Was bedeutet DFARS?

Wenn Sie ein Kunde sind oder ein Unternehmen, das Kunden unterstützt, die dem Verteidigungsministerium (DoD) als Auftragnehmer oder Unterauftragnehmer dienen, haben Sie wahrscheinlich schon von der Defense Federal Acquisition Regulation Supplement (DFARS) gehört. Der Schutz sensibler nationaler Verteidigungsinformationen, die von privaten Organisationen, die Verträge mit der Bundesregierung unterstützen, erstellt und gepflegt werden, ist für unsere nationale Sicherheit von entscheidender Bedeutung. Auftragnehmer des Verteidigungsministeriums, die kontrollierte, nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) verarbeiten, verbreiten, speichern oder übertragen, müssen die DFARS-Mindestsicherheitsstandards einhalten oder riskieren den Verlust bestehender Verträge mit dem Verteidigungsministerium und der Berechtigung für künftige Verträge.

Die DFARS-Sicherheitsanforderungen müssen sowohl von Auftragnehmern als auch von Unterauftragnehmern eingehalten werden, wobei die Leitlinien der Sonderveröffentlichung 800-171 des National Institute of Standards and Technology (NIST) „Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations“ zu beachten sind. Glücklicherweise handelt es sich bei den DFARS-Compliance-Anforderungen um eine Reihe von Standard-Sicherheitskontrollen, die auf bewährten Praktiken basieren, die bereits für die Informationssicherheit verwendet werden, so dass die Einhaltung der Anforderungen keine große Herausforderung darstellt. Die DFARS Cybersecurity Rule Subpart 204.73 (überarbeitet am 28. Dezember 2017), „Safeguarding Covered Defense Information and Cyber Incident Reporting“ finden Sie hier: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm

Schutz abgedeckter Verteidigungsinformationen

Um die DFARS-Cybersicherheitsvorschrift zu erfüllen, müssen die Informationssysteme eines Auftragnehmers im Verteidigungsbereich die gleichen Schutzmaßnahmen bieten und die gleichen DFARS-Compliance-Anforderungen für Bundesdaten erfüllen wie ein internes Informationssystem des Bundes. Der Schutz von Covered Defense Information (CDI) ist eine zentrale DFARS-Anforderung, und CDI ist eine Untergruppe von Controlled Unclassified Information (CUI). CDI werden einem Auftragnehmer vom Verteidigungsministerium zur Verfügung gestellt, und es liegt in der Verantwortung des Auftragnehmers, die Sicherheit und Integrität der Informationen zu schützen. Es gibt vier Unterkategorien von CDI: kontrollierte technische Informationen (CTI), Informationen zur Betriebssicherheit, exportkontrollierte Informationen und andere gekennzeichnete Informationen, die geschützt werden müssen.

Bewerten Sie Ihre DFARS-Konformität

CTI sind technische Informationen, die sich auf militärische Operationen beziehen, aber nicht als allgemeine Informationen des DoD gelten. Für die Einsichtnahme in CTI ist keine Sicherheitsüberprüfung erforderlich, allerdings handelt es sich nicht um öffentlich zugängliche Informationen. CTI unterliegen Kontrollen in Bezug auf Zugang, Anzeige, Verwendung, Offenlegung, Vervielfältigung, Änderung, Leistung oder Verbreitung. DFARS enthält zusätzliche Definitionen für CTI, die Folgendes umfassen:

  • Ingenieur- und Forschungsdaten
  • Ingenieurzeichnungen und zugehörige Daten
  • Daten Sets
  • Specifications
  • Standards
  • Manuals
  • Technical reports and orders
  • Studies, analyses and related information
  • Computer software code and source code
  • Process sheets

Minimum Requirements for Federal Contractors

DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. Gemäß DFARS-Klausel 252.204-7012, „Safeguarding Covered Defense Information and Cyber Incident Reporting“, müssen DoD-Auftragnehmer die NIST Special Publication 800-171 einhalten, die einen Anforderungsrahmen für Auftragnehmer zum Schutz sensibler Verteidigungsinformationen auf nicht klassifizierten, nicht-bundesstaatlichen Systemen und zur Meldung von Cybersicherheitsvorfällen bietet.

Die DFARS-Klausel 252.204-7012 verlangt von den Auftragnehmern im Verteidigungsbereich, dass sie speziell dokumentieren, wie die folgenden Anforderungskomponenten erfüllt werden:

  • Die erste Komponente beinhaltet die Bereitstellung einer angemessenen Sicherheit für alle nicht-bundesstaatlichen Informationssysteme der Auftragnehmer. Angemessene Sicherheit ist definiert als Schutzmaßnahmen, die dem Schaden entsprechen, der durch unbefugten Zugriff, Verlust, Missbrauch oder Veränderung von Informationen aufgrund eines Sicherheitsvorfalls entstehen könnte. Die Einhaltung der Richtlinien von NIST SP 800-171 bietet eine „angemessene Sicherheit“
  • Die zweite Komponente umfasst die Meldung von Cybervorfällen. Die erforderlichen Mindestelemente des Berichts über Cybervorfälle finden Sie hier: http://dibnet.dod.mil. Das DIBNet-Portal ist ein Portal für Auftragnehmer und Unterauftragnehmer des DoD zur Meldung von Cybervorfällen und zur freiwilligen Teilnahme am Cybersecurity-Programm des DoD.

