O Suplemento ao Regulamento de Aquisição Federal de Defesa (DFARS) rege a aquisição de bens e serviços para o Departamento de Defesa (DoD). Tanto oficiais como empreiteiros devem cumprir com os requisitos estabelecidos no DFARS. Como qualquer pessoa que tenha analisado os requisitos estabelecidos no DFARS sabe, o próprio DFARS é um órgão regulador complexo, de amplo alcance e profundidade. Empreiteiros e subcontratados que fornecem ou trabalham com o DFARS são obrigados a cumprir com o DFARS ou enfrentam penalidades por não conformidade, tornando essencial compreender exatamente quais são os requisitos de conformidade do DFARS e como você pode cumpri-los.
Um desafio que o DFARS apresenta para empreiteiros e subcontratados é uma restrição para os países onde você pode adquirir suprimentos. Dada a complexidade da nossa cadeia de fornecimento global, as organizações fora do processo de aquisição do DFARS muitas vezes não sabem exatamente de onde os seus bens e serviços são originários. Isto pode colocar potenciais problemas de conformidade para o DFARS, portanto, a necessidade de restrições. Dentro do próprio regulamento do DFARS há uma lista de países em conformidade com o dfars. Esta lista é essencial para que todos os contratantes compreendam e cumpram, o que significa que todas as compras de bens e serviços devem passar por estes países. Isto inclui para componentes que consistem em metais fundidos, que é um tópico complexo por direito próprio. De acordo com os requisitos do DFARS, somente países específicos estão autorizados a fundir metal fora dos Estados Unidos se o produto final for destinado a fins de DoD.
Há também algumas mudanças importantes que foram recentemente implementadas no DFARS e que afetam muitos dos contratados e subcontratados que interagem com o DoD. Nomeadamente, a adição de requisitos de cibersegurança para proteger as Informações Não Classificadas Controladas (CUI). Isto afeta todos os parceiros do DoD e tem sido a lei da terra desde o final de 2017. Este requisito adicional para o DFARS determinou que todas as organizações no âmbito da regulamentação adotassem os esforços de cibersegurança delineados no National Institute of Standards and Technology (NIST) SP 800-171 revisão 1. Estes requisitos destinam-se a proteger a CUI contra acesso ou roubo injustificados. Ao fazer isso, esses requisitos também protegem os próprios contratantes, garantindo que seus esforços de segurança cibernética sejam capazes de corresponder ao cenário de ameaça atual.
Requisitos DFARS de navegação podem ser extremamente desafiadores. A profundidade das informações cobertas nos documentos regulamentares é extensa, e com numerosos documentos adicionais necessários para obter um quadro completo dos serviços de consultoria de conformidade e requisitos que as organizações devem cumprir; a maioria dos contratantes de menor e médio porte pode ter dificuldade em cumprir os requisitos estabelecidos no DFARS. Este artigo procurará destilar uma lista abrangente de países em conformidade com o DFARS. Também analisaremos o que significa ser um país em conformidade, a fim de fornecer um contexto maior aos próprios regulamentos.
Aqui estão mais alguns artigos para ajudá-lo a aprender mais sobre o DFARS :
- O que significa o DFARS?
- Como tornar-se compatível com o DFARS?
O que são os países qualificados?
Neste ponto, você pode estar se perguntando o que é um país qualificado. Em termos de DFARS, o termo “país qualificado” refere-se a um país com o qual o governo dos Estados Unidos tem um memorando de entendimento ou outro acordo internacional com o país designado. Em decorrência desses acordos, o DoD determina que não é do interesse público que as qualificações dos requisitos sob o Estatuto de Comprar Americano ou o Programa de Balança de Pagamentos se apliquem a esses países específicos.
