Vad står DFARS för?

Om du är en kund eller ett företag som stöder kunder som arbetar för försvarsdepartementet (DoD) som entreprenör eller underleverantör har du förmodligen hört talas om Defense Federal Acquisition Regulation Supplement (DFARS). Att skydda känslig nationell försvarsinformation som delas med och skapas och underhålls av privata organisationer som stöder federala regeringsuppdrag är avgörande för vår nationella säkerhet. DoD-entreprenörer som bearbetar, sprider, lagrar eller överför Controlled Unclassified Information (CUI) måste uppfylla DFARS:s minimistandarder för säkerhet, annars riskerar de att förlora befintliga DoD-kontrakt och rätten till framtida kontrakt.

De krav som ställs på efterlevnad av DFARS:s säkerhetsnormer måste tillämpas av både entreprenörer och underentreprenörer, i enlighet med vägledningen i National Institute of Standards and Technology’s (NIST) Special Publication 800-171 ”Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations”. Lyckligtvis är DFARS-efterlevnadskraven en uppsättning standardiserade säkerhetskontroller som bygger på bästa praxis som redan används för informationssäkerhet, så efterlevnaden är ingen skrämmande utmaning. DFARS Cybersecurity Rule Subpart 204.73 (reviderad 28 december 2017), ”Safeguarding Covered Defense Information and Cyber Incident Reporting” finns här: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm

Skydd av täckt försvarsinformation

För att uppnå DFARS cybersäkerhetsöverensstämmelse måste en försvarsleverantörs informationssystem ge samma skydd och uppfylla samma DFARS-överensstämmelsekrav för federala data som ett internt federalt informationssystem. Skydd av täckt försvarsinformation (Covered Defense Information, CDI) är ett centralt DFARS-krav, och CDI är en delmängd av Controlled Unclassified Information (CUI). CDI tillhandahålls en entreprenör av försvarsdepartementet och det blir entreprenörens ansvar att skydda informationens säkerhet och integritet. CDI har fyra underkategorier, kontrollerad teknisk information (CTI), information om driftssäkerhet, exportkontrollerad information och annan markerad information som kräver skydd.

Bedöm din DFARS-efterlevnad

CTI är teknisk information med anknytning till militära operationer, men den anses inte vara allmän DoD-information. För att se CTI krävs ingen säkerhetsprövning, men det är inte offentligt tillgänglig information. CTI är föremål för kontroller av åtkomst, visning, användning, avslöjande, reproduktion, modifiering, utförande eller spridning. DFARS innehåller ytterligare definitioner av CTI som omfattar följande:

  • Ingenjörs- och forskningsdata
  • Ingenjörsritningar och relaterade data
  • Data. Sets
  • Specifications
  • Standards
  • Manuals
  • Technical reports and orders
  • Studies, analyses and related information
  • Computer software code and source code
  • Process sheets

Minimum Requirements for Federal Contractors

DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. Enligt DFARS-klausul 252.204-7012, ”Safeguarding Covered Defense Information and Cyber Incident Reporting”, måste DoD-entreprenörer följa NIST Special Publication 800-171 som tillhandahåller ett kravramverk för entreprenörer för att skydda känslig försvarsinformation på oklassificerade, icke-federala system och rapportera cybersäkerhetsincidenter.

Det föreskrivande ramverket DFARS klausul 252.204-7012 kräver att försvarsentreprenörer specifikt dokumenterar hur följande kravkomponenter uppfylls:

  • Den första komponenten innebär att tillhandahålla adekvat säkerhet för alla icke-federala informationssystem som omfattas av entreprenören. Adekvat säkerhet definieras som skyddsåtgärder i linje med den skada som kan uppstå på grund av obehörig åtkomst, förlust, missbruk eller ändring av information på grund av en säkerhetsincident. Efterlevnad av riktlinjerna i NIST SP 800-171 ger effektivt ”adekvat säkerhet”
  • Den andra komponenten omfattar rapportering av cybersäkerhetsincidenter. Minimikraven för rapportering av cyberincidenter finns här: http://dibnet.dod.mil. DIBNet-portalen är en inkörsport för DoD:s entreprenörer och underentreprenörer för att rapportera cyberincidenter och frivilligt delta i DoD:s program för cybersäkerhet.

Om det fastställs att skadlig programvara är en del av den rapporterade incidenten måste en beskrivning av händelsen också lämnas in till DoD:s Cyber Crime Center. Enligt riktlinjerna för incidentrapportering ska bilder av alla kända påverkade informationssystem och alla relevanta övervakningsdata/paketupptagningsdata bevaras och skyddas i minst 90 dagar från det att en rapport om en cyberincident har lämnats in. Om DoD beslutar att genomföra en formell bedömning av de skador som orsakats av en cybersäkerhetshändelse måste en entreprenör lämna in media och annat material som stöder denna bedömning.

Understanding DFARS 252.204-7012 and NIST SP 800-171

Specifika DFARS-krav undersöks närmare nedan.

