa ustalone w Federalnym Programie Zarządzania Ryzykiem i Autoryzacją („FedRamp”) na umiarkowanym poziomie bazowym i musi spełniać określone wymagania DFARS, w tym wymagania dotyczące zgłaszania incydentów.
  • Standardy NIST SP 800-171 mają zastosowanie, gdy wykonawca używa wewnętrznej chmury obliczeniowej (a nie platformy strony trzeciej) w systemie przedsiębiorstwa do hostowania lub przetwarzania danych w celu wsparcia kontraktu DoD.
  • Wykonawca, który używa chmury obliczeniowej do świadczenia usług IT dla DoD musi spełniać wymagania zawarte w „Przewodniku wymagań bezpieczeństwa przetwarzania w chmurze” (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html. SRG nakreśla model bezpieczeństwa, który zapewnia kontrolę usług i poziomów bezpieczeństwa oraz wymagania dla wykonawców w zakresie wdrażania i utrzymywania fizycznych, administracyjnych i technicznych kontroli bezpieczeństwa niezbędnych do korzystania z usług opartych na chmurze.

Wykazanie zgodności z DFARS

Samoocena jest obecnie uważana za wystarczającą do wykazania zgodności z DFARS, więc audyt trzeciej strony nie jest wymagany. Dobrze udokumentowany SSP oparty na NIST 800-171, który łączy kontrole z ich wdrożeniem lub kontrolą kompensacyjną, jest wystarczający do rozwiązania wszelkich pytań, które mogłyby się pojawić. Ocena techniczna propozycji kontraktu rządowego może wykorzystywać SSP i może również wymagać planu działania i kamieni milowych (POA&M) w celu udokumentowania zgodności w ramach rozważania przyznania kontraktu DoD.

Dla producentów, którzy dostarczają produkty w ramach łańcuchów dostaw dla DoD, NIST udostępnia podręcznik samooceny, NIST Handbook 162, „NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements”. Podręcznik zawiera przewodnik krok po kroku do oceny systemów informatycznych małego producenta pod kątem wymagań bezpieczeństwa zawartych w NIST SP 800-171.

Be Prepared – Compliance Audits are coming

W styczniu 2019 r. podsekretarz obrony wydał notatkę dokumentującą zamiar przeprowadzenia audytu łańcucha dostaw DoD pod kątem zgodności z DFARS. Notatka powierza Agencji Zarządzania Kontraktami Obronnymi (DCMA) przeprowadzenie audytu wszystkich wykonawców warstwy pierwszej w celu sprawdzenia zgodności wykonawcy z wymaganiami klauzuli DFARS 252.204-7012. Audyt DCMA dla organizacji posiadającej kontrakt DoD z CDI będzie zasadniczo obejmował następujące elementy:

  • Sprawdzenie, czy wykonawca posiada SSP
  • Sprawdzenie, czy wykonawca złożył 30-dniowe powiadomienie z wykazem wszelkich kontroli bezpieczeństwa, które nie zostały jeszcze wdrożone
  • Sprawdzenie, czy wykonawca posiada ważny certyfikat infrastruktury klucza publicznego (PKI) o średnim poziomie zabezpieczeń, wymagany do zgłaszania incydentów cybernetycznych (ECA Certificate Policy https://iase.disa.mil/pki/eca/Pages/index.aspx).

Wymogi audytu wymagają od DCMA jedynie bezpośredniej oceny dostawców poziomu pierwszego, jednak oczekuje się, że będzie to miało wpływ na cały łańcuch dostaw DoD również dla partnerów biznesowych wykonawców. Jeśli organizacja chce konkurować o kontrakty DoD na rynku łańcucha dostaw i być w stanie wykazać się odpowiedzialnością poprzez łatwe „Tak” w ankiecie DFARS dotyczącej dostawców, należy być proaktywnym i skontaktować się z ekspertem w dziedzinie bezpieczeństwa, zewnętrznym dostawcą usług Managed Security Service Provider (MSSP). MSSP posiadający specjalistyczną wiedzę na temat wymogów zgodności z DFARS dla wykonawców DoD pomoże Twojej organizacji w przeprowadzeniu wymaganej oceny i audytu oraz wykonaniu wszelkich prac naprawczych niezbędnych do osiągnięcia zgodności z DFARS.

