dfars合规

什么是国防联邦收购监管补编(DFARS)合规性?

对于美国国防部(DOD)合同的大多数组织必须遵守关键规定。其中一个是dfars。

参加国防部合同的300,000多家公司,包括直接承包商以及其分包商和供应商,须遵守DFARS遵守。

什么是dfars?

DFARS是原始远期条款的国防行业特定补充。 DFARS明确地解决了国防部围绕国防收购的担忧。由众多零件和子部分组成,DFARS合规具有广泛的重点,包括材料采购,工作场所/员工安全等领域以及网络安全。

为了实现DFARS 7012合规性,组织必须表明它符合所有适用的DFAR要求,包括所有相关合同流入分包商。网络安全是基于交换数据类型的数据类型的合同要求流入的DFARS要求;即,控制未分类的信息()和联邦合同信息( FCI. )。

dfars合规requirements are subject to ongoing amendments and changes, such as the recent “临时规则“更新DFARS 252.204-7012,”保障涵盖的国防信息和网络事件报告。“ DFARS 252.204-7012条款于2018年首次增加,反映了国防部正在持续强调对抗其全球供应链的升级网络风险。

什么是dfars 252.204-7012和nist sp 800-171?

DFARS 252.204-7012授权遵守国家标准和技术研究所特别出版物800-171(NIST SP 800-171.),“保护非福耶系统和组织中的受控未分类信息。”此信息安全框架指定跨14个控制系列的110个控件,旨在保护Cui外部的联邦系统。

根据NIST,“保护无限制的无限制信息(CUI)居民居住在非婚外制度和组织中对联邦机构至关重要,并且可以直接影响联邦政府成功开展其基本任务和职能的能力。”

DOD考虑NIST 800-171控件的实施是“足够安全”所需的“最小”,以保护CUI和报告数据违规行为和其他网络事件。这些要求适用于处理,存储和/或传输CUI的非婚外系统和组织的所有组件,或为这些组件提供保护。“

国防部新的“临时规则”是什么?

截至2020年11月30日的临时规则,有效,是最新的国防部迁移到美国的升高供应链网络安全国防工业基地(DIB)。建立关于网络安全的远端和DFAR要求,临时规则将进一步奠定基于当前自我证明计划的基础,以便与NIST SP 800-171的DFARS SP 800-171遵守到基于审计的程序网络安全成熟度模型认证(CMMC)框架。

临时规则有两个焦点领域:

  1. DFARS 252.204-7012下的两项新规定定义了确认国防部承包商是否符合NIST SP 800-171的其他要求和步骤。
  2. 第三次新的DFARS 252.204-7012条款,支持在2025年9月30日至2025年9月30日之前支持在国防部合同中的CMMC认证要求的分阶段推出。

临时规则很重要,因为之前的DFARS合规性没有包括DOD的方法,以便在合同奖励之前核实承包商的网络安全态度。相反,一名承包商只是要求以系统安全计划的形式记录自己的NIST 800-171,描述NIST 800-171控件如何实施,以及行动计划& Milestones (POA&MS)用于解决未实现的控件。因此,承包商可以在没有判断符合NIST保护的情况下处理CUI,而无需致力于可执行计划,以解决合规差距。

什么是新的NIST SP 800-171评估方法?

为了回应其供应链中的多个网络安全违规行为,最近是国防部审计高优先级承包商发现它们的110 NIST 800-171控件的实现。

为了进一步前进到国防部的推动以验证DFARS遵从性,临时规则为DFARS 252.204-7012增加了两个新的子句,用于定义NIST SP 800-171的升级评估方法。这些都是:

  1. DFARS 252.204-7019,需要“提供者”在过去三年内有当前(在过去三年内)NIST SP 800-171对国防部的记录的合规性自我评估供应商绩效风险系统(SPRS)数据库。所有新的国防部合同,除了仅涉及商业现货(COTS)产品的合同将包括本条款。
  2. DFARS 252.204-7020,它指定了NIST SP 800-171. DOD评估方法承包商应在进行环境的自我评估时使用(见下文)。与DFARS 7019一样,此条款也将在所有新国防部合同中指定,但除了仅与COTS产品习得相关的人之外。

什么是新国防部评估水平?

NIST SP 800-171. DOD评估方法描述了用于评估DIB供应商的NIST 800-171网络安全控制的最佳实践,标准化方法。

NIST SP 800-171. DOD评估方法描述了三个评估水平:基本,中和高。 2020年11月30日之后颁发的新国防部合同将要求基本评估作为起点。合同奖后,国防部可选择基于计划的关键性或承包商处理信息的敏感性的中等或高评估“。

根据中期规则,“基本评估是承包商完成的自我评估,而中等或高评估由政府完成。”

中等评估如何与高评估有所不同?媒体评估包括对供应商的基本评估,文件审查和采访收集额外信息的审查。高评估包括审计员(潜在的现场)通过系统安全计划实施控制的所有这些。

为了维持DFARS合规性,承包商的环境必须至少每三年进行一次评估,尽管有其他因素导致更频繁的评估。同样,主要承包商将“流下”方法,以评估其分包商。生成的分数将发布到SPRS数据库。

临时规则如何地址CMMC卷展栏?

为了支持到2025年9月30日的分阶段CMMC卷展栏,该中期规则指定新的DFARS第252.204.7021号网络安全成熟度模型认证要求。本条款指出,所有国防部合同和征区将包括2025年10月1日的CMMC要求。在此时间之前,国防部副秘书处收购和扶持(OUSD A.&s)必须批准在国防部合同中纳入CMMC要求。

DFARS 7021条款还要求国防部供应商维护合同中规定的适当CMMC级别,并确保任何分包商也符合该CMMC级别。这包括将适当的DFARS 7021语言插入分包商协议和关联文档作为流程过程的一部分。

中期规则还添加了一个新的DFARS子部分204.75,网络安全成熟度模型认证(CMMC),以描述授予授予包括CMMC认证要求的合同的政策和程序。特别是,它指出,CMMC认证到所需水平是合同或分包奖的先决条件,并且必须保持合同期限。

我填写了我的素质调查问卷......这就是我所需要的DFARS合规性吗?

从素数或拓荒系统中填写“流量”调查问卷,不足以实现DFARS遵从性。这些问卷通常用于给予推荐人和其他人的基本意识,对分包商的安全姿势和保护CUI的能力。组织仍必须对其系统进行自我评估,将其分数数据输入SPR,并创建系统安全计划和POA&在合同中DFARS 7012条款中指定的MS。

下一步

击中DFARS合规性的“移动目标”对于许多DIB公司来说,尤其是内部网络安全技能的挑战。

与DFARS合规专家交谈,关于开始以及如何继续使用DFARS合规性,因此您可以成功竞争国防部业务,联系Pivot Point Security.