Conformitatea DFARS este de ceva timp în atenția contractorilor principali, precum și a furnizorilor Departamentului de Apărare. Peste 87% din contractele DoD scrise în 2017 aveau deja clauza DFARS 252.204-7012 înscrisă în ele, iar contractorii DoD mari și mici culeg beneficiile de atribuire ale dovedirii „securității adecvate” prin implementarea NIST SP 800-171, așa cum vedem în cazul bazei noastre de clienți. La celălalt capăt al curcubeului conformității cibernetice DoD, unii experimentează partea întunecată a amânării conformității și se grăbesc în prezent să găsească o soluție pentru a elimina bariera în calea câștigării de premii. Am văzut acest cont la prima mână, deoarece am ajutat clienții să folosească CyberStrong pentru a se conforma rapid.
Potrivit publicației DoD Assessing the State of a Contractor’s Internal Information System in a Procurement Action (Evaluarea stării sistemului informatic intern al unui contractant în cadrul unei acțiuni de achiziție), „Planurile de acțiune, monitorizarea continuă și planul de securitate a sistemului (NIST SP 800-171 Security Requirements 312.2-3.12.4) trebuie să abordeze toate cerințele de securitate”.
Potrivit aceluiași document, unul dintre obiectivele evaluării unui contractant pentru achiziții este evaluarea implementării NIST SP 800-171 / DFARS 252.204-7012 ca factor tehnic separat, pe lângă „securitatea adecvată”, prin urmare, evaluatorul va „încorpora planul de securitate a sistemului (SSP) și planul de acțiune în contract” însuși. Luați notă: Dacă nu aveți încă un SSP sau POAM, ar fi bine să luați în considerare automatizarea acestora cu ajutorul platformei CyberStrong.
Un alt obiectiv important de luat în seamă este că organizația care atribuie contractul va „Evalua/urmări implementarea cerințelor de securitate NIST SP 800-171 după atribuirea contractului”. Acest obiectiv are un efect asupra organizațiilor care se luptă cu foi de calcul pentru a dovedi conformitatea – acestea ar trebui să ia în considerare utilizarea unei platforme de conformitate live și continuă pentru conformitatea DFARS, cum ar fi CyberStrong, care va face ca dovedirea conformității și urmărirea progresului să fie ușoare, simple și directe. Nu doar subcontractantul trebuie să urmărească și să dovedească conformitatea, ci și antreprenorul principal trebuie să urmărească toate fațetele și furnizorii săi. CyberStrong facilitează atât pentru furnizori, cât și pentru primii furnizori să vadă starea de conformitate și să urmărească progresul lor pentru a demonstra diligența necesară și pentru a dovedi o „securitate adecvată”, dacă nu mai bună.
Din acest punct de vedere, iată o listă de riscuri pe care vi le asumați atunci când amânați conformitatea DFARS 252.204-7012 sau o gestionați într-un mod care îngreunează aspectul de dovedire a conformității, cum ar fi foile de calcul. Aceste riscuri provin în mod credibil din National Law Review.
Oferte: Ghidul DoD despre care s-a vorbit mai sus este clar că SSP și POA&Ms joacă un rol în calificarea „securității adecvate”, dar nu știm ce rol vor juca în contestațiile la licitații. Primul proiect de document de orientare spune că DoD poate executa aceste acțiuni pe baza acestor documente: poate face o determinare acceptabilă/neacceptabilă pe baza stadiului de implementare pentru a atribui sau nu contractul sau poate evalua implementarea „ca factor de evaluare tehnică separat”. Acest lucru sugerează, totuși, că ar putea fi necesare mai multe cerințe decât cele minime cerute în NIST SP 800-171.
În calitate de organizație aflată în procesul de licitație, ați putea fi refuzat din cauza neconcordanțelor dintre SSP și POAM și starea securității cibernetice legate de NIST 800-171. Dacă punerea în aplicare de către adjudecatar a NIST SP 800-171 nu este în concordanță cu documentele sale, DoD sau Prime va alege probabil un alt contract. Indiferent de aceasta, ei vor solicita SSP și POAM pentru revizuire, deoarece acestea fac o atribuire de furnizor pentru 2018. Dacă ați primit un chestionar în trecut, să știți că acel document nu vă face să fiți în conformitate și că aceste documente de conformitate sunt esențiale pentru succesul dvs.
Terminație: Pentru a evalua conformitatea cu SSP și POAM, ghidul spune că contractul dvs. trebuie să includă cerințe privind datele contractuale (CDRL) care „necesită livrarea Planului de securitate a sistemului și a oricăror planuri de acțiune după atribuirea contractului”. Din nou, dacă nu aveți o modalitate vie, transparentă și simplă de a pregăti aceste documente pentru fiecare contract nou – automatizați-le! Acuratețea SSP-ului și a POAM-ului dvs., plus faptul că arătați clar că vă îndreptați spre o conformitate deplină, este extrem de importantă. SSP și POAM se vor regăsi în contractul dumneavoastră, prin urmare, nerespectarea acestora ar putea duce cu ușurință la reziliere.
AudituriDCMA: DoD a precizat în prezentări și online că DCMA va verifica dacă contractantul are un SSP și POA&M. Dacă DCMA nu a interacționat încă cu organizația dumneavoastră în ceea ce privește NIST 800-171, acest lucru ar putea fi în viitorul dumneavoastră.
False Claims Act: Acest risc este important de luat în considerare. Utilizarea SSP pentru a vă evalua măsurile de securitate și utilizarea acestuia ca un livrabil legat de un contract guvernamental poate crește riscul potențial al unei încălcări a False Claims Act pentru compania dumneavoastră. Exemplu: Un SSP poate denatura statutul real al unui contractant în ceea ce privește securitatea cibernetică, iar DoD poate lua măsuri pe baza unei fraude de inducere în eroare. DoD poate stabili că statutul de securitate cibernetică al unui contractant a fost inclus în decizia de atribuire, iar acest lucru ar putea pune potențial în pericol toate câștigurile obținute în cadrul contactului.
.