Então, o que exatamente torna especial a relação entre os Estados Unidos e um país qualificado? Bem, essencialmente o governo dos Estados Unidos assina acordos de aquisição de defesa recíproca com cada país que está na lista. Estes acordos de defesa recíproca começaram durante os anos 70 no contexto da Guerra Fria, com a intenção de aumentar a eficácia das alianças que existiam na época. A idéia por trás dos acordos de defesa recíproca era que muitos países tinham barreiras que existiam em relação à aquisição de equipamentos relacionados à defesa. Essas barreiras freqüentemente tomavam a forma de leis ou normas que incentivavam as indústrias de defesa a adquirir de fontes domésticas, seja porque eram financeiramente incentivadas ou não.
p>due ao fato de que as compras de defesa representam uma porção tão substancial das compras governamentais em geral, buscando acordos com aliados pelos quais as barreiras às compras através das fronteiras eram reduzidas ou eliminadas faziam sentido. Ao serem capazes de adquirir equipamentos de defesa tanto internamente quanto dos aliados, os países puderam exercer um maior grau de escolha nos tipos de equipamentos que adquiriram. A expansão do ambiente de aquisição também garantiu que um campo mais amplo de competição fosse incorporado no acordo de aquisição e aquisição de equipamentos de defesa. O uso de acordos de aquisição de defesa recíproca garante que as aquisições de defesa sejam mais econômicas. Há também considerações estratégicas embutidas nesses acordos, como a produção de uma gama mais ampla de equipamentos interoperáveis.
A faceta importante dos acordos de aquisição recíproca de defesa é a disposição de renunciar aos requisitos que muitas nações têm para que as entidades governamentais comprem produtos que são produzidos internamente. Nos Estados Unidos, isso toma a forma do Buy American Act, aprovado em 1933, que impede o governo federal de comprar suprimentos ou produtos acabados de fora dos Estados Unidos sem uma renúncia. Muitos outros países também têm leis de “compra nacional”. Os acordos recíprocos de compras de defesa renunciam a essas leis, permitindo que ambos os países troquem equipamentos de defesa um com o outro. Ou, no mínimo, certas organizações em países qualificados podem entrar no processo de compra sem medo de práticas de compra discriminatórias. Nem os bens vendidos de países qualificados terão direitos de importação cobrados contra eles, pelo menos na maioria dos casos.
Avalie o seu cumprimento das DFARS
Quais são os países qualificados?
Neste ponto, você provavelmente quer uma lista de quais países são considerados qualificados sob as DFARS. Como você vai notar, muitos dos países da lista são aliados ferrenhos dos Estados Unidos. No total, existem actualmente 26 países que são considerados países cumpridores do DFARS. Aqui está a lista de países em conformidade com o DFARS:
- Austrália
- Bélgica
- Canadá
- República Checa
- Dinamarca
- Egipto
- Estónia
- Federal Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). Esta associação é lógica dado o contexto histórico no qual os acordos de aquisição de equipamentos de defesa começaram a aparecer.
Quais são alguns outros requisitos importantes do DFARS
Como mencionamos, o DFARS em si é um enorme órgão regulador que governa a aquisição de equipamentos de defesa. Há muitas facetas do DFARS que se aplicam a organizações específicas, e há muitos requisitos individuais para serem abordados. No entanto, vale a pena gastar tempo para conhecer um pouco mais de informação sobre um requisito recente que foi adicionado ao DFARS. Este requisito rege a proteção da Informação Não Classificada Controlada (CUI). Existem sanções rigorosas para o não cumprimento, incluindo a perda do contrato governamental que uma organização tem, por isso vale a pena entender como este requisito o afecta.
Se você faz parte do processo de aquisição do DoD e lida com CUI, então você é obrigado por lei a cumprir os requisitos de segurança cibernética descritos no DFARS 204.73 Protegendo as Informações de Defesa Cobertas e Relatórios de Incidentes Cibernéticos. Como o nome sugere, este requisito diz respeito à proteção de dados sensíveis que não são classificados, mas cuja divulgação ainda pode ser prejudicial. Para isso, as entidades que estão no âmbito deste requisito devem aderir à NIST 800-171 Protegendo Informações Não Classificadas Controladas em Sistemas e Organizações de Informação Não-Federais.
A cláusula que rege a ciber-segurança no DFARS foi adicionada apenas recentemente e entrou em vigor em 31 de dezembro de 2017. Assim, embora este requisito esteja em vigor há mais de um ano neste momento, ainda pode haver pequenas e médias empresas que ainda não atingiram a conformidade. Atingir a conformidade com os requisitos de cibersegurança do DFARS pode ser complicado para ter certeza. As organizações devem identificar o verdadeiro escopo de como a CUI é transmitida e armazenada através de seus ativos e sistemas de rede. Em seguida, as organizações devem implementar as salvaguardas descritas na NIST 800-171 para garantir a proteção dessa CUI.