Hantering av underentreprenörer och leveranskedjor

DDFARS-klausul 252.204-7012 ändrades för att begränsa efterlevnaden av flödet till underentreprenörer och leverantörer vars insatser inbegriper CDI eller betraktas som operationellt kritiskt stöd. DoD:s huvudentreprenörer enligt DFARS är skyldiga att vara proaktiva genom att stärka hela leveranskedjan och se till att inte bara deras egen DFARS-efterlevnad säkerställs, utan även att underleverantörer visar att de uppfyller kraven. Följaktligen är underleverantörerna ansvariga för att rapportera alla metoder som kan avvika från DFARS och NIST 800-171-riktlinjerna innan CDI delas med underleverantören. Det är viktigt att en huvudentreprenör kontrollerar vilken information som går vidare till underentreprenörer på grundval av de CDI-uppgifter som en underentreprenör kommer att behöva få tillgång till för att kunna utföra sitt tilldelade arbete inom ramen för ett federalt kontrakt.

Rapportering av cybersäkerhetsincidenter

En entreprenörs ansvar enligt DFARS-standarderna i händelse av en cybersäkerhetsincident som äventyrar informationsintegriteten eller ett informationssystem är snabb rapportering, vilket kräver att incidenten rapporteras till DoD inom 72 timmar. För att fastställa omfattningen av en potentiell kompromiss krävs en bedömning som åtminstone måste innehålla en förteckning över komprometterade system, tekniska data och användare samt en förteckning över andra system som kan ha blivit komprometterade. Bedömningen måste också innehålla en grundlig genomgång av systemet och metoder för att förhindra framtida incidenter.

Händelser som gäller cybersäkerhet och som drabbat underleverantörer måste rapporteras till huvudentreprenören eller till underleverantören på nästa nivå, och bevis ska tillhandahållas i enlighet med DFARS-kraven. Huvudentreprenören är ansvarig för DoD-händelserapportering med inlämnade bevis enligt detaljerna för entreprenörer ovan.

Molntjänsteleverantörer

Om en entreprenör använder en molntjänstleverantör för att lagra, bearbeta eller överföra CDI för ett DoD-kontrakt finns det tre säkerhetsstandarder som kan vara relevanta för DFARS-efterlevnad:

  • En entreprenör som använder en molnlösning för att hysa eller bearbeta data för ett DoD-kontrakt måste se till att molntjänstleverantören uppfyller säkerhetskraven som fastställts i den moderata baslinjen för det federala programmet för hantering av risker och auktorisationer (Federal Risk and Authorization Management Program (”FedRamp”) och måste följa specifika DFARS-krav, inklusive krav på incidentrapportering.
  • NIST SP 800-171-standarderna är tillämpliga när en entreprenör använder intern molndrift (inte en plattform från en tredje part) i ett företagssystem för att hysa eller bearbeta data till stöd för ett DoD-kontrakt.
  • En entreprenör som använder molndrift för att tillhandahålla IT-tjänster till DoD måste uppfylla kraven i ”Cloud Computing Security Requirements Guide” (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html. SRG beskriver en säkerhetsmodell som tillhandahåller kontroller och krav på tjänste- och säkerhetsnivåer för entreprenörer när det gäller att genomföra och upprätthålla fysiska, administrativa och tekniska säkerhetskontroller som är nödvändiga för att utnyttja molnbaserade tjänster.

Bevis på DFARS-överensstämmelse

Självdeklaration anses för närvarande vara tillräckligt för att bevisa DFARS-överensstämmelse, så en tredjepartsrevision är inte ett krav. En väldokumenterad SSP baserad på NIST 800-171 som kopplar kontroller till deras genomförande, eller en kompenserande kontroll, är tillräcklig för att lösa eventuella frågor som skulle uppstå. Den tekniska utvärderingen av ett förslag till regeringsuppdrag kan använda SSP och kan också begära en handlingsplan och milstolpar (POA&M) för att dokumentera efterlevnaden som en del av övervägandet för tilldelning av ett DoD-kontrakt.

För tillverkare som tillhandahåller produkter inom försörjningskedjor för DoD tillhandahåller NIST en handbok för självbedömning, NIST Handbook 162, ”NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements”. Handboken innehåller en steg-för-steg-guide för bedömning av en liten tillverkares informationssystem i förhållande till säkerhetskraven i NIST SP 800-171.

Var beredd – Compliance Audits are coming

I januari 2019 utfärdade försvarsunderstatssekreteraren ett memo som dokumenterade avsikten att granska DoD:s leveranskedja för DFARS-överensstämmelse. Memot ger Defense Contract Management Agency (DCMA) i uppdrag att granska alla tier one-entreprenörer för att validera entreprenörernas efterlevnad av DFARS-klausul 252.204-7012-kraven. En DCMA-revision för en organisation med ett DoD-kontrakt med CDI kommer i allmänhet att omfatta följande:

  • Verifiera att entreprenören har en SSP
  • Verifiera att entreprenören har lämnat in en 30-dagarsanmälan med en förteckning över alla säkerhetskontroller som ännu inte har genomförts.
  • Verifiera att entreprenören har ett giltigt PKI-certifikat (Public Key Infrastructure) med medelhög säkerhet som krävs för rapportering av cyberincidenter (ECA:s certifikatpolicy https://iase.disa.mil/pki/eca/Pages/index.aspx).

Revisionskraven kräver endast DCMA:s direkta bedömning av tier-one-leverantörer, men detta förväntas påverka hela DoD:s försörjningskedja även för entreprenörernas affärspartner. Om en organisation vill konkurrera om DoD-kontrakt på leveranskedjemarknaden och kunna visa ansvarsskyldighet med ett enkelt ”ja” på en DFARS-leverantörsundersökning, bör man vara proaktiv och kontakta en expert med säkerhetsfokuserad tredjepartsleverantör av hanterade säkerhetstjänster (Managed Security Service Provider, MSSP). En MSSP med specialiserad expertis inom DFARS-efterlevnadskrav för DoD-entreprenörer kommer att hjälpa din organisation att utföra den nödvändiga bedömningen och revisionen och genomföra det korrigerande arbete som krävs för att uppnå DFARS-efterlevnad.

Att uppnå DFARS/NIST SP 800-171-överensstämmelse är inte en engångslösning. Det är en kontinuerlig process av bedömning, övervakning och förbättring för att se till att din organisation fortsätter att uppfylla de ständigt föränderliga säkerhetskraven och därmed kan bli godkänd som DoD-entreprenör. En MSSP som RSI Security med specialiserad expertis inom efterlevnadstjänster för DoD-entreprenörer som måste uppfylla DFARS-överensstämmelse och övervakad cybersäkerhet kommer att hjälpa din organisation att utföra den nödvändiga bedömningen och revisionen och utföra det korrigeringsarbete som krävs för att uppnå DFARS/NIST SP 800-171-överensstämmelse. Kontakta oss idag för personlig hjälp med alla dina behov av rådgivande tjänster för efterlevnad.

En försvarsentreprenör som granskas av DoD och som visar sig inte uppfylla kraven skulle troligen drabbas av en order om att stoppa arbetet. Detta skulle innebära att allt arbete som utförs för ett DoD-kontrakt skulle avbrytas tills lämpliga säkerhetsåtgärder har införts för att effektivt skydda CDI. DoD kan också ta ut ekonomiska påföljder som kan omfatta skadestånd för kontraktsbrott eller falska påståenden. I allvarliga fall av bristande efterlevnad kan DoD säga upp kontrakt eller till och med stänga av en entreprenör från att någonsin arbeta med DOD igen.

Vad entreprenörer kan göra för att vara förberedda

För att vara förberedda enligt nuvarande och framtida utvecklande DFARS-krav kan entreprenörer vara proaktiva genom att göra följande:

  • Granska NIST SP 800-171-säkerhetskontroller för att verifiera att organisationens säkerhetskontroller ger ett adekvat skydd mot ett brett spektrum av potentiella cyberattacker.
  • Gör en bedömning av brister för att avgöra om några nödvändiga säkerhetskontroller inte uppfylls och åtgärda identifierade brister genom att utveckla en SSP och POA&M
  • Om din organisation arbetar med underentreprenörer och leverantörer ska du utveckla en plan för att bedöma deras efterlevnad och se till att all CDI som går vidare till underentreprenörer är skyddad med adekvata säkerhetskontroller.
  • Utarbeta en plan för att spåra CDI-flödeskrav för delning av information med underentreprenörer och leverantörer genom hela leveranskedjan.

The DFARS Compliance Checklist kan också vara ett användbart verktyg i förberedelserna för DFARS-compliance.

En MSSP som RSI Security, som har specialiserad expertis inom compliance-tjänster för DoD-entreprenörer, kan hjälpa din organisation med att utvärdera den nuvarande överensstämmelsen och genomföra det eventuella saneringsarbete som krävs för att uppnå DFARS/NIST SP 800-171-compliance. Kontakta oss idag för personlig hjälp med alla dina bedömnings- och efterlevnadsbehov.

RSI Securitys erbjudanden:

RSI Security har hjälpt alla, från företag till enskilda entreprenörer, att klara DFARS-överensstämmelse i 10 år. Vi är en av de ledande inom digital säkerhet och rådgivning. Vi är väl insatta i alla aspekter av säkerhetsöverensstämmelse och kommer att få dig DFARS-kompatibel på ett snabbt sätt. Vi har också en positiv relation med DoD som kan underlätta några av de hinder som kommer en sådan komplicerad strävan.

Våra säkerhetstjänster är förstklassiga hela vägen och utnyttjar de bästa verktygen, bestämmelserna och metoderna för att hålla ditt företag säkert från störande säkerhetsdataintrång. Sårbarhetsbedömningar, beteendeövervakning i realtid, intrångsdetektering, sofistikerad spårning av digitala mönster och en inneboende förståelse för hur hackare arbetar är bara några av anledningarna till att RSI Security är ledande inom digitala cybersäkerhetslösningar.

Kolla in vår webbplats för mer information och för att lära dig mer om de olika tjänster vi erbjuder.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *