Se você é um cliente ou uma empresa que apóia clientes que servem o Departamento de Defesa (DoD) como contratante ou subcontratado, você provavelmente já ouviu falar do DFARS (Defense Federal Acquisition Regulation Supplement). Proteger informações sensíveis da defesa nacional compartilhadas com e criadas e mantidas por organizações privadas que apóiam contratos do governo federal é vital para nossa segurança nacional. Contratantes do DoD que processam, divulgam, armazenam ou transmitem Informações Não Classificadas Controladas (CUI) são obrigados a cumprir os padrões mínimos de segurança do DFARS ou correm o risco de perder contratos DoD existentes e a elegibilidade para contratos futuros.
Requisitos de conformidade de segurança do DFARS devem ser aplicados tanto por contratados quanto por subcontratados, seguindo as orientações da Publicação Especial 800-171 do National Institute of Standards and Technology (NIST) “Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations”. Felizmente, os requisitos de conformidade do DFARS são um conjunto de controles de segurança padrão baseados nas melhores práticas que já estão em uso para a segurança da informação, portanto, a conformidade não é um desafio assustador. A Subparte 204.73 da Regra de Segurança Cibernética do DFARS (revista em 28 de dezembro de 2017), “Safeguarding Covered Defense Information and Cyber Incident Reporting” pode ser encontrada aqui: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm
- Proteger Informações de Defesa Cobertas
- Minimum Requirements for Federal Contractors
- Subcontratante e Gerenciamento da Cadeia de Suprimentos
- Relato de Incidente de Ciber-segurança
- Prestadores de serviços em nuvem
- Provar a conformidade DFARS
- Estar preparado – As auditorias de conformidade estão chegando
- O que os empreiteiros podem fazer para estarem preparados
- RSI Security Offerings:
Proteger Informações de Defesa Cobertas
Para atingir a conformidade de segurança cibernética DFARS, os sistemas de informação de um contratante de defesa devem fornecer as mesmas proteções e atender aos mesmos requisitos de conformidade DFARS para dados federais que um sistema de informação federal interno. A proteção de Informações de Defesa Cobertas (CDI) é um requisito central do DFARS, e CDI é um subconjunto de Informações Não Classificadas Controladas (CUI). O CDI é fornecido a um contratante pelo DoD, e torna-se responsabilidade do contratante proteger a segurança e integridade das informações. CDI tem quatro subcategorias, informação técnica controlada (CTI), informação de segurança de operações, informação controlada de exportação, e outras informações marcadas que requerem proteção.
Avalie sua conformidade com o DFARS
CTI é informação técnica relacionada a operações militares, porém não é considerada informação geral do DoD. A visualização do CTI não requer uma autorização de segurança, no entanto, não é informação disponível publicamente. O CTI está sujeito a controles sobre seu acesso, exibição, uso, divulgação, reprodução, modificação, desempenho ou divulgação. O DFARS fornece definição adicional para que o CTI inclua:
| >ul>>li> Dados de engenharia e pesquisa | >ul>>li>Desenhos de engenharia e dados relacionados |
| ul>>>li> Dados Sets |
|
|
|
|
|
|
|
Minimum Requirements for Federal Contractors
DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. Sob a cláusula 252.204-7012 do DFARS, “Safeguarding Covered Defense Information and Cyber Incident Reporting”, os contratados do DoD devem cumprir com a Publicação Especial 800-171 do NIST que fornece uma estrutura de requisitos para os contratados protegerem informações sensíveis de defesa em sistemas não classificados e não-federais e relatarem incidentes de cibersegurança.
A estrutura regulatória DFARS Cláusula 252.204-7012 exige que os contratados de defesa documentem especificamente como os seguintes componentes de requisitos são atendidos:
- O primeiro componente envolve fornecer segurança adequada para qualquer sistema de informação de contratados não-federais cobertos. A segurança adequada é definida como medidas de proteção em linha com os danos que podem ocorrer devido a acesso não autorizado, perda, mau uso ou modificação de informações devido a um incidente de segurança. A conformidade com as diretrizes da NIST SP 800-171 efetivamente fornece “segurança adequada”
- Segundo componente envolve a comunicação de incidentes de segurança cibernética. Os elementos do relatório de incidentes cibernéticos mínimos necessários podem ser encontrados aqui: http://dibnet.dod.mil. O portal DIBNet é uma porta de entrada para os contratantes e subcontratados do DoD relatarem incidentes cibernéticos e participarem voluntariamente do Programa de Segurança Cibernética do DoD.
Se software malicioso for determinado como parte do incidente relatado, uma descrição do evento também deve ser submetida ao Centro de Crimes Cibernéticos do DoD. A orientação para relato de incidentes requer preservação e proteção de imagens de todos os sistemas de informação afetados conhecidos e de todos os dados relevantes de monitoramento/captura de pacotes por um mínimo de 90 dias a partir do envio de um relatório de incidente cibernético. Se o DoD decidir conduzir uma avaliação formal dos danos causados por um evento de segurança cibernética, um contratado seria obrigado a enviar a mídia e outros materiais que apóiem essa avaliação.
