A Védelmi Szövetségi Beszerzési Szabályzat Kiegészítése (DFARS) szabályozza az áruk és szolgáltatások beszerzését a Védelmi Minisztérium (DoD) számára. Mind a tisztviselőknek, mind a vállalkozóknak meg kell felelniük a DFARS-ben meghatározott követelményeknek. Mint azt bárki tudja, aki megnézte a DFARS-ben meghatározott követelményeket, maga a DFARS egy összetett, széleskörű és mélységében is kiterjedt szabályozó testület. Azoknak a vállalkozóknak és alvállalkozóknak, akik a DoD-nek szállítanak vagy vele dolgoznak, meg kell felelniük a DFARS-nak, vagy szankciókkal kell szembenézniük a meg nem felelés miatt, ezért elengedhetetlen, hogy pontosan megértse, mik a DFARS megfelelési követelményei, és hogyan tud megfelelni nekik.
Az egyik kihívás, amelyet a DFARS jelent a vállalkozók és alvállalkozók számára, az azon országok korlátozása, ahonnan beszerezheti az árukat. Tekintettel a globális ellátási lánc összetettségére, a DoD beszerzési folyamatán kívüli szervezetek gyakran nem tudják pontosan, hogy az áruk és szolgáltatások honnan származnak. Ez potenciális megfelelési problémákat vethet fel a DFARS tekintetében, ezért van szükség a korlátozásokra. Magában a DFARS-rendeletben található a DFARS-nak megfelelő országok listája. Ezt a listát minden vállalkozónak feltétlenül meg kell értenie és be kell tartania, ami azt jelenti, hogy minden árubeszerzésnek és szolgáltatásnak ezeken az országokon keresztül kell történnie. Ez vonatkozik az olvasztott fémekből álló alkatrészekre is, ami önmagában is összetett téma. A DFARS követelményei szerint csak bizonyos országok számára engedélyezett az Egyesült Államokon kívüli fémolvasztás, ha a végterméket a Védelmi Minisztérium céljaira szánják.
A DFARS-ban nemrégiben bevezetett néhány fontos változás is van, amely számos, a Védelmi Minisztériummal kapcsolatban álló vállalkozót és alvállalkozót érint. Nevezetesen a kiberbiztonsági követelmények hozzáadása az ellenőrzött, nem minősített információk (Controlled Unclassified Information, CUI) védelmére. Ez a DoD valamennyi partnerére hatással van, és 2017 vége óta hatályos jogszabály. A DFARS ezen további követelménye előírta, hogy a rendelet hatálya alá tartozó valamennyi szervezetnek el kell fogadnia a Nemzeti Szabványügyi és Technológiai Intézet (NIST) SP 800-171 1. revíziójában felvázolt kiberbiztonsági erőfeszítéseket. E követelmények célja, hogy megvédjék a CUI-t a jogosulatlan hozzáféréstől vagy lopástól. Ezáltal ezek a követelmények magukat a vállalkozókat is védik azáltal, hogy biztosítják, hogy kiberbiztonsági erőfeszítéseik képesek legyenek megfelelni a mai fenyegetéseknek.
A DFARS-követelményekben való eligazodás rendkívül nagy kihívást jelenthet. A szabályozási dokumentumokban foglalt információk mélysége kiterjedt, és mivel számos további dokumentumra van szükség ahhoz, hogy a szervezeteknek teljes képet kapjanak a megfelelőségi tanácsadási szolgáltatásokról és követelményekről, amelyeket be kell tartaniuk; a legtöbb kisebb és közepes méretű vállalkozónak nehézséget okozhat a DFARS-ben meghatározott követelmények betartása. Ez a cikk a DFARS-nak megfelelő országok átfogó listáját igyekszik leszűkíteni. Azt is megvizsgáljuk, hogy mit jelent megfelelt országnak lenni, hogy nagyobb kontextusba helyezzük magát a szabályozást.
Itt van még néhány cikk, amely segít többet megtudni a DFARS-ról :
- Mit jelent a DFARS?
- Hogyan válhat DFARS-kompatibilissé?
Melyek a minősített országok?