Wenn festgestellt wird, dass Schadsoftware Teil des gemeldeten Vorfalls ist, muss eine Beschreibung des Vorfalls auch an das Cyber Crime Center des DoD übermittelt werden. Die Richtlinien für die Meldung von Vorfällen verlangen die Aufbewahrung und den Schutz von Bildern aller bekanntermaßen betroffenen Informationssysteme und aller relevanten Überwachungs-/Paketaufzeichnungsdaten für einen Zeitraum von mindestens 90 Tagen nach Einreichung eines Berichts über einen Cybervorfall. Wenn das Verteidigungsministerium beschließt, eine formelle Bewertung des durch einen Cyber-Sicherheitsvorfall verursachten Schadens vorzunehmen, muss ein Auftragnehmer Medien und andere Materialien vorlegen, die diese Bewertung unterstützen.

Understanding DFARS 252.204-7012 and NIST SP 800-171

Die spezifischen DFARS-Anforderungen werden im Folgenden näher erläutert.

Subunternehmer- und Lieferkettenmanagement

DDFARS-Klausel 252.204-7012 wurde geändert, um die Einhaltung der Flow-Down-Vorschriften auf Subunternehmer und Lieferanten zu beschränken, deren Leistungen CDI betreffen oder als betriebskritische Unterstützung gelten. Die Hauptauftragnehmer des DoD sind gemäß DFARS verpflichtet, proaktiv zu handeln und die gesamte Lieferkette zu stärken, indem sie nicht nur ihre eigene DFARS-Konformität sicherstellen, sondern auch dafür sorgen, dass die Unterauftragnehmer die Konformität nachweisen. Folglich sind Unterauftragnehmer dafür verantwortlich, alle Praktiken zu melden, die von den DFARS- und NIST 800-171-Richtlinien abweichen könnten, bevor eine CDI an den Unterauftragnehmer weitergegeben wird. Es ist wichtig, dass ein Hauptauftragnehmer kontrolliert, welche Informationen an Unterauftragnehmer weitergegeben werden, basierend auf den CDI-Daten, auf die ein Unterauftragnehmer zugreifen muss, um die ihm zugewiesene Arbeit im Rahmen eines Bundesvertrags auszuführen.

Berichterstattung über Cybersicherheitsvorfälle

Ein Auftragnehmer ist nach den DFARS-Standards im Falle eines Cybersicherheitsvorfalls, der die Integrität von Informationen oder eines Informationssystems gefährdet, für eine rasche Berichterstattung verantwortlich, die eine Meldung des Vorfalls an das DoD innerhalb von 72 Stunden erfordert. Um das Ausmaß einer möglichen Kompromittierung zu bestimmen, ist eine Bewertung erforderlich, die mindestens eine Liste der kompromittierten Systeme, technischen Daten und Benutzer sowie eine Liste aller anderen Systeme, die möglicherweise kompromittiert wurden, enthalten muss. Die Bewertung muss auch eine gründliche Systemüberprüfung beinhalten und Methoden zur Verhinderung künftiger Vorfälle aufzeigen.

Cybersicherheitsvorfälle bei Unterauftragnehmern müssen dem Hauptauftragnehmer oder dem nächsthöheren Unterauftragnehmer gemeldet und gemäß den DFARS-Anforderungen nachgewiesen werden. Der Hauptauftragnehmer ist für die Meldung von DoD-Vorfällen verantwortlich, wobei die Nachweise wie oben für Auftragnehmer beschrieben vorzulegen sind.

Cloud-Service-Provider

Wenn ein Auftragnehmer einen Cloud-Service-Provider nutzt, um CDI für einen DoD-Vertrag zu speichern, zu verarbeiten oder zu übermitteln, gibt es drei Sicherheitsstandards, die für die Einhaltung der DFARS relevant sein können:

  • Ein Auftragnehmer, der eine Cloud-Lösung nutzt, um Daten für einen DoD-Vertrag zu hosten oder zu verarbeiten, muss sicherstellen, dass der Cloud-Service-Provider die Sicherheitsanforderungen erfüllt, die in der moderaten Baseline des Federal Risk and Authorization Management Program („FedRamp“) festgelegt sind, und er muss die spezifischen DFARS-Anforderungen erfüllen, einschließlich der Anforderungen für die Meldung von Vorfällen.
  • Die Standards der NIST SP 800-171 sind anwendbar, wenn ein Auftragnehmer internes Cloud-Computing (keine Plattform eines Drittanbieters) in einem Unternehmenssystem verwendet, um Daten zur Unterstützung eines DoD-Vertrags zu hosten oder zu verarbeiten.
  • Ein Auftragnehmer, der Cloud-Computing zur Erbringung von IT-Diensten für das DoD verwendet, muss die Anforderungen des „Cloud Computing Security Requirements Guide“ (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html erfüllen. Der SRG umreißt ein Sicherheitsmodell, das Kontrollen auf Dienst- und Sicherheitsebene sowie Anforderungen an Auftragnehmer bei der Implementierung und Aufrechterhaltung physischer, administrativer und technischer Sicherheitskontrollen enthält, die für die Nutzung von Cloud-basierten Diensten erforderlich sind.

Nachweis der DFARS-Konformität

Eine Selbstbescheinigung gilt derzeit als ausreichend für den Nachweis der DFARS-Konformität, so dass ein Audit durch Dritte nicht erforderlich ist. Ein gut dokumentierter SSP auf der Grundlage von NIST 800-171, der die Kontrollen mit ihrer Umsetzung verknüpft, oder eine kompensierende Kontrolle reichen aus, um alle Fragen zu klären, die sich ergeben sollten. Bei der technischen Bewertung eines staatlichen Vertragsangebots kann der SSP verwendet werden, und es kann auch ein Aktions- und Meilensteinplan (POA&M) verlangt werden, um die Einhaltung der Vorschriften als Teil der Überlegungen für einen DoD-Vertragsabschluss zu dokumentieren.

Für Hersteller, die Produkte innerhalb von Lieferketten für das DoD bereitstellen, stellt NIST ein Handbuch zur Selbsteinschätzung zur Verfügung, das NIST Handbook 162, „NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements“. Das Handbuch bietet einen schrittweisen Leitfaden für die Bewertung der Informationssysteme eines kleinen Herstellers anhand der Sicherheitsanforderungen in NIST SP 800-171.

Bereiten Sie sich vor – Compliance-Audits kommen

Im Januar 2019 hat der Unterstaatssekretär des Verteidigungsministeriums ein Memo herausgegeben, das die Absicht dokumentiert, die Lieferkette des DoD auf die Einhaltung der DFARS zu prüfen. Das Memo beauftragt die Defense Contract Management Agency (DCMA) mit der Prüfung aller Auftragnehmer der ersten Ebene, um die Einhaltung der DFARS-Klausel 252.204-7012 durch die Auftragnehmer zu überprüfen. Ein DCMA-Audit für eine Organisation mit einem DoD-Vertrag mit CDI umfasst in der Regel Folgendes:

  • Überprüfung, ob der Auftragnehmer über einen SSP verfügt
  • Überprüfung, ob der Auftragnehmer eine 30-Tage-Benachrichtigung vorgelegt hat, in der alle noch nicht implementierten Sicherheitskontrollen aufgeführt sind.
  • Überprüfung, ob der Auftragnehmer über ein gültiges PKI-Zertifikat (Public Key Infrastructure) mittlerer Sicherheit verfügt, das für die Meldung von Cybervorfällen erforderlich ist (ECA Certificate Policy https://iase.disa.mil/pki/eca/Pages/index.aspx).

Die Audit-Anforderungen erfordern nur eine direkte Bewertung der DCMA von Tier-1-Lieferanten, aber es wird erwartet, dass sich dies auch auf die gesamte DoD-Lieferkette für Geschäftspartner von Auftragnehmern auswirken wird. Wenn eine Organisation um DoD-Verträge auf dem Lieferkettenmarkt konkurrieren und in der Lage sein möchte, ihre Verantwortlichkeit mit einem einfachen „Ja“ auf einer DFARS-Lieferantenumfrage nachzuweisen, sollte sie proaktiv vorgehen und sich an einen sachkundigen, auf Sicherheit fokussierten Drittanbieter von Managed Security Services (MSSP) wenden. Ein MSSP, der sich auf die Einhaltung der DFARS-Anforderungen für DoD-Auftragnehmer spezialisiert hat, unterstützt Ihr Unternehmen bei der Durchführung der erforderlichen Bewertung und Prüfung sowie bei der Durchführung aller erforderlichen Abhilfemaßnahmen, um die DFARS-Konformität zu erreichen.

Das Erreichen der DFARS/NIST SP 800-171-Konformität ist keine einmalige Lösung. Es handelt sich um einen kontinuierlichen Prozess der Bewertung, Überwachung und Verbesserung, um sicherzustellen, dass Ihr Unternehmen die sich ständig weiterentwickelnden Sicherheitsanforderungen einhält und somit als Auftragnehmer des DoD in Frage kommt. Ein MSSP wie RSI Security, der sich auf Compliance-Services für DoD-Auftragnehmer spezialisiert hat, die die DFARS-Compliance und die überwachte Cybersicherheit einhalten müssen, unterstützt Ihre Organisation bei der Durchführung der erforderlichen Bewertung und Prüfung sowie bei der Durchführung aller erforderlichen Abhilfemaßnahmen, um die DFARS/NIST SP 800-171-Compliance zu erreichen. Wenden Sie sich noch heute an uns, wenn Sie persönliche Hilfe bei der Beratung zur Einhaltung der Vorschriften benötigen.

Wird ein Auftragnehmer im Verteidigungsbereich vom Verteidigungsministerium geprüft und für nicht konform befunden, muss er wahrscheinlich mit einem Arbeitsstopp rechnen. Dies würde bedeuten, dass alle Arbeiten im Rahmen eines DoD-Vertrags ausgesetzt werden, bis geeignete Sicherheitsmaßnahmen zum wirksamen Schutz von CDI getroffen werden. Das Verteidigungsministerium könnte auch finanzielle Strafen verhängen, die auch Schadenersatz für Vertragsbruch oder falsche Angaben umfassen können. Bei schwerwiegenden Verstößen könnte das Verteidigungsministerium Verträge kündigen oder einen Auftragnehmer sogar von der weiteren Zusammenarbeit mit dem Verteidigungsministerium ausschließen.

Was Auftragnehmer tun können, um vorbereitet zu sein

Um auf die aktuellen und zukünftigen DFARS-Anforderungen vorbereitet zu sein, können Auftragnehmer mit den folgenden Maßnahmen proaktiv vorgehen:

  • Überprüfen Sie die Sicherheitskontrollen nach NIST SP 800-171, um sicherzustellen, dass die Sicherheitskontrollen Ihrer Organisation einen angemessenen Schutz gegen ein breites Spektrum potenzieller Cyberangriffe bieten.
  • Führen Sie eine Lückenbewertung durch, um festzustellen, ob erforderliche Sicherheitskontrollen nicht erfüllt werden, und beheben Sie festgestellte Lücken durch die Entwicklung eines SSP und eines POA&M
  • Wenn Ihre Organisation mit Unterauftragnehmern und Zulieferern zusammenarbeitet, entwickeln Sie einen Plan, um deren Konformität zu bewerten und sicherzustellen, dass alle CDI, die an Unterauftragnehmer weitergegeben werden, durch angemessene Sicherheitskontrollen geschützt sind.
  • Entwickeln Sie einen Plan zur Nachverfolgung der CDI-Flussanforderungen für den Informationsaustausch mit Unterauftragnehmern und Zulieferern über die gesamte Lieferkette.

Die DFARS-Compliance-Checkliste kann ebenfalls ein hilfreiches Instrument zur Vorbereitung auf die DFARS-Compliance sein.

Ein MSSP wie RSI Security, der über spezielles Fachwissen im Bereich der Compliance-Services für DoD-Auftragnehmer verfügt, kann Ihre Organisation bei der Bewertung der aktuellen Compliance und der Durchführung der erforderlichen Sanierungsarbeiten zur Erreichung der DFARS/NIST SP 800-171-Compliance unterstützen. Wenden Sie sich noch heute an uns, wenn Sie persönliche Hilfe bei all Ihren Bewertungs- und Konformitätsanforderungen benötigen.

RSI Security-Angebote:

RSI Security hilft seit 10 Jahren allen, von Unternehmen bis hin zu einzelnen Auftragnehmern, die DFARS-Konformität zu erreichen. Wir sind eines der führenden Unternehmen im Bereich digitale Sicherheit und Beratung. Wir sind mit allen Aspekten der Sicherheitskonformität vertraut und sorgen dafür, dass Sie DFARS-konform sind. Wir haben auch eine gute Beziehung zum DoD, die einige der Hürden, die ein solch kompliziertes Unterfangen mit sich bringt, erleichtern kann.

Unsere Sicherheitsdienste sind durchweg erstklassig und nutzen die besten Tools, Vorkehrungen und Praktiken, um Ihr Unternehmen vor störenden Sicherheitsverletzungen zu schützen. Schwachstellenanalysen, Echtzeit-Verhaltensüberwachung, Intrusion Detection, ausgeklügelte digitale Musterverfolgung und ein inhärentes Verständnis der Arbeitsweise von Hackern sind nur einige der Gründe, warum RSI Security führend bei digitalen Cybersicherheitslösungen ist.

Schauen Sie auf unserer Website vorbei, um weitere Informationen zu erhalten und sich über die verschiedenen von uns angebotenen Dienstleistungen zu informieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.