Zgodność z DFARS już od jakiegoś czasu jest najważniejsza dla Prime contractors, jak również dostawców Departamentu Obrony. Ponad 87% kontraktów DoD napisanych w 2017 r. zawierało klauzulę DFARS 252.204-7012, a mali i duzi wykonawcy DoD czerpią korzyści z udowodnienia „odpowiedniego poziomu bezpieczeństwa” poprzez wdrożenie NIST SP 800-171, co widzimy na przykładzie naszej bazy klientów. Na drugim końcu tęczy cyberzgodności DoD, niektórzy doświadczają ciemnej strony odsuwania zgodności i obecnie spieszą się, aby znaleźć rozwiązanie, które usunie barierę w zdobywaniu nagród. Widzieliśmy to na własne oczy, pomagając klientom korzystać z CyberStrong, aby szybko uzyskać zgodność z przepisami.
Zgodnie z publikacją DoD Assessing the State of a Contractor’s Internal Information System in a Procurement Action, „Plany działania, ciągłe monitorowanie i plan bezpieczeństwa systemu (NIST SP 800-171 Security Requirements 312.2-3.12.4) muszą uwzględniać wszystkie wymagania bezpieczeństwa”.
Zgodnie z tym samym dokumentem, jednym z celów w ocenie wykonawcy do zamówienia jest ocena wdrożenia NIST SP 800-171 / DFARS 252.204-7012 jako oddzielnego czynnika technicznego oprócz „odpowiedniego bezpieczeństwa”, dlatego oceniający będzie „włączał Plan Bezpieczeństwa Systemu (SSP) i Plan Działania do umowy”. Uwaga: Jeśli nie posiadacie Państwo jeszcze SSP lub POAM, warto rozważyć ich zautomatyzowanie za pomocą Platformy CyberStrong.
Innym ważnym celem, na który należy zwrócić uwagę jest to, że organizacja, która przyznaje kontrakt będzie „Oceniać/śledzić wdrożenie wymagań bezpieczeństwa NIST SP 800-171 po przyznaniu kontraktu”. Cel ten ma wpływ na organizacje, które walczą z arkuszami kalkulacyjnymi, aby udowodnić zgodność – powinny one rozważyć użycie żywej, ciągłej platformy zgodności dla zgodności DFARS, takiej jak CyberStrong, która sprawi, że udowodnienie zgodności i śledzenie postępów będzie łatwe, proste i nieskomplikowane. Nie tylko podwykonawca musi śledzić i udowadniać zgodność, ale również główny wykonawca musi śledzić wszystkie swoje aspekty i dostawców. CyberStrong ułatwia zarówno dostawcom, jak i głównym wykonawcom sprawdzenie stanu zgodności i śledzenie postępów w celu wykazania należytej staranności i udowodnienia „odpowiedniego poziomu bezpieczeństwa”, jeśli nie lepiej.
Mając to na uwadze, poniżej znajduje się lista zagrożeń, które podejmujesz, gdy odsuwasz od siebie zgodność z DFARS 252.204-7012 lub zarządzasz nią w sposób, który utrudnia udowodnienie aspektu zgodności, np. za pomocą arkuszy kalkulacyjnych. Ryzyko to pochodzi z National Law Review.
Oferty: Wytyczne DoD, o których mowa powyżej, są jasne, że SSP i POA&Ms odgrywają rolę w kwalifikowaniu „odpowiedniego bezpieczeństwa”, ale nie wiemy, jaką rolę będą odgrywać w protestach ofertowych. Pierwszy projekt wytycznych mówi, że DoD może wykonać te działania w oparciu o te dokumenty: może podjąć decyzję akceptowalną/nieakceptowalną w oparciu o status wdrożenia, aby udzielić zamówienia lub nie, lub może ocenić wdrożenie „jako oddzielny czynnik oceny technicznej.” Sugeruje to jednak, że może być wymagane więcej wymagań niż minimum wymagane w NIST SP 800-171.
Jako organizacja w procesie ofertowym, możesz spotkać się z odmową z powodu niezgodności między twoim SSP i POAM a stanem twojego cyberbezpieczeństwa związanego z NIST 800-171. Jeśli wdrożenie NIST SP 800-171 przez odbiorcę jest niezgodne z jego dokumentami, DoD lub Prime prawdopodobnie wybierze inny kontrakt. Niezależnie od tego, będą wymagać SSP i POAM do przeglądu, ponieważ to one decydują o przyznaniu dostawcy na rok 2018. Jeśli otrzymałeś kwestionariusz w przeszłości, wiedz, że ten dokument nie czyni cię zgodnym, a te dokumenty zgodności są najważniejsze dla twojego sukcesu.
Termination: Aby ocenić zgodność z twoim SSP i POAM, wytyczne mówią, że twój kontrakt musi zawierać wymagania dotyczące danych kontraktowych (CDRL), które „wymagają dostarczenia Planu Bezpieczeństwa Systemu i wszelkich Planów Działania po udzieleniu zamówienia.” Ponownie, jeśli nie masz żywego, przejrzystego i prostego sposobu na przygotowanie tych dokumentów dla każdej nowej umowy – zautomatyzuj je! Dokładność SSP i POAM, plus wyraźne pokazanie, że podążasz w kierunku pełnej zgodności, jest najważniejsze. SSP i POAM będą zawarte w Twoim kontrakcie, a zatem brak zgodności może łatwo doprowadzić do rozwiązania umowy.
Audyty DCMA: DoD jasno określiło w prezentacjach i online, że DCMA zweryfikuje, czy wykonawca posiada SSP i POA&M. Jeśli DCMA nie współpracowała jeszcze z Państwa organizacją w zakresie NIST 800-171, może to być Państwa przyszłość.
False Claims Act: To ryzyko jest ważne, aby zwrócić na nie uwagę. Użycie SSP do oceny środków bezpieczeństwa i wykorzystanie go jako dokumentu związanego z kontraktem rządowym może zwiększyć potencjalne ryzyko naruszenia Ustawy o fałszywych roszczeniach dla Twojej firmy. Przykład: SSP może błędnie przedstawiać rzeczywisty status bezpieczeństwa cybernetycznego wykonawcy, a DoD może podjąć działania w oparciu o oszustwo przy nakłanianiu. DoD może ustalić, że status bezpieczeństwa cybernetycznego wykonawcy został uwzględniony w decyzji o przyznaniu zamówienia, a to może potencjalnie zagrozić wszystkim zarobkom w ramach kontaktu.