Osiągnięcie zgodności z DFARS/NIST SP 800-171 nie jest rozwiązaniem jednorazowym. Jest to ciągły proces oceny, monitorowania i doskonalenia w celu zapewnienia, że organizacja utrzymuje zgodność z ciągle zmieniającymi się wymogami bezpieczeństwa, a tym samym kwalifikuje się jako wykonawca DoD. MSSP, takie jak RSI Security, posiadające specjalistyczną wiedzę w zakresie usług zgodności dla wykonawców DoD, którzy muszą spełnić wymagania DFARS i monitorowanego bezpieczeństwa cybernetycznego, pomoże Twojej organizacji w przeprowadzeniu wymaganej oceny i audytu oraz wykonaniu wszelkich prac naprawczych niezbędnych do osiągnięcia zgodności z DFARS/NIST SP 800-171. Skontaktuj się z nami już dziś, aby uzyskać osobistą pomoc we wszystkich potrzebach związanych z usługami doradczymi w zakresie zgodności.

Wykonawca z branży obronnej, który został skontrolowany przez DoD i okazało się, że nie jest zgodny z przepisami, prawdopodobnie stanie w obliczu nakazu wstrzymania prac. Oznaczałoby to, że wszelkie prace wykonywane w ramach kontraktu DoD zostaną zawieszone do czasu wdrożenia odpowiednich środków bezpieczeństwa w celu skutecznej ochrony CDI. DoD może również nałożyć kary finansowe, które mogą obejmować odszkodowania za naruszenie umowy lub fałszywe roszczenia. W poważnych przypadkach nieprzestrzegania przepisów, DoD może rozwiązać umowę lub nawet zawiesić wykonawcę w zakazie ponownej współpracy z DOD.

Co kontrahenci mogą zrobić, aby być przygotowanym

Aby być przygotowanym na obecne i przyszłe zmieniające się wymagania DFARS, kontrahenci mogą być proaktywni, wykonując następujące czynności:

  • Przegląd kontroli bezpieczeństwa NIST SP 800-171 w celu sprawdzenia, czy kontrole bezpieczeństwa organizacji zapewniają odpowiednią ochronę przed szerokim zakresem potencjalnych cyberataków.
  • Przeprowadź ocenę luk, aby określić, czy nie są spełnione jakiekolwiek wymagane kontrole bezpieczeństwa i zaradzić zidentyfikowanym lukom poprzez opracowanie SSP i POA&M
  • Jeśli Twoja organizacja współpracuje z podwykonawcami i dostawcami, opracuj plan oceny ich zgodności i upewnij się, że wszystkie CDI, które spływają do podwykonawców, są chronione za pomocą odpowiednich kontroli bezpieczeństwa.
  • Opracuj plan śledzenia wymagań dotyczących przepływu CDI w celu udostępniania informacji podwykonawcom i dostawcom w całym łańcuchu dostaw.

Lista kontrolna zgodności z DFARS może być również pomocnym narzędziem w przygotowaniu do uzyskania zgodności z DFARS.

MSP takie jak RSI Security, które posiada specjalistyczną wiedzę w zakresie usług zgodności dla wykonawców DoD, może pomóc Twojej organizacji w ocenie bieżącej zgodności i przeprowadzeniu wszelkich prac naprawczych niezbędnych do uzyskania zgodności z DFARS/NIST SP 800-171. Skontaktuj się z nami już dziś, aby uzyskać osobistą pomoc we wszystkich Twoich potrzebach związanych z oceną i zgodnością.

Oferta RSI Security:

RSI Security od 10 lat pomaga wszystkim, od korporacji po indywidualnych wykonawców, w osiągnięciu zgodności z DFARS. Jesteśmy jednym z liderów w dziedzinie bezpieczeństwa cyfrowego i konsultingu. Jesteśmy dobrze zorientowani we wszystkich aspektach bezpieczeństwa zgodności i będzie miał DFARS zgodne w sposób terminowy. Mamy również pozytywne relacje z DoD, które mogą złagodzić niektóre z przeszkód, które pojawiają się w tak skomplikowanym przedsięwzięciu.

Nasze usługi bezpieczeństwa są najwyższej klasy, wykorzystując najlepsze narzędzia, przepisy i praktyki, aby utrzymać Twoją firmę bezpieczną od destrukcyjnych naruszeń bezpieczeństwa danych. Ocena podatności, monitorowanie zachowań w czasie rzeczywistym, wykrywanie włamań, wyrafinowane śledzenie wzorców cyfrowych i zrozumienie sposobu działania hakerów to tylko kilka powodów, dla których RSI Security jest liderem w dziedzinie cyfrowych rozwiązań cyberbezpieczeństwa.

Sprawdź naszą stronę internetową, aby uzyskać więcej informacji i dowiedzieć się o różnych usługach, które oferujemy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *