Dacă sunteți un client sau o întreprindere care sprijină clienții care deservesc Departamentul Apărării (DoD) în calitate de contractant sau subcontractant, probabil că ați auzit de Defense Federal Acquisition Regulation Supplement (DFARS). Protejarea informațiilor sensibile din domeniul apărării naționale partajate cu organizațiile private care sprijină contractele guvernului federal și create și menținute de acestea este vitală pentru securitatea noastră națională. Contractanții DoD care procesează, diseminează, stochează sau transmit informații neclasificate controlate (Controlled Unclassified Information – CUI) trebuie să respecte standardele minime de securitate DFARS, în caz contrar riscând să piardă contractele DoD existente și eligibilitatea pentru contracte viitoare.
Cerințele de conformitate în materie de securitate DFARS trebuie aplicate atât de contractanți, cât și de subcontractanți, urmând îndrumările din Publicația specială 800-171 a Institutului Național de Standarde și Tehnologie (NIST) „Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations”. Din fericire, cerințele de conformitate DFARS reprezintă un set de controale de securitate standard bazate pe cele mai bune practici care sunt deja utilizate pentru securitatea informațiilor, astfel încât conformitatea nu reprezintă o provocare descurajantă. Regula DFARS Cybersecurity Rule Subpart 204.73 (revizuită la 28 decembrie 2017), „Safeguarding Covered Defense Information and Cyber Incident Reporting” poate fi găsită aici: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm
- Protejarea informațiilor acoperite din domeniul apărării
- Minimum Requirements for Federal Contractors
- Gestionarea subcontractanților și a lanțului de aprovizionare
- Raportarea incidentelor de securitate cibernetică
- Furnizori de servicii cloud
- Demonstrarea conformității DFARS
- Fiți pregătiți – Urmează auditurile de conformitate
- Ce pot face contractanții pentru a fi pregătiți
- Ofertele RSI Security:
Protejarea informațiilor acoperite din domeniul apărării
Pentru a obține conformitatea cu securitatea cibernetică DFARS, sistemele informatice ale unui contractant din domeniul apărării trebuie să ofere aceleași protecții și să îndeplinească aceleași cerințe de conformitate DFARS pentru datele federale ca și un sistem informatic federal intern. Protecția informațiilor acoperite ale apărării (Covered Defense Information – CDI) este o cerință de bază a DFARS, iar CDI este un subset al informațiilor neclasificate controlate (Controlled Unclassified Information – CUI). CDI este furnizată unui contractant de către DoD și devine responsabilitatea contractantului să protejeze securitatea și integritatea informațiilor. CDI are patru subcategorii, informații tehnice controlate (controlled technical information – CTI), informații de securitate a operațiunilor, informații controlate la export și alte informații marcate care necesită protecție.
Evaluați conformitatea DFARS
CTI sunt informații tehnice legate de operațiunile militare, însă nu sunt considerate informații generale ale DoD. Vizualizarea CTI nu necesită o autorizație de securitate, însă nu sunt informații disponibile publicului. CTI face obiectul unor controale privind accesul, afișarea, utilizarea, divulgarea, reproducerea, modificarea, performanța sau diseminarea acesteia. DFARS oferă o definiție suplimentară pentru CTI, care include:
|
|
|
|
|
|
|
|
|
|
Minimum Requirements for Federal Contractors
DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. În temeiul clauzei DFARS 252.204-7012, „Safeguarding Covered Defense Information and Cyber Incident Reporting”, contractanții DoD trebuie să respecte Publicația specială 800-171 a NIST, care oferă un cadru de cerințe pentru ca contractorii să protejeze informațiile sensibile din domeniul apărării pe sisteme neclasificate, non-federale și să raporteze incidentele de securitate cibernetică.