Ebben a pontban talán elgondolkodik azon, hogy mi is az a minősített ország. A DFARS szempontjából a “minősített ország” kifejezés olyan országra utal, amellyel az Egyesült Államok kormánya egyetértési megállapodást vagy más nemzetközi megállapodást kötött a kijelölt országgal. E megállapodásokból eredően a DoD úgy határoz, hogy a Buy American statútum vagy a fizetésimérleg-program szerinti minősítési követelmények nem szolgálják a közérdeket, ha ezekre az adott országokra a Buy American statútum vagy a fizetésimérleg-program követelményei vonatkoznak.
Mi teszi tehát pontosan különlegessé az Egyesült Államok és egy minősített ország közötti kapcsolatot? Nos, lényegében az Egyesült Államok kormánya kölcsönös védelmi beszerzési megállapodásokat köt minden egyes, a listán szereplő országgal. Ezek a kölcsönös védelmi megállapodások az 1970-es években kezdődtek a hidegháború keretében, azzal a szándékkal, hogy növeljék az akkori szövetségek hatékonyságát. A kölcsönös védelmi megállapodások mögött az az elképzelés állt, hogy számos országnak akadályai voltak a védelmi célú felszerelések beszerzése terén. Ezek az akadályok gyakran olyan törvények vagy normák formájában jelentek meg, amelyek arra ösztönözték a védelmi iparágakat, hogy hazai forrásokból szerezzenek be, akár pénzügyi ösztönzés, akár más okból.
Mivel a védelmi beszerzések a kormányzati beszerzések jelentős részét teszik ki, érdemes volt olyan megállapodásokat keresni a szövetségesekkel, amelyek révén csökkentik vagy megszüntetik a határokon átnyúló beszerzések akadályait. Azáltal, hogy az országok mind belföldön, mind a szövetségesektől szerezhetnek be védelmi felszereléseket, nagyobb fokú választási lehetőséget kaptak a beszerzett felszerelések típusát illetően. A beszerzési környezet bővítése azt is biztosította, hogy a védelmi beszerzési megállapodásokba és beszerzésekbe a verseny szélesebb köre épüljön be. A kölcsönös védelmi beszerzési megállapodások alkalmazása biztosítja, hogy a védelmi beszerzések költséghatékonyabbak legyenek. E megállapodásokba stratégiai megfontolások is beágyazódtak, mint például az interoperábilis felszerelések szélesebb körének előállítása.
A kölcsönös védelmi beszerzési megállapodások fontos eleme az a rendelkezés, hogy számos nemzet eltekint a kormányzati szervek által a belföldön előállított termékek megvásárlására vonatkozó követelményektől. Az Egyesült Államokban ez az 1933-ban elfogadott Buy American Act formájában valósul meg, amely kizárja, hogy a szövetségi kormányzat az Egyesült Államokon kívülről vásároljon készleteket vagy késztermékeket, ha nem kapott felmentést. Sok más országban is vannak “buy national” törvények. A kölcsönös védelmi beszerzési megállapodások felmentik ezeket a törvényeket, lehetővé téve mindkét ország számára, hogy védelmi felszerelésekkel kereskedjenek egymással. Vagy legalábbis a jogosult országok bizonyos szervezetei a diszkriminatív vásárlási gyakorlatoktól való félelem nélkül vehetnek részt a beszerzési folyamatban. A minősített országokból értékesített árukra – legalábbis a legtöbb esetben – nem vetnek ki importvámokat sem.
Értékelje DFARS-megfelelését
Mely országok minősített országok?
Ezzel a ponttal valószínűleg szeretne egy listát arról, hogy mely országok minősített országoknak minősülnek a DFARS szerint. Mint észreveheti, a listán szereplő országok közül sokan az Egyesült Államok szilárd szövetségesei. Jelenleg összesen 26 olyan ország van, amely a DFARS-nak megfelelő országnak minősül. Íme a DFARS-nak megfelelő országok listája:
- Ausztrália
- Belgium
- Kanada
- Cseh Köztársaság
- Dánia
- Egyiptom
- Esztország
- Federal Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). Ez a társítás logikus, tekintve azt a történelmi kontextust, amelyben a védelmi beszerzési megállapodások megjelentek.