Requisitos específicos da DFARS são explorados com mais detalhes abaixo.
Subcontratante e Gerenciamento da Cadeia de Suprimentos
A Cláusula 252.204-7012 da DFARS foi emendada para limitar a conformidade do fluxo para baixo a subcontratados e fornecedores cujos esforços envolvem CDI ou são considerados suporte operacionalmente crítico. Os contratantes principais do DoD sob o DFARS são obrigados a ser proativos, fortalecendo toda a cadeia de fornecimento, garantindo não apenas sua própria conformidade com o DFARS, mas assegurando que os subcontratados também demonstrem conformidade. Consequentemente, os subcontratados são responsáveis por relatar quaisquer práticas que possam desviar-se das diretrizes do DFARS e NIST 800-171 antes que qualquer CDI seja compartilhada com o subcontratado. É importante que um contratante principal controle quais informações fluem para os subcontratados com base nos dados do CDI que um subcontratado precisará acessar para realizar o trabalho que lhe foi atribuído sob um contrato federal.
Relato de Incidente de Ciber-segurança
Uma responsabilidade do contratante sob os padrões do DFARS no caso de um incidente de ciber-segurança que comprometa a integridade da informação ou um sistema de informação é o relato rápido, o que requer o relato do incidente ao DoD dentro de 72 horas. Para determinar a extensão de um potencial comprometimento, é necessária uma avaliação que no mínimo deve incluir uma lista de sistemas comprometidos, dados técnicos e usuários, e uma lista de quaisquer outros sistemas que possam ter sido comprometidos. A avaliação também deve fornecer uma revisão completa do sistema e fornecer métodos para prevenir quaisquer incidentes futuros.
Os eventos de cibersegurança vivenciados pelos subcontratados devem ser reportados ao contratante principal ou ao subcontratado seguinte, com provas fornecidas de acordo com os requisitos do DFARS. O contratante principal é responsável pela comunicação de incidentes do DoD com as provas apresentadas como detalhado para os contratantes acima.
Prestadores de serviços em nuvem
Se um contratante usa um prestador de serviços em nuvem para armazenar, processar ou transmitir CDI para um contrato DoD, há três padrões de segurança que podem ser relevantes para a conformidade DFARS:
- Um contratante que usa uma solução em nuvem para hospedar ou processar dados para um contrato DoD deve garantir que o prestador de serviços em nuvem cumpra os requisitos de segurança estabelecidos no Federal Risk and Authorization Management Program (“FedRamp”) linha de base moderada e deve cumprir os requisitos específicos do DFARS, incluindo os requisitos de relatórios de incidentes.
- NIST SP 800-171 são aplicáveis quando um contratante usa computação em nuvem interna (não uma plataforma de terceiros) em um sistema corporativo para hospedar ou processar dados para suportar um contrato DoD.
- Um contratante que usa computação em nuvem para fornecer serviços de TI para o DoD deve cumprir os requisitos do “Guia de Requisitos de Segurança de Computação em Nuvem” (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html. O SRG delineia um modelo de segurança que fornece controles e requisitos de serviços e níveis de segurança para os contratantes na implementação e manutenção dos controles de segurança física, administrativa e técnica necessários para utilizar serviços baseados na nuvem.
Provar a conformidade DFARS
A autotestação é atualmente considerada suficiente para provar a conformidade DFARS, portanto, uma auditoria de terceiros não é um requisito. Uma SSP bem documentada baseada na NIST 800-171 que conecta os controles à sua implementação, ou um controle compensatório, é suficiente para resolver quaisquer questões que possam surgir. A avaliação técnica de uma proposta de contrato governamental pode usar a SSP e também pode solicitar um Plano de Ação e Marcos (POA&M) para documentar a conformidade como parte da consideração para uma adjudicação de contrato DoD.
Para fabricantes que fornecem produtos dentro de cadeias de fornecimento para o DoD, NIST fornece um manual de auto-avaliação, NIST Handbook 162, “NIST MEP MEP NIST Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements”. O manual fornece um guia passo a passo para avaliar os sistemas de informação de um pequeno fabricante em relação aos requisitos de segurança no NIST SP 800-171.
Estar preparado – As auditorias de conformidade estão chegando
Em janeiro de 2019, a Subsecretaria de Defesa emitiu um memorando documentando a intenção de auditar a cadeia de suprimentos do DoD para conformidade com o DFARS. O memorando atribui à Agência de Gestão de Contratos de Defesa (DCMA) a tarefa de auditar todos os contratantes da camada um para validar a conformidade do contratante com a cláusula 252.204-7012 do DFARS. Uma auditoria DCMA para uma organização com um contrato DoD com CDI geralmente incluirá o seguinte:
- Verificando que o contratante tem uma SSP
- Verificando que o contratante submeteu uma notificação de 30 dias listando qualquer controle de segurança ainda não implementado.