Cadrul de reglementare al clauzei DFARS 252.204-7012 solicită contractanților din domeniul apărării să documenteze în mod specific modul în care sunt îndeplinite următoarele componente ale cerinței:
- Prima componentă implică asigurarea unei securități adecvate pentru orice sisteme de informații ale contractorului acoperite non-federale. Securitatea adecvată este definită ca măsuri de protecție în concordanță cu daunele care ar putea apărea din cauza accesului neautorizat, pierderii, utilizării abuzive sau modificării informațiilor din cauza unui incident de securitate. Conformitatea cu orientările NIST SP 800-171 asigură în mod eficient o „securitate adecvată”
- A doua componentă implică raportarea incidentelor de securitate cibernetică. Elementele minime necesare pentru raportarea incidentelor cibernetice pot fi găsite aici: http://dibnet.dod.mil. Portalul DIBNet este o poartă de acces pentru contractanții și subcontractanții DoD pentru a raporta incidentele cibernetice și pentru a participa în mod voluntar la programul de securitate cibernetică al DoD.
În cazul în care se stabilește că un software rău intenționat face parte din incidentul raportat, o descriere a evenimentului trebuie, de asemenea, trimisă la Centrul pentru infracțiuni cibernetice al DoD. Orientările privind raportarea incidentelor necesită păstrarea și protejarea imaginilor tuturor sistemelor informatice afectate cunoscute și a tuturor datelor relevante de monitorizare/captură de pachete timp de cel puțin 90 de zile de la depunerea unui raport de incident cibernetic. În cazul în care DoD decide să efectueze o evaluare formală a daunelor cauzate de un eveniment de securitate cibernetică, un contractant ar trebui să prezinte suporturi media și alte materiale care să susțină această evaluare.
Cerințele DFARS specifice sunt analizate mai detaliat mai jos.
Gestionarea subcontractanților și a lanțului de aprovizionare
Clauza 252.204-7012 din DFARS a fost modificată pentru a limita conformitatea flow-down la subcontractanții și furnizorii ale căror eforturi implică CDI sau sunt considerate sprijin critic din punct de vedere operațional. Contractorii principali din cadrul DoD în temeiul DFARS sunt obligați să fie proactivi prin consolidarea întregului lanț de aprovizionare, asigurând nu numai propria lor conformitate cu DFARS, ci asigurându-se că și subcontractorii demonstrează conformitatea. În consecință, subcontractanții sunt responsabili de raportarea oricăror practici care ar putea devia de la DFARS și de la orientările NIST 800-171 înainte ca orice CDI să fie împărtășit cu subcontractantul. Este important ca un contractant principal să controleze informațiile care ajung la subcontractanți, pe baza datelor CDI pe care un subcontractant va trebui să le acceseze pentru a-și îndeplini activitatea atribuită în cadrul unui contract federal.
Raportarea incidentelor de securitate cibernetică
Responsabilitatea unui contractant în conformitate cu standardele DFARS în cazul unui incident de securitate cibernetică care compromite integritatea informațiilor sau un sistem informatic este raportarea rapidă, ceea ce presupune raportarea incidentului către DoD în termen de 72 de ore. Pentru a determina amploarea unei potențiale compromiteri, este necesară o evaluare care trebuie să includă cel puțin o listă a sistemelor, a datelor tehnice și a utilizatorilor compromiși, precum și o listă a oricăror alte sisteme care ar fi putut fi compromise. Evaluarea trebuie, de asemenea, să furnizeze o analiză amănunțită a sistemului și să ofere metode de prevenire a oricăror incidente viitoare.
Evenimentele de securitate cibernetică experimentate de subcontractanți trebuie să fie raportate contractantului principal sau subcontractantului de nivel următor, cu dovezi furnizate conform cerințelor DFARS. Antreprenorul principal este responsabil pentru raportarea incidentelor DoD, cu prezentarea dovezilor, așa cum este detaliat mai sus pentru contractori.
Furnizori de servicii cloud
Dacă un contractant utilizează un furnizor de servicii cloud pentru a stoca, procesa sau transmite CDI pentru un contract DoD, există trei standarde de securitate care pot fi relevante pentru conformitatea DFARS:
- Un contractant care utilizează o soluție cloud pentru a găzdui sau procesa date pentru un contract DoD trebuie să se asigure că furnizorul de servicii cloud îndeplinește cerințele de securitate stabilite în linia de bază moderată a Programului federal de gestionare a riscurilor și autorizațiilor („FedRamp”) și trebuie să respecte cerințele specifice DFARS, inclusiv cerințele de raportare a incidentelor.