Milyen egyéb fontos DFARS-követelmények vannak
Mint említettük, maga a DFARS egy hatalmas szabályozó testület, amely a védelmi berendezések beszerzését szabályozza. A DFARS-nak számos aspektusa van, amelyek az egyes szervezetekre vonatkoznak, és túl sok egyedi követelményt kell részleteznünk. Érdemes azonban időt szánni arra, hogy megismerjünk egy kicsit több információt egy nemrégiben a DFARS-hez hozzáadott követelményről. Ez a követelmény az ellenőrzött, nem minősített információk (Controlled Unclassified Information, CUI) védelmét szabályozza. A megfelelés elmulasztása szigorú szankciókkal jár, beleértve a szervezet által kötött kormányzati szerződés elvesztését is, ezért érdemes megérteni, hogy ez a követelmény hogyan érinti Önt.
Ha Ön részt vesz a DoD beszerzési folyamatában, és CUI-t kezel, akkor a törvény értelmében meg kell felelnie a DFARS 204.73 Fedett védelmi információk védelme és a kiberincidensek jelentése című dokumentumban foglalt kiberbiztonsági követelményeknek. Ahogy a neve is sugallja, ez a követelmény az olyan érzékeny adatok védelmére vonatkozik, amelyek nem minősítettek, de amelyek nyilvánosságra kerülése mégis káros lehet. Ennek érdekében az e követelmény hatálya alá tartozó szervezeteknek be kell tartaniuk a NIST 800-171 Controlled Unclassified Information in Nonfederal Information Systems and Organizations (Védelem a nem szövetségi információs rendszerekben és szervezetekben az ellenőrzött, nem minősített információk ellen) című dokumentumot.
A DFARS kiberbiztonságra vonatkozó záradékát csak nemrég adták hozzá, és 2017. december 31-én lépett hatályba. Tehát, bár ez a követelmény jelenleg már több mint egy éve hatályban van, még mindig lehetnek olyan kis- és középvállalkozások, amelyeknek még nem sikerült elérni a megfelelést. A DFARS kiberbiztonsági követelményeinek való megfelelés elérése bizonyosan trükkös lehet. A szervezeteknek azonosítaniuk kell, hogy a CUI-t milyen mértékben továbbítják és tárolják a hálózati eszközeiken és rendszereiken keresztül. Ezután a szervezeteknek végre kell hajtaniuk a NIST 800-171-ben felvázolt biztosítékokat, hogy biztosítsák a CUI védelmét.
Elképzelhető, hogy elgondolkodik azon, hogy mire vonatkozik az “ellenőrzött, nem minősített információ”, mivel kívülről nézve ez egy tág fogalomnak tűnik. Lényegében a CUI a kormányzat által generált adatok, amelyeket védeni kell. Ide tartozhatnak olyan információk vagy adatok is, amelyeket a kormányzat megbízásából egy harmadik fél által generáltak. Maga a CUI meghatározása összetett, a teljes definíciót a Nemzeti Levéltár itt találja. A DFARS biztonsági követelmények hatálya alá tartozó szervezetek számára a CUI pontos fogalmának teljes körű megértése alapvető kiindulópontként szolgál annak meghatározásához, hogy hol tárolják a CUI-t a rendszereikben, hogyan továbbítják, és hogyan védik azt. Néhány példa a CUI-ra az e-mailek, a tervrajzok vagy a vállalkozói információk, de számos különböző típusú információ tekinthető CUI-nak. A NIST 800-171 megfelelőség elérésének egyik legnagyobb kihívást jelentő szempontja a CUI megfelelő azonosítása, amikor kapcsolatba kerül vele.