- Verificando que o contratante tem um certificado de Infra-Estrutura de Chave Pública (PKI) de garantia de meio válido exigido para relatórios de incidentes cibernéticos (Política de Certificado ECA https://iase.disa.mil/pki/eca/Pages/index.aspx).
Os requisitos de auditoria requerem apenas uma avaliação DCMA directa dos fornecedores de nível 1, no entanto, espera-se que isto também tenha impacto em toda a cadeia de fornecimento do DoD para os parceiros de negócio dos contratantes. Se uma organização quer competir por contratos de DoD no mercado da cadeia de fornecimento e ser capaz de demonstrar responsabilidade com um fácil “Sim” em uma pesquisa de fornecedores DFARS, seja proativo e entre em contato com um provedor de serviços de segurança terceirizado (MSSP) focado em segurança. Um MSSP com experiência especializada em requisitos de conformidade com o DFARS para contratados DoD ajudará sua organização a realizar a avaliação e auditoria necessárias, e conduzir qualquer trabalho de remediação necessário para atingir a conformidade com o DFARS.
Aquiar a conformidade DFARS/NIST SP 800-171 não é uma solução única. É um processo contínuo de avaliação, monitoramento e melhoria para assegurar que sua organização mantenha a conformidade com os requisitos de segurança em constante evolução e, portanto, a elegibilidade como contratante do DoD. Um MSSP como o RSI Security com experiência especializada em serviços de conformidade para contratados DoD necessários para atender à conformidade DFARS e monitorar a ciber-segurança ajudará sua organização a realizar a avaliação e auditoria necessárias e conduzir qualquer trabalho de correção necessário para atingir a conformidade DFARS/NIST SP 800-171. Contacte-nos hoje para obter ajuda pessoal com todas as suas necessidades de serviços de consultoria em conformidade.
Um empreiteiro de defesa que seja auditado pelo DoD e que não esteja em conformidade, provavelmente enfrentará uma ordem de paragem de trabalho. Isto significaria que qualquer trabalho feito para um contrato DoD seria suspenso até que medidas de segurança apropriadas sejam implementadas para proteger efetivamente o CDI. O DoD também poderia cobrar penalidades financeiras que poderiam incluir danos por quebra de contrato ou falsas reivindicações. Em casos graves de descumprimento, o DoD poderia terminar contratos ou mesmo suspender um empreiteiro de voltar a trabalhar com o DOD.
O que os empreiteiros podem fazer para estarem preparados
Para estarem preparados sob os requisitos DFARS atuais e futuros, os empreiteiros podem ser proativos com o seguinte:
- Reveja os controles de segurança NIST SP 800-171 para verificar os controles de segurança de sua organização para fornecer proteção adequada contra uma ampla gama de ciberataques em potencial.
- Realize uma avaliação de gaps para determinar se algum controle de segurança necessário não está sendo cumprido e remediar quaisquer gaps identificados desenvolvendo um SSP e POA&M
- Desenvolva um plano para rastrear os requisitos de fluxo de CDI para baixo para compartilhar informações com subempreiteiros e fornecedores através de toda a cadeia de suprimentos.
li> Se sua organização trabalha com subcontratados e fornecedores, desenvolva um plano para avaliar sua conformidade e garantir que todo CDI que flui até os subcontratados esteja protegido com controles de segurança adequados.
A Lista de Verificação de Conformidade DFARS também pode ser uma ferramenta útil na preparação para a conformidade DFARS.
Uma MSSP como a RSI Security, que tem experiência especializada em serviços de conformidade para os contratados do DoD, pode ajudar sua organização a avaliar a conformidade atual e conduzir qualquer trabalho de remediação necessário para atingir a conformidade DFARS/NIST SP 800-171. Contacte-nos hoje para ajuda pessoal com todas as suas necessidades de avaliação e conformidade.
RSI Security Offerings:
RSI Security tem ajudado a todos, de corporações a contratantes individuais a passar a conformidade DFARS por 10 anos. Nós somos um dos líderes em consultoria e segurança digital. Nós somos bem versados em todos os aspectos da conformidade de segurança e teremos você em conformidade com o DFARS em tempo hábil. Nós também temos uma relação positiva com o Departamento de Defesa que pode aliviar alguns dos obstáculos que surgem em um esforço tão complicado.
Nossos serviços de segurança são de primeira classe em todo o caminho, utilizando as melhores ferramentas, provisões e práticas para manter a sua empresa segura contra violações disruptivas de dados de segurança. Avaliações de vulnerabilidade, monitoramento comportamental em tempo real, detecção de intrusão, rastreamento sofisticado de padrões digitais e um entendimento inerente de como os hackers operam são apenas algumas das razões pelas quais a RSI Security é líder em soluções digitais de segurança cibernética.
Cheque nosso site para obter mais informações e aprender sobre os vários serviços que oferecemos.