- Standardele NIST SP 800-171 sunt aplicabile atunci când un contractant utilizează cloud computing intern (nu o platformă terță parte) într-un sistem de întreprindere pentru a găzdui sau procesa date pentru a sprijini un contract DoD.
- Un contractant care utilizează cloud computing pentru a furniza servicii IT către DoD trebuie să respecte cerințele din „Ghidul privind cerințele de securitate pentru cloud computing” (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html. SRG prezintă un model de securitate care prevede controale și cerințe la nivelul serviciilor și al nivelurilor de securitate pentru contractori în ceea ce privește implementarea și menținerea controalelor de securitate fizice, administrative și tehnice necesare pentru utilizarea serviciilor bazate pe cloud computing.
Demonstrarea conformității DFARS
Atestarea de sine stătătoare este considerată în prezent suficientă pentru a dovedi conformitatea DFARS, astfel încât un audit de terță parte nu este o cerință. Un SSP bine documentat, bazat pe NIST 800-171, care face legătura între controale și punerea lor în aplicare, sau un control compensatoriu, este suficient pentru a rezolva orice întrebări care ar trebui să apară. Evaluarea tehnică a unei propuneri de contract guvernamental poate utiliza SSP și poate solicita, de asemenea, un Plan de acțiune și repere (POA&M) pentru a documenta conformitatea ca parte a analizei pentru atribuirea unui contract DoD.
Pentru producătorii care furnizează produse în cadrul lanțurilor de aprovizionare pentru DoD, NIST pune la dispoziție un manual de autoevaluare, NIST Handbook 162, „NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements”. Manualul oferă un ghid pas cu pas pentru evaluarea sistemelor informatice ale unui mic producător în raport cu cerințele de securitate din NIST SP 800-171.
Fiți pregătiți – Urmează auditurile de conformitate
În ianuarie 2019, Subsecretarul Apărării a emis un memorandum care documentează intenția de a audita lanțul de aprovizionare al DoD pentru conformitatea DFARS. Memorandumul însărcinează Agenția de gestionare a contractelor de apărare (DCMA) cu auditarea tuturor contractorilor de nivel 1 pentru a valida conformitatea contractorilor cu cerințele clauzei DFARS 252.204-7012. Un audit DCMA pentru o organizație cu un contract DoD cu CDI va include, în general, următoarele:
- Verificarea faptului că antreprenorul are un SSP
- Verificarea faptului că antreprenorul a prezentat o notificare de 30 de zile care enumeră toate controalele de securitate care nu au fost încă implementate.
- Verificarea faptului că antreprenorul are un certificat valabil de asigurare medie a infrastructurii de chei publice (PKI) necesar pentru raportarea incidentelor cibernetice (Politica de certificare ECA https://iase.disa.mil/pki/eca/Pages/index.aspx).
Exigențele de audit necesită doar evaluarea directă de către DCMA a furnizorilor de nivel 1, însă se așteaptă ca acest lucru să aibă un impact asupra întregului lanț de aprovizionare DoD și pentru partenerii de afaceri ai contractorilor. Dacă o organizație dorește să concureze pentru contractele DoD pe piața lanțului de aprovizionare și să fie capabilă să demonstreze responsabilitatea cu un simplu „Da” la un sondaj DFARS privind furnizorii, trebuie să fie proactivă și să contacteze un furnizor terț de servicii de securitate gestionate (MSSP) expert, axat pe securitate. Un MSSP cu expertiză specializată în ceea ce privește cerințele de conformitate DFARS pentru contractanții DoD va asista organizația dvs. în realizarea evaluării și auditului necesar și în efectuarea oricăror lucrări de remediere necesare pentru a obține conformitatea DFARS.