A NIST 800-171 egy olyan keretrendszert vázol fel, amelyet a szervezetek használhatnak a CUI védelmére a hálózatukon és a rendszereiken. A NIST 800-171 összesen 14 különböző követelményt vázol fel, amelyeket a szervezeteknek teljesíteniük kell ahhoz, hogy megfelelőnek minősüljenek. Ezek a követelmények ellenőrzésekre, biztonsági intézkedésekre, irányításra és felügyeletre, valamint végfelhasználói gyakorlatokra bonthatók. A NIST által előírt egyéb biztonsági követelményekhez hasonlóan a NIST 800-171-ben felvázolt kiberbiztonsági követelmények is az iparágban elfogadott legjobb gyakorlatokat képviselik. Bár vannak konkrét követelmények, a szervezetek a működési igényeik, a kockázati szintjük és a rendelkezésre álló erőforrásaik alapján megválaszthatják a számukra legmegfelelőbb módot a követelmények teljesítésére.
A NIST 800-171-ben felvázolt követelmények teljesítése kihívást jelenthet, különösen a kis- és középvállalkozások vagy a védelmi minisztérium beszállítói számára, amelyek nem rendelkeznek a NIST által előírt értékelési és felügyeleti követelmények elvégzéséhez szükséges erőforrásokkal. A NIST 800-171 szabványnak való megfelelés elérésében reménykedő szervezeteknek felül kell vizsgálniuk üzleti folyamataikat és CUI-körüket, majd elemezniük kell ellenőrzési hiányosságaikat. Ha ez megtörtént, létrehozhatnak egy ütemtervet a továbblépéshez. A szervezeteknek ezután ellenőrzéseket kell végrehajtaniuk, valamint szükség esetén szegmentálniuk kell hálózatukat, forgalmukat vagy eszközeiket, hogy csökkentsék a CUI hatókörét. Végül a szervezeteknek folyamatokat kell létrehozniuk a folyamatos megfelelés biztosítására, beleértve a biztonsági ellenőrzéseket és érvényesítéseket. Mindezek megvalósításához a szervezeteknek képesnek kell lenniük az informatikai infrastruktúrájuk átfogó értékelésére, és hozzáféréssel kell rendelkezniük a sebezhetőségi értékelések elvégzéséhez szükséges szakértelemhez.
Azt is fontos szem előtt tartani, hogy a NIST 800-171-ben meghatározott követelményeknek való megfelelés nem egyszeri esemény, hanem inkább egy folyamatos folyamat. Ez azt jelenti, hogy a szervezeteknek rendszeresen sebezhetőségi értékeléseket kell végezniük, valamint folyamatos behatolásteszteket kell végrehajtaniuk annak biztosítása érdekében, hogy a hálózat, a rendszerek vagy a webes alkalmazások sebezhetőségei gyorsan azonosíthatók és orvosolhatók legyenek, mielőtt egy káros esemény bekövetkezne. Kapcsolódó cikkünkben megismerheti az 5 legjobb behatolásvizsgálati eszközt webes alkalmazásokhoz.
Következtetés
A DFARS követelményeinek való megfelelés fenntartása elképesztő mennyiségű időt és koordinációt igényelhet. A kormányzati szerződés folyamatos fenntartásához elengedhetetlen, hogy pontosan megértse a megfelelési követelményeket. Nem elég csak azt tudni, hogy egy ország, amellyel együtt dolgozik, minősítettnek minősül-e vagy sem. Ha Ön olyan szervezet, amely alvállalkozóként vagy elsődleges vállalkozóként ellátja a DoD-t, biztosítania kell, hogy szervezete védi a CUI-t, és megfelel a NIST 800-171 szabványnak. Ennek elmulasztása a megfelelés hiányát és a kormányzati szerződés visszavonását eredményezheti, valamint az adatok megsértésével járó pénzügyi és reputációs károkat. A DFARS-nak való meg nem felelés elkerülése különösen más szervezetekkel való együttműködést igényel, amelyek mind a DFARS, mind a NIST 800-171 követelményeinek alapos ismeretével rendelkeznek. Mivel e kettő kéz a kézben jár, az érintett szervezeteknek biztosítaniuk kell, hogy mindkettőnek mindenkor megfeleljenek. Ha kíváncsi a DFARS és NIST 800-171 megfelelésre vagy a kiberbiztonsági megoldásokra, forduljon még ma az RSI Securityhöz.