Você pode estar se perguntando a que “Informação Não Classificada Controlada” se refere, já que este parece ser um termo amplo, vindo de fora. Essencialmente, CUI é um dado gerado pelo governo que precisa ser salvaguardado. Isto também pode incluir informações ou dados que são gerados por uma entidade terceira em nome do governo. A definição de CUI em si é complexa, com uma definição completa encontrada aqui, fornecida pelos Arquivos Nacionais. Para entidades no escopo dos requisitos de segurança do DFARS, obter um entendimento completo do que constitui a CUI serve como um ponto de partida básico para identificar onde a CUI é armazenada em seus sistemas, como ela é transmitida e como você a está protegendo. Alguns exemplos de CUI incluem e-mails, projetos ou informações de contratantes, mas há muitos tipos diferentes de informações que podem ser consideradas CUI. Um dos aspectos mais desafiadores para atingir a conformidade com a NIST 800-171 é identificar adequadamente a CUI quando você interage com ela.
A NIST 800-171 delineia uma estrutura que as organizações podem usar para proteger a CUI em sua rede e sistemas. No total, a NIST 800-171 delineia 14 requisitos diferentes que as organizações devem cumprir para serem consideradas em conformidade. Esses requisitos podem ser divididos em controles, medidas de segurança, gerenciamento e monitoramento, e práticas do usuário final. Como outros requisitos de segurança fornecidos pela NIST, os requisitos de segurança cibernética descritos na NIST 800-171 representam as melhores práticas aceitas pelo setor. Embora existam requisitos específicos, as organizações podem escolher a melhor maneira de atender a esses requisitos, dadas suas necessidades operacionais, nível de risco e os recursos disponíveis para elas.
O cumprimento dos requisitos descritos na NIST 800-171 pode ser um desafio, especialmente para fabricantes de pequeno e médio porte ou fornecedores de DoD que não têm recursos para conduzir os requisitos de avaliação e monitoramento exigidos pela NIST. As organizações que esperam alcançar a conformidade com a NIST 800-171 devem rever seus processos de negócios e o escopo da CUI e, em seguida, analisar suas lacunas de controle. Uma vez feito isso, elas podem criar um roteiro para seguir em frente. As organizações precisarão então implementar controles, juntamente com a segmentação de sua rede, tráfego ou ativos se necessário para reduzir o escopo CUI. Finalmente, as organizações precisarão criar processos para garantir a conformidade contínua, incluindo auditorias e validações de segurança. Para fazer tudo isso, as organizações devem ser capazes de realizar uma avaliação abrangente de sua infra-estrutura de TI e ter acesso à experiência necessária para realizar avaliações de vulnerabilidade.
Também é importante ter em mente que a conformidade com os requisitos estabelecidos na NIST 800-171 não é apenas um evento singular, mas é um processo contínuo. Isso significa que as organizações devem realizar avaliações de vulnerabilidade regularmente, bem como realizar testes de penetração contínua para garantir que quaisquer vulnerabilidades em sua rede, sistemas ou aplicativos web sejam rapidamente identificadas e remediadas antes da ocorrência de um evento prejudicial. Conheça as 5 principais ferramentas de testes de penetração para aplicações web em nosso artigo relacionado.
Conclusion
A manutenção da conformidade com os requisitos do DFARS pode levar um tempo e uma coordenação assombrosos. Entender exatamente quais são seus requisitos de conformidade é essencial para manter seu contrato com o governo em uma base contínua. Não basta simplesmente saber se um país com o qual você está trabalhando é ou não considerado qualificado. Se você é uma organização que é um subcontratado ou contratante principal que fornece o DoD, você precisará assegurar que sua organização proteja a CUI e esteja em conformidade com a NIST 800-171. Uma falha em fazê-lo pode resultar no não cumprimento e na revogação do seu contrato com o governo, juntamente com os danos financeiros e de reputação que podem acompanhar uma violação de dados. Evitar a não conformidade com o DFARS, em particular, requer trabalhar com outras organizações que tenham um conhecimento profundo tanto do DFARS como dos requisitos da NIST 800-171. Devido ao fato de que esses dois requisitos andam de mãos dadas, as organizações que estão no escopo devem assegurar que elas mantenham a conformidade com ambos o tempo todo. Se você estiver curioso para saber mais sobre conformidade com o DFARS e NIST 800-171 ou soluções de segurança cibernética, entre em contato hoje com a RSI Security.