Astăpânirea conformității DFARS/NIST SP 800-171 nu este o soluție de o singură dată. Este un proces continuu de evaluare, monitorizare și îmbunătățire pentru a vă asigura că organizația dvs. își menține conformitatea cu cerințele de securitate în continuă evoluție și, astfel, eligibilitatea ca antreprenor DoD. Un MSSP precum RSI Security, cu expertiză specializată în servicii de conformitate pentru contractanții DoD care trebuie să respecte conformitatea DFARS și securitatea cibernetică monitorizată, va asista organizația dvs. în realizarea evaluării și auditului necesar și în efectuarea oricăror lucrări de remediere necesare pentru a obține conformitatea DFARS/NIST SP 800-171. Contactați-ne astăzi pentru ajutor personal pentru toate nevoile dvs. de servicii de consultanță în materie de conformitate.
Un contractant din domeniul apărării care este auditat de către DoD și se constată că nu este în conformitate se va confrunta probabil cu un ordin de încetare a activității. Acest lucru ar însemna că orice lucrare efectuată pentru un contract DoD ar fi suspendată până când vor fi implementate măsuri de securitate adecvate pentru a proteja în mod eficient CDI. DoD ar putea, de asemenea, să aplice sancțiuni financiare care pot include daune-interese pentru încălcarea contractului sau reclamații false. În cazurile grave de neconformitate, Ministerul Apărării ar putea rezilia contractele sau chiar ar putea suspenda un contractant de la a mai lucra vreodată cu Departamentul Apărării.
Ce pot face contractanții pentru a fi pregătiți
Pentru a fi pregătiți în conformitate cu cerințele DFARS actuale și viitoare în evoluție, contractanții pot fi proactivi cu următoarele:
- Revizuiți controalele de securitate NIST SP 800-171 pentru a verifica dacă controalele de securitate ale organizației dvs. oferă o protecție adecvată împotriva unei game largi de potențiale atacuri cibernetice.
- Realizați o evaluare a lacunelor pentru a determina dacă nu sunt îndeplinite controalele de securitate necesare și remediați toate lacunele identificate prin elaborarea unui SSP și a unui POA&M
- Dacă organizația dvs. lucrează cu subcontractori și furnizori, elaborați un plan pentru a evalua conformitatea acestora și asigurați-vă că toate CDI care coboară către subcontractori sunt protejate cu controale de securitate adecvate.
- Elaborarea unui plan de urmărire a cerințelor privind fluxul CDI în jos pentru schimbul de informații cu subcontractanții și furnizorii prin întregul lanț de aprovizionare.
Lista de verificare a conformității DFARS poate fi, de asemenea, un instrument util în pregătirea pentru conformitatea DFARS.
Un MSSP, cum ar fi RSI Security, care are o expertiză specializată în servicii de conformitate pentru contractanții DoD, poate ajuta organizația dvs. în evaluarea conformității actuale și în efectuarea oricăror lucrări de remediere necesare pentru a obține conformitatea DFARS/NIST SP 800-171. Contactați-ne astăzi pentru ajutor personal cu toate nevoile dvs. de evaluare și conformitate.
Ofertele RSI Security:
RSI Security a ajutat pe toată lumea, de la corporații la contractori individuali, să treacă conformitatea DFARS timp de 10 ani. Suntem unul dintre liderii în domeniul securității și consultanței digitale. Suntem bine versați în toate aspectele legate de conformitatea cu securitatea și vă vom face să vă conformați DFARS în timp util. De asemenea, avem o relație pozitivă cu DoD, care poate ușura unele dintre obstacolele care vin la un efort atât de complicat.
Serviciile noastre de securitate sunt de primă clasă până la capăt, utilizând cele mai bune instrumente, prevederi și practici pentru a vă menține compania în siguranță împotriva breșelor de date de securitate disruptive. Evaluările de vulnerabilitate, monitorizarea comportamentală în timp real, detectarea intruziunilor, urmărirea sofisticată a modelelor digitale și o înțelegere inerentă a modului în care operează hackerii sunt doar câteva dintre motivele pentru care RSI Security este lider în domeniul soluțiilor de securitate cibernetică digitală.
Veziți site-ul nostru pentru mai multe informații și pentru a afla mai multe despre diferitele servicii pe care le oferim.